Gegevensbescherming

  • 27 januari 2020
  • 10 reacties
  • 293 Bekeken

Probeerde net in te loggen op mijn MijnNS-account. Wachtwoord klopt niet volgens het programma dus nieuw wachtwoord aangevraagd. Op de link in het reset-mailtje geklikt, nieuw wachtwoord aangemaakt, ingelogd en - bingo - account van iemand anders binnen! Toegang tot alle gegevens van de eigenaar zodat ik dus ook direct kan zien dat het mailadres waarmee ik ingelogd heb, nergens in dat account vermeld is. En dat het een andere naam, ander geslacht, ander geboortedatum, andere soort NS-kaart is, wel adres hiernaast - dat vindt het programma blijkbaar al voldoende om mij toegang te geven tot de gegevens:slight_frown:

Klantenservice geeft niet thuis want “het is niet uw account, mevrouw, daar mogen wij niet binnen kijken”, en nee, doorverbinden naar de IT-afdeling omdat zij niets kan doen, kan natuurlijk helemaal niet. Ze kan wel *mijn* account verwijderen - dan moet ik wel 24 uur wachten voordat ik een nieuwe kan aanmaken en moet alle gekoppelde kaarten enz. opnieuw koppelen. Toch maar liever niet.
Ben er intussen in geslaagd mijn eigen account binnen te komen (dat leek aan een ander van mijn mailadressen gekoppeld) maar moet ik dus nu bij de buren gaan aankloppen en zeggen dat ik hun account binnen kan en dat zij daar maar iets aan moeten doen?? Wees dus gewaarschuwd - de beveiliging van MijnNS is blijkbaar zo lek als een mandje :rage:


10 reacties

Hallo Chris999 en welkom bij de NS Community,

 

Ik pak dit graag op. Zou je mij een privébericht willen sturen met jouw postcode, huisnummer, voorletter, achternaam, geboortedatum, OV-chipkaartnummer en e-mailadres? Een privébericht stuur je door op mijn naam en stuur bericht te klikken.

Ik heb een privébericht ontvangen. Het is mij nog niet geheel duidelijk wat er precies is gebeurd, maar wij gaan dit zeker oppakken.

Reputatie 7
Badge +3

Het zoveelste voorbeeld van de brakke IT-systemen en persoonsgegevens die op de meest vreemde manieren aan elkaar gekoppeld worden. Het wordt echt tijd dat daar 's heel kritisch naar gekeken wordt. Maar ja, dat roepen we elke keer en verbetering lijkt niet te komen. De AP vindt hier ook wel iets van denk ik.

Ik heb geen persoonlijke gegevens door gekregen en alleen een e-mailadres. Hiermee kunnen we niet nagaan waar het mis is gegaan en of het wel klopt dat dit is gebeurd. Ik geloof Chris natuurlijk op zijn woord, maar het is erg lastig om dit zo uit te zoeken.

Reputatie 7
Badge +3

Dat e-mailadres was blijkbaar het enige dat nodig was om in dat account terecht te komen. Dus dat is prima uit te zoeken. Mag toch hopen dat inlogpogingen gelogd worden.

Badge +3

Plus dat de buren nu misschien niet meer kunnen inloggen door de wachtwoord-reset? :thinking:

Ik heb geen persoonlijke gegevens door gekregen en alleen een e-mailadres. Hiermee kunnen we niet nagaan waar het mis is gegaan en of het wel klopt dat dit is gebeurd. Ik geloof Chris natuurlijk op zijn woord, maar het is erg lastig om dit zo uit te zoeken.

Niet kunnen is geen optie in deze de wetgever is op dit punt heel duidelijk.

Binnen 24 uur nadat een datalek gemeld wordt moet de AP ingelicht zijn. Ik neem aan dat jullie dit gedaan hebben.

Daarnaast moet je als bedrijf voldoende maatregelen nemen om de gegevens te beschermen. Op ns.nl en op deze community wordt constant aangegeven dat de NS dit goed geregeld heeft (en we nooit detailantwoorden krijgen omdat we moeten vertrouwen op fe NS).

Dat kan niet waar zijn als jullie dit niet kunnen uitzoeken.

Ik durf niet te zeggen of dit 24 uur is. Er staat mij iets bij dat dit 72 uur is, maar ik heb dit gelijk gemeld toen ik het privébericht tot mij nam.

Je hebt gelijk het is 72 uur. Ik was in de verwarring met de situatie als je niet zelf aan de AP meldt maar aan jou opdrachtgever. Dan geldt 24 uur als termijn. Zodat de opdrachtgever de deadline van 72 uur kan halen.

Ik weet niet wat de exacte regels zijn, maar wij hebben de instructies gekregen om dergelijke situaties gelijk te melden, wat wij dus ook altijd doen. 

Reageer