Wie helpt nu met wat bij informatiebeveiliging?

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en Nausikaa Efstratiades van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en N van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Hans de Raad over veilig e-mailgebruik

Tijd en plaats onafhankelijk werken leidt ertoe dat medewerkers hun werk e-mailadres ook voor privé doeleinden gebruikt en ook privé e-mail voor zakelijk gebruik. Is dit altijd schadelijk? Wat kan een werkgever doen om de werknemer te informeren over de do’s en don’ts van emailgebruik? Beveiligingsexpert Hans de Raad spreekt hierover met Jan Renshof van het CIP.

Doelgroep: iedereen die privémail via zijn of haar zakelijke mailaccount verstuurd vice versa.

Leerpunten:
• Gebruik een server onder eigen of vertrouwd beheer en niet een openbare cloudserver
• Een email is qua openbaarheid vergelijkbaar met een briefkaart
• Maak gebruik van versleuteling

 

Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Remco Groet: Voorbereiden op een datalek

Iedere organisatie wordt een keer geconfronteerd met een datalek. Met die wetenschap kun je voorbereidingen treffen om de gevolgen te beperken als de situatie zich opeens aandient. Welke plannen moet je maken en hoe reageer je als er echt een datalek is. Remco Groet van de Informatiebeveiligingsdienst (IBD) gaat in gesprek met Brenno de Winter over het voorbereiden en het omgaan met een datalek.

Doelgroep: bestuurders en medewerkers van crisisteams die ingezet worden wanneer een datalek een feit is.

Leerpunten:
· Denk na over een datalek voordat het optreedt
· Wees transparant
· Oefen een datalek regelmatig
· Maak een goed communicatieplan

Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

Continue reading “Digitaal Lockpicken bij Van der Valk”

Te gast bij Café Weltschmerz

“Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (Wob) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.”

Brenno de Winter is onderzoeker. Zijn onderwerp is IT en veiligheid. De Winter heeft ca. 2000 Wob (Wet openbaarheid bestuur) verzoeken gedaan. Er is volgens De Winter grote angst bij de overheid om documenten vrij te geven. Terwijl iedere burger in principe een beroep kan doen op de Wob blijkt dat de overheid het gebruik moedwillig frustreert. De overheid weigert bijvoorbeeld uit zichzelf aan te geven welke documenten er over een onderwerp aanwezig zijn en vervolgens worden bij aanvraag de documenten massaal geweigerd. Volgens De Winter kan je niet een maatschappelijk debat voeren bij het ontbreken van kennis over de inhoud. De overheid beroept zich bij weigering argumenten vaak op een waslijst van argumenten. Waarbij de risico’s voor de staatsveiligheid en de privacy van betrokken personen maar al te gemakkelijk centraal staan. Deze geheimzinnigheidscultuur maakt het onmogelijk hulp te verlenen bij organisaties die ontsporen, zoals bij de PGB en om te leren van fouten. Nederland is het enige land in Europa waarbij de informatie architectuur niet op orde is. Men weet niet welke documenten aanwezig zijn en het nazoeken en informeren daarover wordt gaandeweg gefrustreerd. Veel documenten worden daardoor niet gevonden of zelfs achtergehouden.

Valentijnsvonnis: Microsoft’s liefde voor partners

Microsoft heeft alle geldstromen van een zakenpartner platgelegd. De onderneming heeft zeer waarschijnlijk te veel geld aan de gigant betaald en dat is nu gestopt. Ook een zusterbedrijf dat helemaal geen Microsoft-producten gebruikt maar het concurrerende Linux levert, is getroffen door een beslaglegging.

Dat blijkt uit een vonnis waar de Amerikaanse gigant de pijlen richt op Wipa Nederland B.V. Een onbekende mkb-onderneming, die online werkplekken op basis van Microsoft-producten aanbiedt. Klanten loggen in op de server van dit bedrijf en werken zo in de cloud. In 2008 sluiten Microsoft en Wipa een zogenaamde SPLA-licentieovereenkomst af. Om sjoemelen tegen te gaan, kan er een audit op de boeken worden gedaan.

Geen audit

Zo’n audit naar de administratie komt er volgens Wipa en het vonnis nooit. Wel belt een persoon en doet hij alsof hij een nieuwe klant wil worden. Op basis van zo’n verkoopgesprek handelt Microsoft alsof ze een deugdelijke audit hebben uitgevoerd. Wat ontbreekt, is cruciale informatie of klanten zelf al beschikken over licenties, of het salespraatje correcte cijfers geeft of dat de medewerker slechts heeft geschat en welke klanten nu welke licenties nodig hebben.

Wat Microsoft niet doet, doe ik wel: de feiten controleren en kijken in de licentie-administratie. Als de mij getoonde informatie correct is dan kom ik tot een opmerkelijke conclusie: het mkb-bedrijf betaalt zeer waarschijnlijk duizenden euro’s teveel aan licenties. Wipa Nederland B.V. meldt niet altijd een licentie na gebruik af en voor sommige klanten met eigen licenties wordt soms uit voorzorg toch een licentie geregeld. De malversaties die Microsoft beschrijft, zie ik niet.

Ex-parte

Met flarden van het verkoopgesprek in de hand start Microsoft op 14 februari 2017 een procedure bij de rechtbank Amsterdam. Het gaat om een ex-parte zaak. Om geen slapende honden wakker te maken, mag de gedaagde partij zich niet verweren en gebeurt zo’n procedure in het geheim. De eis: leg beslag op de administratie, computers, servers en alle financiële middelen van het bedrijf, het moederbedrijf en een zusterbedrijf dat werkplekken levert op basis van open-sourcesoftware.

Volgens Microsoft draait de zaak om 170.000 euro niet-betaalde licenties. Dit gebaseerd op basis van een verkoopgesprek. Het komt een tikkeltje agressief over om zonder inhoudelijke verificatie vervolgens beslag op alle bezittingen te leggen en dit zes maanden te laten duren voor de inhoudelijke gronden worden aangeleverd. Je weet dat je daarmee een hostingbedrijf uiteindelijk naar een faillissement stuurt.

Dreigen

Natuurlijk heb ik Microsoft herhaaldelijk om uitleg gevraagd. Nogal onder de gordel volgde wel een vraag ‘uit persoonlijke interesse’ of ik bij Wipa betrokkenheid heb. Opmerkelijk voor een bedrijf dat net beslag heeft gelegd op de administratie van dat bedrijf en dat zelf zou moeten kunnen ontkrachten.

Uiteindelijk komt er het volgende statement van het bedrijf:

“We reageren niet op contractuele overeenkomsten met individuele klanten of partners en verschaffen ook geen informatie over lopende juridische zaken. Algemeen kunnen we wel stellen dat Microsoft zijn verantwoordelijkheid om mensen te beschermen tegen de aankoop van illegale of oneigenlijke software zeer serieus neemt. We passen daarvoor treffende maatregelen toe, waaronder contractueel overeengekomen auditprocessen en andere acties om het vertrouwen van klanten in ons partnernetwerk te waarborgen, en om de risico’s die worden veroorzaakt door illegale en oneigenlijke software te verkleinen.” – Microsoft

In het verzoekschrift om een beslag is de advocaat helder. In punt 15 legt hij uit dat er eerst beslag moet liggen om dan na het beslag Wipa uit te nodigen voor overleg. Dat had dezelfde dag nog gekund, maar anderhalve week heeft de reus uit Redmond die belofte niet waargemaakt. Dat zou kunnen duiden op een tactiek: intimideren tot een bedrijf zo onder druk staat dat ze alles wel tekenen om maar niet ten onder gegaan.

Wat deze Valentijnsdag mij heeft geleerd, is dat partners zo’n dag heel verschillend vieren. Waar ik mijn vrouw bloemen en een dinertje gaf, koos Microsoft als een femme fatale voor zijn partner voor een beslag. Ongeacht je eigen trouw kun je sommige relaties beter niet aangaan.

Openbaarheid bestuur: pak obstructie door overheid aan

Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (WOB) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.

 

Tegenwerking en het achterhouden van informatie komen veel voor, heb ik als onderzoeksjournalist gemerkt. In 2009 werden gevoelige documenten over de brand in het Catshuis, waarbij een schilder om het leven kwam, in het kantoor van de landsadvocaat bewaard in de hoop de stukken aan de WOB te onttrekken. In 2015 kwam het radioprogramma Argos erachter dat een ambtenaar van het ministerie van Volksgezondheid, Welzijn en Sport in opdracht documenten over onderzoek naar overtredingen van de drank- en horecawet vernietigde. De gedachte was: documenten die er niet (meer) zijn, hoef je niet te openbaren.

In de huidige jurisprudentie moet de verzoeker bewijzen dat documenten bestaan. Dat is lastig. Een lijst met bestaande documenten is er bijna nooit. In zeldzame voorbeelden in mijn praktijk lukt dat toch. Ambtenaren zien verwijzingen naar documenten over het hoofd of steken het verhaal wel heel knullig in elkaar. Maar in de meeste gevallen staat de verzoeker met lege handen.

De obstructie bij de overheid neemt toe. Sinds de laatste wetswijziging ‘ter voorkoming misbruik’ van de WOB heeft de verzoeker nauwelijks een drukmiddel. Hoe de nieuwe tegenwerking vorm krijgt, laat de gemeente Rotterdam zien. In een onderzoek naar mogelijke fraude ontving ze een WOB-verzoek naar standaard Excel-sheets die bestaan. De wettelijk termijn van vier weken werd niet gehaald, dus volgde een verdaging van vier weken. Ook na een bezwaar kwam er geen besluit. Onder dreiging van een kort geding volgde een brief met vragen die binnen veertien dagen moet worden beantwoord. Doet de verzoeker dat niet op tijd dan ‘kan’ de gemeente besluiten het verzoek niet te beantwoorden. Ook al waren de wettelijke termijnen verstreken, toch schortte Rotterdam de behandeling op.

In de wet staat dat de verzoeker niet hoeft te verklaren waarom hij iets vraagt. Toch bleek ook dat een reden voor het opschorten van de procedure. Toen deze horde was genomen, volgde een besluit door de gemeente. De meeste informatie werd geweigerd. Motivering ontbreekt. De opbrengst: drie A4’tjes met nietszeggende getallen.

De voorbeelden van zulk misbruik van de wet door overheden zijn talrijk in mijn praktijk: het niet overmaken van door de rechter bepaalde onkostenvergoedingen, vertragen, niet motiveren, terzijde schuiven van adviezen van bezwaarcommissies. Wat mij blijft shockeren is de minachting voor de wet die juist bestuurders uitstralen die horen te waken over de rechtsorde.

Eerder nam de Tweede Kamer een opvolger van de WOB aan, de Wet Open Overheid (WOO), die nu voor behandeling bij de Eerste Kamer ligt. Die wet moet zorgen dat er meer gegevens pro-actief openbaar worden gemaakt. Ook wordt een maas in de huidige WOB gedicht, waardoor organisaties die wel overheid of door de overheid gefinancierd zijn geen ‘transparantieverplichting’ hebben. Zoals de NS, de VNG en overheids-ICT-dienstverlener ICTU.

Maar iedere nieuwe wet is een dode letter als deze niet wordt nageleefd. Het probleem is dat het verantwoordelijk ministerie van Binnenlandse Zaken de wet niet handhaaft en dat niemand handhavend optreedt. Ook het parlement verzaakt zijn taak op dit vlak, waardoor de minister geen druk ervaart om een goede WOB-werking te waarborgen. Eens in de vijf jaar moet de minister de wet evalueren. De laatste evaluatie stamt uit 2004. Anders dan publieke druk is er voor overheden geen enkele druk om zich aan de wet houden. Het verbergen van de pgb-miljoenen kan voorlopig doorgaan.

Deze column verscheen eerder in NRC Handelsblad

De onderzoeksraad moet de Digitale Ramp Belastingdienst onderzoeken

Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.

In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
 
Governance

Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
 
Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
 
Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
 
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”