Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Namen en geboortedatums 80.000 Transavia-klanten uitgelekt na mailboxinbraak

Persoonlijke gegevens van zeker tachtigduizend passagiers van Transavia zijn mogelijk gestolen bij een datalek. Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers. Het gaat om namen en geboortedatums.

Transavia meldt het lek op zijn website. Door het lek zijn tachtigduizend passagiers getroffen die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen. Volgens Transavia zijn voor- en achternamen en geboortedatums ingezien. Ook ging het om vluchtgegevens en eventuele extra diensten die passagiers hadden bijgeboekt, zoals het meenemen van bagage, skispullen of rolstoelen. Het bedrijf zegt dat er geen gevoelige gegevens, zoals creditcard- of paspoortgegevens, zijn gestolen. Ook stonden er geen contactgegevens, zoals adressen, e-mailadressen of telefoonnummers, in het bestand.

Transavia heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Dat is verplicht. De inbrekers zijn binnengekomen door een e-mailadres dat ergens is gelekt, in combinatie met een zwak wachtwoord, zegt een woordvoerder van het bedrijf. Volgens haar zijn er aanwijzingen dat de gegevens ook daadwerkelijk uit de mailbox zijn gestolen, en is er niet enkel toegang geweest. Transavia zegt dat het naar aanleiding van het datalek een onderzoek is begonnen en 'verbeteringen heeft doorgevoerd'. Welke dat precies zijn wil het bedrijf niet zeggen. Transavia gaat alle getroffen klanten zelf inlichten. Ook heeft het bedrijf een telefoonnummer geopend waar klanten terechtkunnen met vragen.

Update: uitleg over de aard van het lek, en reactie van Transavia toegevoegd.

Door Tijs Hofmans

Redacteur privacy & security

24-02-2020 • 13:21

93 Linkedin

Reacties (93)

Wijzig sortering
Een mailbox inbraak maar geen contactgegevens zoals e-mail adressen? Hoe moet ik me dat voorstellen?
Die stonden in een bestand in de mailbox, hoogstwaarschijnlijk een Excel-bestand (dat laatste is niet bevestigd).
Het is natuurlijk een beetje koffiedik kijken, maar als dit soort bestanden (type bulk personalia) via mail worden gedistribueerd binnen Transavia, kun je vraagtekens zetten of de GDPR implicatie an sich wel helemaal goed verlopen is. Significant onderdeel is toch dat je op schrift stelt (en er naar handelt) hoe toegang tot dergelijke gegevens is geregeld, met als hoeksteen dat zij zonder noodzaak geen inzicht hebben. Lijsten rond mailen is daar niet de meeste geschikte methode voor bevonden.
Het was in 2015 verzonden.

Toen GDPR nog niet van toepassing was.
Dat de diefstal nu gepleegd is, maakt alleen maar duidelijk dat de beveiliging niet op orde is. Vermoedelijk door een zwak wachtwoord.
Dat is nog steeds geen excuus. Bij mij op het werk hebben we rond de invoering van de GDPR alle bedrijfs-mailboxen voor zover mogelijk gepurged tot een half jaar terug, iets wat we sindsdien systematisch doen. JUIST om te voorkomen dat er ergens nog dit soort data slingert, ondanks dat we daar eigenlijk altijd al redelijk zorgvuldig mee waren.

Met mail weet je natuurlijk nooit wat mensen nog op hun eigen computer of telefoon hebben staan, maar gezien de aard van dit lek lijkt het me om gegevens te gaan die in een online-mailbox stonden en niet van een fysieke device gestolen zijn.

[Reactie gewijzigd door mcDavid op 24 februari 2020 15:46]

Hoe is dat werkbaar? Alle ‘oude’ emails verwijderen?
Hoezo zou dat *niet* werkbaar zijn? Alles wat je na een half jaar nog nodig zou kunnen hebben uit je mailbox, is informatie die je op een andere/beter geschikte plek had moeten opslaan. Bijvoorbeeld door het te downloaden naar je eigen laptop, waar je full disk encryption en (hopelijk) een sterk wachtwoord op hebt, en die niet online benaderbaar is.
Dat is super onhandig omdat je dan op 2 of 3 plekken moet zoeken ipv 1
Sja, het makkelijkst is al je klantdata op een publieke FTP server te gooien natuurlijk.

Ik ben er blij mee dat we bij mijn werkgever wél net even dat extra beetje moeite nemen om onze klanten zo goed mogelijk te beschermen.
wie heeft het over een publieke ftp server?
Er zijn bedrijven waar standaard een expiry policy op e-mail staat idd. Dus mails ouder dan x dagen/wekend/maanden worden dan idd automatisch verwijderd. Tenzij je het bewust in een soort archief-map zet.
Lijkt mij echt bloedirritant.
De GDPR zegt ook iets over het bewaren van gegevens. Je mag gegevens niet langer bewaren dan strikt noodzakelijk. Dat geldt ook voor gegevens die zijn opgeslagen voordat de GDPR in werking trad.
Nu kunnen er natuurlijk gegevens in die mail staan die het bewaren ervan noodzakelijk maken voor bv. de Belastingdienst.
De wbp was wél van toepassing.
De wbp was wél van toepassing.
En die verbood dit soort ongein idd. net zo goed.
Het was in 2015 verzonden.

Toen GDPR nog niet van toepassing was.
Als de inbraak heeft plaatsgevonden ná 25 mei 2018, is GDPR gewoon van toepassing. Je moet vanaf die datum de data op orde hebben.
De GDPR is alleen maar een aanscherping geweest van regels die voor die tijd ook al golden. Alleen zate er in het verleden geen sancties op. Dat is met name gerepareerd.

Dus het was in het verleden niet echt strafbaar, maar wel een overtreding. Nu is het ook strafbaar. (en met relevante boete bedragen ipv. wat fooien).
Ik vermoed dat er bestanden/gegevens in de e-mails stonden en zo werden doorgegeven.
Ik denk dat je gelijk hebt. Dat lijkt mee een kwalijke zaak, want dergelijke gegevens horen (indien uberhaupt nodig) natuurlijk op een veiligere manier toegankelijk te worden gemaakt. Dat iemand bestanden met potentieel gevoelige data per mail verstuurt lijkt me daarnaast ook een probleem in de bedrijfscultuur.
De zin heeft betrekking op het bestand, niet op de andere mails in de mailbox.
De data zat als bijlage bij een e-mail dat naar de betreffende mailbox is gestuurd.
Dan waren de gegevens ook al gelekt naar evt. meekijkende/luisteren entitieten waar de mail langs gekomen is.
Dan waren de gegevens ook al gelekt naar evt. meekijkende/luisteren entitieten waar de mail langs gekomen is.
Mail kan encrypted verstuurd zijn, dus het scenario wat je daar schetst is geen zekerheid.
Dan was de INHOUD encrypted. Zo niet dan is het niet encrypted verzenden van mail eenvoudig om te organiseren. MITM waarbij STARTTLS uit de stream and capabilities verwijderd worden. Iemand die kan afluisteren kan ook TLS van poort 25 voorkomen.

Dus zonder PGG / S/MIME of anders encrypted inhoud is mail "openbaar" leesbaar of leesbaar te maken. (evt. zonder verdere sporen achter te laten).
Dan was de INHOUD encrypted. Zo niet dan is het niet encrypted verzenden van mail eenvoudig om te organiseren. MITM waarbij STARTTLS uit de stream and capabilities verwijderd worden. Iemand die kan afluisteren kan ook TLS van poort 25 voorkomen.

Dus zonder PGG / S/MIME of anders encrypted inhoud is mail "openbaar" leesbaar of leesbaar te maken. (evt. zonder verdere sporen achter te laten).
Niet als servers geen outgoing verkeer toestaan wanneer STARTTLS niet present is, maar in zo'n geval een not-delivered terug sturen naar de verzender.

Tja; ben je inderdaad wel afhankelijk van derden. Maar dat ben je eigenlijk sowieso met welke vorm van relay of endpoint die niet onder je eigen controle staan dan ook, tenzij je data E2E encrypted is.

[Reactie gewijzigd door R4gnax op 24 februari 2020 21:23]

Of WEL accepteren van TLS in sessie met afzender, niets loggen in de mail en bekijken en daarna door sturen...
Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers.
Het artikel gaat dan ook puur om de gegevens van passagiers, niet eventuele andere gegevens uit die mailbox.

[Reactie gewijzigd door xoniq op 24 februari 2020 13:27]

Welke idioot verstuurt nu persoonsgegevens via e-mail ? Ik dacht dat ondertussen iedereen wel weet dat e-mail op geen enkele manier beveiligd is en je dus nooit gevoelige dingen via mail moet versturen.
Ik moet een wachtwoord invoeren als ik bij m’n email wil dus “op geen enkele manier beveiligd” lijkt me al onjuist.
Daarnaast nog 2fa en dat geldt als een degelijke beveiliging. Daar bovenop gebruikt m’n mailprovider dingen als TLS om mail in transit veilig te houden.
Ik zie het probleem met e-mail niet.
Daar bovenop gebruikt m’n mailprovider dingen als TLS om mail in transit veilig te houden.
Even ter aanvulling, TLS werkt alleen zowel de ontvanger, als de verzender TLS heeft geconfigureerd op de mailserver, en eventuele mailservers ertussenin.

Daarnaast gok ik ook dat doorgaans alle mail gewoon als plain tekst ergens op een mailserver bewaard wordt.

Dus mail is zeker niet een veilig communicatie middel, ongeacht of je aan de 'voorkant' inlogt met 2FA of welke andere methode dan ook :)
Dat wachtwoord en de 2FA is voor de toegang tot je mailbox. Maar alleen wanneer zowel verzender als ontvanger en eventuele mailservers daar tussen in TLS ondersteunen, wordt je mail versleuteld verzonden. Wanneer één van die schakels geen TLS ondersteunt, wordt je email als plain text verstuurd.
Welke mailserver ondersteund geen tls? Allemaal toch wel.
Maar zijn ze ook allemaal (correct) geconfigureerd?
Daar ga ik vanuit, bij alle mailtjes die ik ontvang staat altijd zo’n slotje. Al jaren niet meer meegemaakt dat het niet zo was.
@Aaargh! zegt het ook al.

Waarom denk je dat de AIVD dit beleid bedacht heeft?
U kunt niet e-mailen met de AIVD. E-mailverkeer via internet is kwetsbaar, omdat anderen ongewenst en ongemerkt kunnen meelezen. Daarom kan alleen telefonisch en schriftelijk contact worden gezocht met de AIVD.
Bron: aivd website
Want telefonie en post kan niet afgeluisterd worden? Erg naïef van de aivd.
Er zou eigenlijk alleen in beige regenjas in verlaten parkeergarages gecommuniceerd moeten kunnen worden.
Vandaar dat secuirty aware bedrijven een Public PGP-key publiceren waarmee mail aan het bedrijf ge-encrypt kan worden zodat met de juiste afdeling vertrouwelijk kontact opgenomen kan worden.

Dat is geen rocket science.
Leuk al die beveiliging, maar hoe gaat jou dat helpen als je het naar domweg de verkeerde persoon mailt?

Dus nee, email is geen veilig medium (en ik zie het probleem dus wel)...
Interne mail verlaat de eigen mailserver van het bedrijf niet, het verschuift alleen van de ene mailbox naar de andere. Binnen een bedrijf is dat veilig genoeg, zolang de toegang tot de mailserver maar goed genoeg beveiligd is.
Benieuwd hoe lang ze dit weten. Melden na vijf jaar lijkt me vrij laat.
Dit:
Door het lek zijn tachtigduizend passagiers getroffen die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen.
is niet hetzelfde als dat toen de data is gelekt ;).
Zou dat veel verschillen?
Als deze dataset nu is gebruikt om analyses op te doen (bijvoorbeeld voor stagaires, proof of concepts of iets dergelijks) dan kan dat best. Het is niet ongebruikelijk om daar oude datasets voor te gebruiken.
Het is niet ongebruikelijk om testsets te anonimiseren.
De gegevens die zijn buitgemaakt zijn van 2015, dat wil niets zeggen over wanneer de data is uitgelekt.
Nou Misschien betreft het een oud mailtje in de mailbox, niets bijzonders dat mensen van 5 jaar terug aan mails in hun mailbox hebben staan.
Ik denk dat het tijd gaat worden dat burgers zelf bedrijven gaan aanklagen die hun data niet veilig genoeg opgeslagen hebben. Dit soort meldingen loopt inmiddels de spuigaten uit en bedrijven lijken niet voldoende te beseffen (of er ook maar ene *** om te geven) wat voor een impact dit kan hebben. De achteloosheid die tentoongespreid wordt door verschillende bedrijven is behoorlijk ernstig. Misschien moeten ze het dan maar voelen in hun portemonnee, en dan niet alleen door een AP boete, maar ook door rechtszaken van de gedupeerden.
en welke burger heeft daar tijd en geld voor?
Om het bedrijven te laten voelen in de portemonnee is aanklagen helemaal niet nodig. Gewoon de pocedures doorlopen en wat AVG / Privacy Shield verzoekjes indienen is al voldoende om het heel snel in de papieren te laten lopen.

Bijvoorbeeld Marriott: vraagje indienen om een compleet overzicht van alle persoonsgegevens te krijgen. Als ze de reactietermijn overschrijden en een compleet onleesbaar antwoord sturen (JSON in Excel converteren naar PDF levert halve informatie op tenzij je de kolommen heel breed maakt) een verzoek tot bemiddeling indienen. Anderhalve maand later zit je in een conf call met medewerkers, externe advocaten en een mediator.

Ik heb nu een bevestiging dat ik uit al hun systemen gewist ben. Marriott zal vanwege hun lakse reactie op mijn originele verzoek denk ik zo'n $25K extra aan juridische kosten hebben gemaakt. (Alleen de mediator was al $10K per dag, en onder Privacy Shield regels wordt dat betaald door het bedrijf.)

[Reactie gewijzigd door jochemd op 24 februari 2020 14:54]

Ni---ce.

Benieuwd of het ook zo ver moet komen om bijv. Valve/Steam te dwingen inzage te geven in hun recente data-honger; specifiek n.a.v. alle gegevens die ze recent zijn gaan eisen bij een aankoop onder het mom van "is nodig voor de belasting."

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:32]

En jij denkt dat je als brave burger überhaupt kans hebt van slagen tegen zulke miljoenen/miljarden bedrijven door middel van een rechtsgang?
ook @telenut : op deze manier hebben die bedrijven natuurlijk bij voorbaat al gewonnen. Niks zo goedkoop en zo eenvoudig als een burger die zich nog wel eens omdraait om ook zijn andere wang te tonen.
Niet alle slechte publiciteit is goed voor een bedrijf. Met voldoende negatieve berichten in de vorm van rechtszaken, zullen anderen zich nog wel eens goed beraden of bedrijf X wel zo veilig omgaat met hun data. Of dat product dat ze aanbieden nou zo revolutionair is of niet maakt dan weinig meer uit.
Dat is de reden dat vaak gedupeerden samen in een stichting de strijdt aangaan.
Met voldoende budget en kennis van zaken, trekken grote bedrijven alsnog aan het kortste eind.

Denk aan de woekerpolis-affaire. Daarin moesten de banken toch echt met de billen bloot.
Denk aan de woekerpolis-affaire. Daarin moesten de banken toch echt met de billen bloot.
Behalve dat de banken er relatief gezien nog steeds met een schijntje van afkomen en de mensen die zich bij deze stichtingen aangesloten hebben het met een token-bedrag mogen doen wat nog niet een fractie van de werkelijk geleden schade betreft.

Want de stichting heeft gewoon geschikt; omdat ook voor hen het voeren van een rechtszaak te duur zou zijn; met te onzekere uitkomost; en vooral: te lang op zich zou laten wachten.
Hoelang mag een bedrijf persoonsgegevens bewaren? En moeten ze het verwijderen als ik het vraag?
Ik bedoel gegevens van vijf jaar oud dat is toch onnodig?
Fiscale bewaarplicht is 7 jaar, weet niet of dit geanonimiseerde gegevens mogen zijn met bijvoorbeeld enkel relatienummer. Pas sinds de nieuwe AVG moet de bewaartermijn beschreven zijn in de overeenkomst persoonsgegevens klant / bedrijf, maar dat was toen nog niet. Verder is het natuurlijk vanuit bedrijfskundig oogpunt zeer waardevolle data om bijvoorbeeld te zien, wie wat waar en wanneer aan tickets gekocht heeft. Dus als je met onnodig bedoelt 'niet noodzakelijk' dan zullen de meningen hierover verschillen.
Gegevens voor de belastingdienst mogen niet geanonimiseerd zijn. Wel gepseudonimiseerd met bv. een relatienummer waarbij het relatienummer via een ander systeem aan een persoon of bedrijf te koppelen is.

Bedrijven waar grote hoeveelheden geld in omgaan zijn aantrekkelijk voor witwassen. Daarom moet geld vanaf ontvangst tot uitgave gevolgd kunnen worden en gekoppeld moeten kunnen worden aan echte klanten en echte leveranciers/ dienstverleners.
Nu zal Transavia niet zo snel een paar ton aan drugsinkomsten boeken als een vliegtuig vol passagiers en de betaling aan de drugsbaas boeken als havendiensten, maar ze moeten wel aan de algemene regels voldoen.
Gegevens voor de belastingdienst mogen niet geanonimiseerd zijn. Wel gepseudonimiseerd met bv. een relatienummer waarbij het relatienummer via een ander systeem aan een persoon of bedrijf te koppelen is.
Klopt. Als bedrijven bijv. BTW aangifte doen onder MOSS (Mini One-Stop Shop), hoeven ze enkel geaggregeerde data in te sturen en zijn ze ook niet verplicht om alsnog volledige transactie- en factuur-gegevens zelf te bewaren. Zolang deze gegevens via gekoppelde transactie-IDs op een later tijdstip maar te herleiden zijn - is het goed.
Onder MOSS geldt daarnaast dat je de complete identiteit van de koper niet eens vast hoeft te leggen. Je hoeft enkel 2 niet-conflicterende criteria aan te brengen waar uit duidelijk komt wat de 'lidstaat van consumptie' is - dwz de lidstaat waar de BTW naar toe zou moeten. Gegevens zoals IP adres zijn daar ook al afdoende voor.

En daarnaast geldt vziw in Nederdland dat voor retailverkoop er geen factuurplicht is. In landen als Duitsland geldt zelfs dat voor verkoop aan consumenten enkel bij verkoop gerelateerd aan vastgoed er een factuurplicht is.

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:43]

Klopt, voor verkoop aan consumenten is er in de meeste gevallen geen factuurplicht. Maar wanneer je een factuur maakt, of gegevens vastlegt voor de verzending, dan maken die gegevens deel uit van je verkoopadministratie, die je 7 jaar moet bewaren.
Klopt, voor verkoop aan consumenten is er in de meeste gevallen geen factuurplicht. Maar wanneer je een factuur maakt, of gegevens vastlegt voor de verzending, dan maken die gegevens deel uit van je verkoopadministratie, die je 7 jaar moet bewaren.
Als het een fysieke verzending betreft, dan inderdaad wel. Maar niet alles is tegenwoordig meer fysiek. MOSS is dan ook bedoeld voor internationaal opererende elektronische dienstverleners. ;)
Klopt. Dan heb je die gegevens dus niet en heb je niets om te bewaren. En bij verkoop aan consumenten is er ook geen reden om meer gegevens te vragen.
Dat hangt helemaal af van welk persoonsgegeven.
Veel zaken die met belastingen te maken hebben moetn een minimale periode bewaard worden.
En een persoonsgegeven als..., nou, kom, laten we zeggen een veroordeling wegens moord,
Dat is toch ook iets dat wel langer bewaard wordt dan 5 jaar.

En dan helpt een beroep op je 'recht om vergeten te worden' ook echt niet...... :)
En een persoonsgegeven als..., nou, kom, laten we zeggen een veroordeling wegens moord,
Dat is toch ook iets dat wel langer bewaard wordt dan 5 jaar.
Leuk dat je die aanhaalt; want specifiek gegevens over criminele veroordelingen mogen helemaal niet vrijelijk verwerkt worden. Enkel de staat en door haar select aangegeven en streng gekeurde verwerkers mogen daar iets mee doen.
Wat ik niet snap is dat Transavia dus wel controle doet om te herkennen dat er ongewenst gebruik is maar niet effectief bleek in het voorkomen van ongewenst gebruik. Dat is dweilen met een kraan open. Als die maatregelen nu niet inhouden dat ze ook beleid tegen zwakke wachtwoorden hebben en dat ook niet continue forceren gaat er weinig verbeteren. En als ze dit soort persoonsgegevens laten slingeren, niet actief opsporen en beslissen tot verwijderen is het monitoren op afwijkend gebruik ook niet effectief.
Wat is een zwak wachtwoord?

Is dat Welkom01?
Of is dat Frt56Kgf#$ voor mailbox kodak@transavia.nl, wanneer eerder bij een hack van de systemen van een webshop gezien is dat Frt56Kgf#$ het wachtwoord van gebruiker kodak@Ziggo.nl?
Beiden natuurlijk, maar alleen het eerste kan je als bedrijf afvangen.
of zelf op een webshop het adres: kodak@transavia.nl gebruikt heeft met een gelijk ww....
Dat tweede kun je inderdaad niet voorkomen, maar een begin zou zijn om de API van HaveIBeenPwned.com te gebruiken. Dit heeft bijv. Symfony ook geïmplementeerd in de Validator Component. Zo kun je op een veilige manier voorkomen dat gebruikers een wachtwoord gebruiken dat al een keer is uitgelekt. Niet waterdicht, maar het is een eerste stap. Daarmee voorkom je ook dan mensen 12345 of Welkom01 gebruiken, want die zitten ook al in die database.
Transavia beschrijft de oorzaak als zwak wachtwoord, dus dan hebben ze daar blijkbaar een definitie van die ze kunnen toepassen.
Beiden natuurlijk, maar alleen het eerste kan je als bedrijf afvangen.
Je kunt bijv. geregeld sites als Have I been 0wned? gaan scrapen voor 'gevoelige' account namen en email addressen en dan preventief een reset van wachtwoorden afdwingen als je iets tegenkomt wat gerelateerd lijkt. Of je kunt werknemers een 2FA sleutel verstrekken en bedrijfsbreed enkel werken met een mail-systeem waar 2FA geforceerd op zit.

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:47]

Een zwak wachtwoord is tegenwoordig veiliger dan een sterk wachtwoord.
Dit soort berichten zie ik steeds vaker waardoor ik na zit te denken om al mijn oude accounts op internet te verwijderen. Nu twijfel ik alleen aan het nut hiervan. Eerder heb ik bij Plus500 een account aangemaakt. Na een maand verloor ik mijn interesse en had het account verwijderd. Paar maanden later wekte mijn interesse weer op. Met een kort mailtje naar Plus500 konden ze mijn oude account weer activeren. Alle data stond er nog precies in zoals ik het eerder had achtergelaten :+
Ik ben nu begonnen met oude account overzetten en nieuwe accounts aanmaken via specifieke emailadressen voor elk account die enkel geforward worden naar een mailbox. Als je dan nog bij voornaam het bedrijf waar je account hebt invult dan zie je aan de spammail al snel welke bedrijf je e-mailadres of persoonsgegevens verkocht of gelekt heeft.
Klopt, dat doe ik ook overigens. Wel vind ik het belangrijker dat ik controle heb over mijn data. Een bedrijf als Plus500 heeft mijn financiele gegevens (creditcard, paspoort etc etc). Spam vind ik niet zo erg maar als een bedrijf gehackt wordt welke over mijn persoonlijke/belangrijke data beschikt dan wil ik wel, dat wanneer ik mijn account verwijder, dat soort gevoelige data ook verwijderd wordt.
Ook ging het om vluchtgegevens en eventuele extra diensten die passagiers hadden bijgeboekt, zoals het meenemen van bagage, skispullen of rolstoelen. Het bedrijf zegt dat er geen gevoelige gegevens, zoals creditcard- of paspoortgegevens, zijn gestolen.
Op die laatste zin hebben een paar juristen en marketeers heel lang zitten broeden denk ik. De AVG kent het begrip "gevoelige gegevens" helemaal niet, dus zeggen dat die er niet in zaten is volkomen betekenisloos. De AVG kent wel het begrip "bijzondere gegevens", zoals gegevens over ras, godsdienst en gezondheid. Als er informatie over rolstoelen in het bestand zat, dan zijn er dus wel degelijk bijzondere persoonsgegevens uitgelekt.
Inderdaad. En daarbij vind ik voornaam + achternaam + geboortedatum al gevoelig genoeg.

Ipv eerlijk zijn, proberen ze de verantwoordelijkheid & excuses te ontduiken. Eerlijkheid is ver te zoeken.

[Reactie gewijzigd door G_M_C op 24 februari 2020 15:46]

Inderdaad. En daarbij vind ik voornaam + achternaam + geboortedatum al gevoelig genoeg.
Dat is een identificerend kenmerk,
De AVG kent het begrip "gevoelige gegevens" helemaal niet, dus zeggen dat die er niet in zaten is volkomen betekenisloos.
Want, alles wat buiten het begrippenkader van de AVG valt is voor jou betekenisloos? Ik vind het wel relevant om te lezen dat er geen creditcard- of paspoortgegevens gestolen zijn.
[...]

Want, alles wat buiten het begrippenkader van de AVG valt is voor jou betekenisloos? Ik vind het wel relevant om te lezen dat er geen creditcard- of paspoortgegevens gestolen zijn.
Je leest de intentie verkeerd.
Het betekent dat Transavia's legal en marketing afdeling samen overuren gedraaid hebben om tot een sussende boodschap te komen waarmee ze technisch correct zijn en in juridische zin niet liegen.

(In realiteit zou een competente rechter daar echter zo doorheen moeten prikken. Maar ja; competent is ook zo'n ding op het snijvlak van IT & Privacy.)

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:50]

Hoe vaak ik wel niet in het echt heb gezien dat er een klantenexport wordt gemaakt voor de marketingafdeling. Lekker intern doorsturen in een zipje, kan geen kwaad toch?

Vervolgens in het mailprogramma inladen, de extra gegevens erbij, zo lekker automatisch met je Salesforce/Mailchimp whatever oplossing lekker targetten. Ging toch altijd goed?

Nou, hier heb je het dus. Prullebakken die niet worden leeggehaald, grote zip-files, intern versturen, staat nog ergens in de inbox of op de desktop (want binnen het bedrijf is het toch veilig?! Ik heb een wachtwoord; welkomtransavia01)

Deel sarcasme, deel waarheid. Ik denk dat het zoiets is.
Ik moet een wachtwoord invoeren als ik bij m’n email wil dus “op geen enkele manier beveiligd” lijkt me al onjuist
Mail gaat plain-text het internet over, er is geen end-to-end encryptie, je kan er dus totaal niet van uit gaan dat er niemand meeleest.

Jij verwart toegang tot jouw mailbox met hoe e-mail tussen mailservers verstuurd wordt.

[Reactie gewijzigd door Aaargh! op 24 februari 2020 13:53]

Mail gaat tegenwoordig volgens mij gewoon TLS versleuteld het net op. In ieder geval tussen Office 365 en Gmail e.d.
Tegenwoordig zit ieder bedrijf in Office 365. De Office 365 smtp server communiceert gewoon over een beveiligde verbinding met externe partijen. Daarnaast kan ook onveilig transport worden beveiligd met IRM.

Op dit item kan niet meer gereageerd worden.


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True