ANWB waarschuwt debiteuren voor datalek bij incassobureau TKB

De ANWB waarschuwt klanten dat hun gegevens mogelijk zijn buitgemaakt bij een ransomwareaanval op een leverancier. Dat gebeurde bij incassobureau Trust Krediet Beheer. Daar zijn ook gegevens van klanten van veel andere bedrijven buitgemaakt.

De ANWB heeft een waarschuwing gestuurd naar klanten die ooit een betalingsachterstand hebben gehad. Verschillende Tweakers hebben die inmiddels gekregen. Van die klanten zijn gegevens doorgestuurd naar incassobureau Trust Krediet Beheer of TKB. In de mail waarschuwt de ANWB dat contact- en factuurgegevens mogelijk zijn gestolen bij een datalek. Dat zou eind december zijn gebeurd, toen TKB werd getroffen door ransomware.

Het is niet duidelijk hoeveel klanten van de ANWB zijn getroffen, of hoeveel mensen er in het bestand van TKB stonden. Het incassobureau was niet bereikbaar voor commentaar. Het is daarom niet bekend door welke ransomware het is getroffen, al stelt de ANWB-mail wel dat de systemen van het bedrijf inmiddels bereikbaar zijn. Onder de klanten van TKB vallen naast de ANWB ook tijdschriftenuitgever Sanoma, Siemens, Toyota en 123inkt. Mogelijk zijn ook daar klantgegevens van buitgemaakt bij de ransomwareaanval.

In het afgelopen jaar is een trend ontstaan waarbij ransomwarecriminelen niet alleen netwerken versleutelen, maar ook persoonsgegevens stelen. Ze zetten vervolgens het bedrijf onder druk om te betalen, met de dreiging de klantgegevens openbaar te maken. Het is niet bekend of dat in dit geval ook is gebeurd.

De ANWB waarschuwt klanten voor verdachte e-mails. De autorijdersbond zegt dat het inmiddels geen gegevens meer verstrekt aan TKB en dat het de Autoriteit Persoonsgegevens op de hoogte heeft gebracht van het datalek.

Door Tijs Hofmans

Redacteur

07-01-2021 • 16:36

63 Linkedin

Submitter: ironx

Reacties (63)

Wijzig sortering
Kwalijke zaak dat het betreffende bureau zelf geen actie heeft ondernomen.
Op de de website geen waarschuwing oid.
https://www.tkb.nl/
Bijzonder trouwens, ze maken trots melding van de
ISAE 3402
Certified Type II

https://www.isae3402.nl/wat-is-isae3402

Daar lijken ze toch echt niet aan te voldoen als ze zo reageren op een datalek!

De inlog site is echter wel off line gehaald zie ik.
Betalen.tkb.nl is DOWN for everyone.
It is not just you. The server is not responding...
nav opmerkingen hieronder.. volgens hun isa
13.3 Datalekken

Als er sprake is van een datalek dan stellen Wij opdrachtgever daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door onze sub-verwerkers zijn geïnformeerd. Wij zullen opdrachtgever daarbij voorzien van de informatie die opdrachtgever redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze sub-verwerker aan u door. Ook van de door ons, of onze sub-verwerker, naar aanleiding van het datalek genomen maatregelen houden Wij opdrachtgever op de hoogte.

De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd de verantwoordelijkheid van de opdrachtgever.

Het (bij)houden van een register van datalekken is altijd de verantwoordelijkheid van de opdrachtgever.
dat laat onverlet dat een melding op de website en zeker bij de inlogsite ( die niet werkt, zonder verdere toelichting!) wel verwacht mag worden.

[Reactie gewijzigd door SED op 7 januari 2021 17:00]

Jawel hoor.

Ik heb geen mening over wat er gebeurt is, in mijn optiek overkomt je zoiets. Maar ze hebben intensief gecommuniceerd met betrokkenen en er ook gelijk een externe specialist op gezet om alle facetten te tackelen.
Het is niet aan TKB om de klanten van hun klanten te informeren.

Geen doofpot.

[Reactie gewijzigd door Henk-Bakker op 7 januari 2021 16:59]

Ik heb toch wel graag dat wanneer mijn gegevens gelekt worden, dat ik door dat bedrijf op de hoogte word gesteld
Dat ben je toch ook. TKB heeft al haar klanten op de hoogte gesteld. Het is vervolgens aan de klanten om hun klanten op de hoogte te stellen.

TkB onderhoud immers geen relatie met jou als privaat persoon maar met zakelijke afnemers.
Is dit niet een gevalletje van balletje balletje spelen om verantwoordelijkheid te ontlopen? Vanuit een ethisch oogpunt is dit toch totaal ongehoord dat je je hierachter probeert te verschuilen? Ik vind het juist eerder netjes wat de ANWB doet, zij zijn immers niet gehacked, mar TKB. Dus laat TKB dan ook hun verantwoordelijkheid nemen dat dit gebeurd, sterker juist het uitblijven van de berichtgeving van andere partijen vind ik het kwalijk dat ze stil blijven.

Bedankt voor de follow up Webhalla. Toch blijf ik er deels bij dat juist ondanks het uitblijven van andere partijen die waarschijnlijk hierdoor ook geraakt zijn, ik het niet netjes vind dat TKB stil blijft. Op z'n minst zou of TKB kenbaar kunnen maken dat of wel/niet andere partijen ook geraakt zijn.

[Reactie gewijzigd door n4m3l355 op 8 januari 2021 08:42]

Beste n4m3l355,
Het gaat niet om verschuilen. De AvG heeft het in dit geval over een verwerker (TKB) en verwerkingsverantwoordelijke (ANWB). De verwerkingsverantwoordelijke is verantwoordelijk voor alle activiteiten (verwerkingen) die het uitvoert met persoonsgegevens die het verzameld voor de uitvoering van een dienst of levering van een product. Als de ANWB delen van de activiteiten uitbesteed aan een verwerker blijft de ANWB dus verantwoordelijk. De uitbesteedde dienst moet in dit geval nauwkeurig zijn beschreven in een verwerkingsovereenkomst. Hier staat o.a in welke gegevens worden uitgewisseld, hoe gegevens beveiligd moeten worden en dat de verwerker de verwerkingsverantwoordelijke moet inlichten ingeval van een datalek en niet zelfstandig betrokkenen gaat informeren. Zie ook AVG artikel 28 https://eur-lex.europa.eu...R0679&from=NL#d1e3139-1-1
Ben het wel eens met n4m3l355 dat of het nu wettelijk verplicht is of niet het wel netjes van tkb zou zijn geweest om het in ieder geval op hun site te vermelden. Het lek komt uiteindelijk bij hun vandaan. Hierbij mag je als bedrijf best even "above and beyond" gaan om te proberen zo veel mogelijk mensen op de hoogte te stellen van het lek, en een artikeltje op je website lijkt me dan niet te misstaan.
Beste jaapzb,

Zonder te verzanden in juridische haarkloverij waarbij er een verschil kan zijn tussen gevoelsmatig correct handelen en juridisch correct handelen: Hoe zou jij het als opdrachtgever vinden dat terwijl jij aan het uitzoeken bent wie en hoe je moet gaan inlichten van het probleem, jouw verwerker al publiekelijk schuld gaat bekennen namens jou? Dan krijg je zeker het misverstand zoals elders in deze thread al te lezen was waarbij alleen de gegevens van mensen met een betalingsachterstand ontvangen zijn en niet alle persoonsgegevens van de opdrachtgevers. Daarbij de opdrachtgever is en blijft de enige verwerkingsverantwoordelijke en dus aansprakelijk voor geleden schade!

De relatie tussen verwerkingsverantwoordelijke en verwerker is op deze wijze wettelijk ingericht om te voorkomen dat organisaties taken gaan uitbesteden aan partijen die de verwerking goedkoper kunnen uitvoeren omdat zij geen of minder acht slaan op de beveiliging van onze persoonsgegevens. Daarom is er ook het auditrecht van de opdrachtgever.
Daarbij de opdrachtgever is en blijft de enige verwerkingsverantwoordelijke en dus aansprakelijk voor geleden schade!
Als dat juridisch gezien zo is, dan klopt de wet in dezen niet. Ik kan me trouwens nauwelijks voorstellen dat TKB juridisch gezien niet óók verantwoordelijk is.
Zo is een huurmoordenaar ook juridisch verantwoordelijk; net zoals de opdrachtgever van de huurmoordernaar dat is.
Het incassobureau heeft ten eerste niet van alle ANWB klanten de gegevens, enkel de gegevens van die ANWB klanten die de ANWB opdracht heeft gegeven om geld te incasseren. Dus de kans dat jouw gegevens gelekt zijn, als je niet bij dit incassobureau bekend bent, is vrij groot. Dus wellicht ben je niet gecontacteerd omdat men jouw gegevens niet heeft.
Een waarschuwing op de eigen site is wel het minste wat je kunt doen in een dergelijk geval.
Is het netjes? Absoluut

Is het juridisch verplicht? Absoluut niet. TKB is hier een zogenaamde processor, die in namens een uitvoerder (controller) taken verricht. De processor is verplicht om z.s.m. melding te maken bij de controller, die op zijn beurt melding maakt bij de toezichthouder. Interessante daarbij is dat melding maken aan individuele klanten door de processor (TKB) waarschijnlijk zelfs een onrechtmatig gebruik van de persoonsgegevens is, aangezien deze niet voor dit doeleinde zijn geprocessed door de processor. Tenzij de ANWB expliciet opdracht geeft aan TKB om klanten op de hoogte te stellen, dan is het een ander verhaal.

[Reactie gewijzigd door BoB_HenK op 7 januari 2021 17:24]

Vervelende is... is dat we nu alleen van ANWB horen dat er een lek is geweest en dat zij hun klanten hebben geinformeerd. Dat is goed.
Maar hoe zit het met de personen die niet via de ANWB, maar een andere partij zijn getroffen? Ik zou het behoorlijk netjes vinden dat TKB daarom de getroffen klanten zelf ook informeert en dat dat is omdat ze daar zijn aangemeld door hun opdrachtgever.

Ik snap dat het hun verantwoordelijkheid niet is omdat ze slechts uitvoerder zijn, maar toch. Een kleinere opdrachtgever stuurt mogelijk geen melding uit terwijl ze dat wel zouden moeten doen.
Helemaal eens, de perversie ironie is echter dat indien TKB dit op eigen houtje doet ze in overtreding zijn van privacy wet- en regelgeving :/
Terecht ook, de enige die de impact goed kan inschatten is de ANWB. Die kan inschatten of de ze accounts moeten blokken, mensen moeten gaan opbellen of de pers moeten gaan zoeken. Of niets doen, omdat het toevallig testdata betrof.

[Reactie gewijzigd door BCC op 8 januari 2021 16:55]

Is het juridisch verplicht? Absoluut niet.
Dan klopt de wet in dezen niet.
De processor is verplicht om z.s.m. melding te maken bij de controller, die op zijn beurt melding maakt bij de toezichthouder.
Juridische prietpraat. Een fatsoenlijk bedrijf zet het op de voorpagina van hun website.
Misschien is een waarschuwing wel netjes, maar ik denk dat het deel dat in het verleden een betalingsachterstand bij de ANWB heeft gehad de website al lang niet meer bezoekt (hoop ik voor hen). Ik denk dat het bereik dan ook beperkt is.
Het bereik is dan de hele wereld, zoals het hoort.
Wij zijn anders klant, maar niet geïnformeerd...
Ben je klant bij TkB of klant bij ANWB? ;) Indien het eerste, dan zouden ze jou moeten contacteren inderdaad. Bij het laatste, dan is dat aan de ANWB. Maar dan lijkt het ook logischer dat TkB alleen de gegevens heeft van de klanten waar de ANWB ze naartoe heeft gestuurd. Dus heb je geen incassotraject lopen voor ANWB, via TkB, dan hebben ze jouw gegevens ook niet en kunnen de gegevens ook niet lekken.
Heeft Tkb toch ook gedaan? :? Tkb heeft de ANWB (de klant van Tkb) geïnformeerd en je kunt er ook wel vanuit gaan dat Tkb alleen de informatie heeft die ze nodig hebben en niet het volle klantbestand van ANWB, want dat is an sich namelijk ook al een datalek.

[Reactie gewijzigd door CH4OS op 7 januari 2021 23:05]

Dat zeg ik toch ook?
In dit geval heeft de ANWB die rol op zich genomen.
Sterker nog, dit is zelfs aan ANWB, niet aan Tkb. De data is van de ANWB namelijk en Tkb is enkel verwerker in een proces die de ANWB bij hen heeft uitbesteed.
Het lek was bij de TKB. De hele wereld heeft dan het recht om te weten dat TKB de boel vernaggeld heeft.
een ISAE 3402 heeft niets met beveiliging te maken, zegt enkel iets over de financiele verwerking van gegevens.

Daarbij wordt een ISAE 3402 Type II rapport afgegeven over een periode, bijvoorbeeld over 2019. Het is heel goed mogelijk dat ze in 2019 de zaken goed genoeg op orde hadden. Wat ook kan is dat er een afkeurende verklaring is afgegeven bij het rapport.

Het hebben van een ISAE 3402 rapport zegt niets, je moet deze eerst lezen.
Ze verwerken gegevens in opdracht van de Verantwoordelijke (in dit geval ANWB). De ANWB heeft dan ook de meldplicht en moet actie ondernemen.
In veel verwerkersovereenkomsten zie je bijvoorbeeld de volgende clausule staan:
Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
Hierbij is TKB de subverwerker en doet alleen dingen in opdracht van de ANWB. Dus ook mensen informeren. Ook al s gegevens niet kloppen, gaan ze deze niet op eigen houtje aanpassen, maar verwijzen ze deze personen door naar de ANWB.
Klopt ze vallen onder deze regeling
13.3 Datalekken

Als er sprake is van een datalek dan stellen Wij opdrachtgever daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door onze sub-verwerkers zijn geïnformeerd. Wij zullen opdrachtgever daarbij voorzien van de informatie die opdrachtgever redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze sub-verwerker aan u door. Ook van de door ons, of onze sub-verwerker, naar aanleiding van het datalek genomen maatregelen houden Wij opdrachtgever op de hoogte.

De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd de verantwoordelijkheid van de opdrachtgever.

Het (bij)houden van een register van datalekken is altijd de verantwoordelijkheid van de opdrachtgever.
Dat laat onverlet dat een algemene melding op de eigen site wel het minste is dat men kan doen in dit soort gevallen. daarmee tackel je mensen die je niet direct hebt kunnen benaderen of die onbereikbaar waren maar wel gebruik wilden maken van de inlog.
Ook een verklaring waarom de inlog niet functioneert zou je mogen verwachten.
Dat klinkt als de voorwaarden van TKB. Dat zegt niets over wettelijke verplichtingen.
Als ik deze lijn doortrek hoeft een datalek nooit gemeld te worden. Immers, de eindgebruiker wiens gegevens wordel gelekt is de uiteindelijke opdrachtgever.
(Overigens wel prima dat de anwb garant moet staan voor de door henzelf uitgekozen onderaannemers.)
Als je de lijn doortrekt worden alle opdrachtgevers op de hoogte gesteld, waaronder jij dus zelf wanneer je jezelf als de uiteindelijke opdrachtgever ziet.
En dan moet ik als eindgebruiker dus melding doen bij de Autoriteit Persoonsgegevens? Dat schiet niet op.
Dat de melding bij mij komt is 1 ding (maar wat als een tussenliggende opdrachtgever niet meer bestaat?) maar dat de melding niet direct naar de AP gaat is vreemd.
Dat zegt niets over wettelijke verplichtingen.
Wettelijke verplichtingen zijn ook minder interessant dan morele verplichtingen.
Bijzonder trouwens, ze maken trots melding van de
ISAE 3402
Certified Type II

https://www.isae3402.nl/wat-is-isae3402

Daar lijken ze toch echt niet aan te voldoen als ze zo reageren op een datalek!
Zoals in de bron die je deelt ook kan worden gelezen zegt het beschikbaar hebben van een ISAE3402 verklaring niet direct iets over de beheersdoelstellingen en controls waarop de rapportage betrekking heeft. De opzet van doelstellingen en controls is namelijk "vormvrij".

Velen (waaronder TKB zelf aan de uiting op hun site te zien) verkeren ten onrechte in de veronderstelling dat een ISAE3402 type II een certificering is met een onderliggende norm waar je als organisatie aan kan voldoen. Het is een krachtige rapportagevorm mits de juiste inhoud wordt gekozen voor het framework. Daarnaast is een combinatie met ISO27001 en aanverwante normen sterk aan te bevelen.
"Uw uitdaging is onze missie"

Nou begin maar alvast. Kwalijke zaak inderdaad. De doofpot is nooit een optie.
Idd een leuke slogan voor een incassoburo, vooral als je net een aanmaning van ze hebt gehad.
"Uw uitdaging" :P
Maar goed, mensen met een aanmaning zijn dan ook niet hun 'klanten' (hoewel ze wrs wel kosten in rekening brengen).
Heel veel certificeringen zijn niks anders dan een wassen neus en bij heel veel kleine bedrijven heerst er een cultuur dat ze een bepaalde certificering hebben niet omdat ze er het nut van inzien maar omdat (hun) klanten het eisen.

Dat zal hier ook wel zo zijn, vermoedelijk is ISAE 3402 een beetje de ISO9001 van de incassobureaus, ofwel "we doen alles heel goed en dat weten we omdat we het zelf heel goed controleren, wij van WC-eend.."
De 9001 is redelijk goed, omdat deze continu verbetering en checks vereist. De 9002 daarentegen is volslagen zinloos. Die zegt alleen dat je aan eisen moet voldoen. Welke dat zijn en wie ze heeft opgesteld is geen onderdeel van de certificering.
Als data van de ANWB zelf was gestolen, mwah, dan weten ze alleen dat je een auto hebt (net als 40% van Nederland). Maar nu hebben de aanvallers specifiek informatie over mensen met betalingsproblemen. Dat is goud waard voor wie er misbruik van wil maken. Ze kunnen waarschijnlijk gewoon het lijstje af gaan bellen en binnen een minuut of tien al twee katvangers te pakken hebben.
Twee katvangers, en dan? Dat heeft nauwelijks waarde, daar zijn er genoeg van.

Wat veel meer oplevert, is al deze mensen nogmaals een aanmaning sturen en eisen dat ze gaan betalen. Veel klanten van incassobureau's hebben hun administratie niet op orde en zullen/kunnen niet snel nakijken of ze nu wel of niet hebben betaald. Redelijke kans dat ze dan nogmaals gaan betalen, al dan niet in termijnen... Want ook die "service" zal men leveren.

https://www.nu.nl/economi...oete-van-800000-euro.html
Ik zei "katvanger", maar dat is natuurlijk een voorbeeld en geen onuitputtelijke lijst met opties.

Overigens denk ik niet dat mensen met betalingsproblemen snel grote bedragen naar je over kunnen maken. Het is vaak niet zo dat ze niet betalen omdat ze het wel kunnen, maar niet willen. Je kunt als crimineel natuurlijk wel een grote groep mensen tegelijk aanschrijven, maar dat maakt de kans dat je methode (en jij) ontdekt wordt ook groter.
Overigens denk ik niet dat mensen met betalingsproblemen snel grote bedragen naar je over kunnen maken.
Waarom grote bedragen? 1000 keer 100 euro, is een bedrag wat ik niet dagelijks krijg bijgeschreven...
Het is vaak niet zo dat ze niet betalen omdat ze het wel kunnen, maar niet willen.
Daarom zorg je er ook voor dat je niet teveel eist. 100 euro of zo is met zulke grote groepen meer dan genoeg. En vervolgens een beetje druk zetten door te dreigen.
Je kunt als crimineel natuurlijk wel een grote groep mensen tegelijk aanschrijven, maar dat maakt de kans dat je methode (en jij) ontdekt wordt ook groter.
Who cares? Voordat dit het grote publiek bereikt, heb jij al vele tonnen verdient. En wanneer je dan ergens verblijft waar justitie geen invloed heeft, is er niets aan de hand.
[...]
Waarom grote bedragen? 1000 keer 100 euro, is een bedrag wat ik niet dagelijks krijg bijgeschreven...
[...]
En 100 euro is vaak een bak geld voor de klanten van een incassobureau. Dat willen ze echt niet zomaar ff snel betalen. Liever ff onder op de stapel van (on)geopende aanmaningen leggen.
Met 100.000 euro kan jij je niet lang genoeg verstoppen. ;) Bijna iedereen die meer dan vijf jaar geleden een huis heeft gekocht heeft waarschijnlijk al een overwaarde van minimaal dat bedrag, en toch zie ik weinig mensen dat cashen en van de radar verdwijnen.

En het technisch antwoord; banken monitoren actief op verschillende soorten fraude. Een bankrekening van een natuurlijk persoon waar opeens van duizend mensen honderd euro op komt, kan zo maar eens één van die triggers zijn waarbij ze extra onderzoek gaan doen. Dus moet de crimineel zorgen dat ze meerdere bankrekeningnummers heeft, en kom je toch uit op mijn scenario waarbij de gegevens die hier gestolen zijn best eens gebruikt kunnen worden om geldezels te vinden.
Met 100.000 euro kan jij je niet lang genoeg verstoppen. ;) Bijna iedereen die meer dan vijf jaar geleden een huis heeft gekocht heeft waarschijnlijk al een overwaarde van minimaal dat bedrag, en toch zie ik weinig mensen dat cashen en van de radar verdwijnen.
100k per week, of 100k in 5 jaar. Ik denk dat je dit soort criminelen een klein beetje onderschat... Het artikel waar ik eerder naar verwees, doet voorkomen alsof er een boete van 800k is uitgedeeld. Die is alleen niet betaald en zal ook nooit worden betaald. Tevens is 800k voor die groep een schijntje met wat ze hebben verdiend.
En het technisch antwoord; banken monitoren actief op verschillende soorten fraude.
I know ;-) Maar ik weet ook dit helemaal niets zegt. Je kunt monitoren totdat je een ons weegt, zolang je niet volautomatisch hard ingrijpt door bankrekeningen (tijdelijk) te blokkeren, zal een crimineel hier echt niet wakker van liggen.
Een bankrekening van een natuurlijk persoon waar opeens van duizend mensen honderd euro op komt, kan zo maar eens één van die triggers zijn waarbij ze extra onderzoek gaan doen. Dus moet de crimineel zorgen dat ze meerdere bankrekeningnummers heeft, en kom je toch uit op mijn scenario waarbij de gegevens die hier gestolen zijn best eens gebruikt kunnen worden om geldezels te vinden.
Met één geldezel kun je alleen al in NL tientallen bankrekeningen openen, zo moeilijk is dat niet. En dat geld is eerder weg dan dat het onderzoek is opgestart. En dan kom je bij een bankrekening die 1 hooguit 2 dagen is gebruikt. Bij de politie komen na een paar weken de aangiftes binnen, die lopen dus nog verder achter de feiten aan.
Afgelopen jaar onterecht (foutje bij de ANWB) met deze club in aanraking gekomen. Contact ging moeizaam en ze waren tot het botte af onvriendelijk (misschien gebruikelijk bij dit soort bedrijven/deze branche?).

Rare situatie wel dat er zo laat pas wordt gecommuniceerd. Benieuwd of er verder nog een statement komt.
wel dat er zo laat pas wordt gecommuniceerd. Benieuwd of er verder nog een statement komt.
Dat kan ook door ANWB komen, ik ben hierover namelijk vorige week al een mailtje tegengekomen.
De T van Trust kunnen ze in elk geval vervangen door de L van Lek.
Het houdt niet op, niet vanzelf. Is er melding gemaakt bij de AP? Dan kan die er over een jaar of 3 eens naar kijken als ze tijd hebben.
Welke gedetaileerde informatie van de klant hebben ze doorgestuurd dan? Ook gegevens die niet relevant zijn voor een incassobureau maar wel aantrekkelijk voor criminelen zoals telefoon en email?
Ook mijn gegevens zijn terecht gekomen bij TKB. Nadat ik de ANWB hierover benaderde ontving ik deze reactie:

Beste heer xxx,

Wij begrijpen dat het nogal schokkend kan zijn.
Er is vooral data onbeschikbaar gemaakt, “gekaapt” als het ware. We hebben geen aanwijzingen dat gegevens gestolen zijn, maar kunnen het ook niet uitsluiten.
De data die TKB B.V. van u in bezit heeft is de informatie die nodig is om de incassowerkzaamheden uit te kunnen uitvoeren. Vanuit de ANWB ontvangt TKB B.V. hiervoor: Uw naam, adres, geboortedatum, datum van eerste lidmaatschap, de originele factuur, de verstuurde herinneringen en indien bekend uw mailadres en telefoonnummer.
Wel toepasselijke titel op de website van tkb.nl
"Benieuwd hoe wij ervoor zorgen dat uw klanten sneller betalen?"

_/-\o_
Ik ben al 2 jaar geen klant meer van de ANWB, en heb 5 jaar geleden een 'betalingsachterstand' gehad doordat ik van de bank was gewisseld, incasso's faalden en ik misschien iets te enthousiast de ANWB post negeerde.
Naar mijn persoonlijke mening verdient dit bedrijf het om zo snel mogelijk failliet te gaan, liefst met een beroepsverbod voor de verantwoordelijken. Waar gewerkt wordt vallen spaanders, maar als een ransomware virus toegang heeft tot random dossiers dan heb je echt je zaken niet op orde.
Waar ik me dan over verbaas is dit :
"De ANWB heeft een waarschuwing gestuurd naar klanten die ooit een betalingsachterstand hebben gehad. "

Dus iemand heeft een betalingsachterstand om wat voor een reden dan ook. ANWB schakelt (al dan niet direct en/of terecht dat laat ik buiten beschouwing) een incassoburo in.
En die regelen de incasso. Maar als de incasso geregeld is, hoe lang mag zo een bedrijf jouw gegevens dan nog houden ? Eindeloos ? Moet dat niet na afhandeling, of na x tijd na afhandeling vernietigd worden ?
Een bedrijf mag je gegevens net zo lang bijhouden als dat dit nodig is voor hun dienstverlening.

Dit zou kunnen betekenen dat als het dossier gesloten is een deel van de informatie vernietigd wordt. Dit houdt echter nimmer in dat ze je gegevens geheel verwijderen aangezien ze juridisch nodig zijn in je dossier.

Zelfs als jij een verzoek tot verwijdering indient betekend dat niet dat je gegevens direct verwijderd worden, enkel dat medewerkers er geen toegang meer tot mogen hebben.
Nee dat is niet waar, als jij een verzoek tot verwijdering doet moet het bedrijf WEL je gegevens verwijderen.
Wat het bedrijf wel mag doen is je gegevens anonimiseren. Dan is het niet meer herleidbaar naar jou.

Tenzij je natuurlijk nog een lopend dossier hebt. Dan wordt je gegevens natuurlijk niet verwijderd.

[Reactie gewijzigd door Akemi op 8 januari 2021 10:43]

Was dit maar zo. Vraag een bank maar eens jou gegevens te verwijderen als je een nieuwe bank hebt. Ze mogen dit niet eens van de wet aangezien de wetgever deze gegevens nog kan opvragen. Hetzelfde geld voor een hoop bedrijven die verplichtingen hebben of waarbij het primaire proces vereisen dat ze de gegevens moeten vasthouden.

Dus zo stellig als jij hem zet is het wettelijk niet. Sterker nog er zijn legio bedrijven die niet eens aan je verzoek mogen voldoen. En ik heb deze informatie vanuit het bedrijf waar ik werk waar ze een juridisch onderzoek hebben gedaan naar het recht op verwijdering, waaruit kwam dat het wettelijk afdoende was als medewerkers de gegevens niet meer in kunnen zien.

Anders zou fraude plegen ook makkelijk zijn. Eerst allemaal verzekeringsclaims doen waardoor je in een 'fraude' bak terecht komt om vervolgens een claim op het recht om vergeten worden te doen en opnieuw te beginnen. Zo werkt het dus niet.

Of denk anders aan je recht op garantie. Als je gevraagd hebt aan een webwinkel om je gegevens te verwijderen zouden ze niet meer aan je garantie kunnen voldoen omdat ze niet meer kunnen controleren of je wel bij hun heb gekocht. Is je garantie dan ook verlopen? Een bedrijf hoeft immers geen garantie te geven over producten die zij niet verkocht hebben. En volgens hun boeken ben jij geen koper meer, je bent immers verwijderd. Dit zou de bewijslast omdraaien dat jij zou moeten gaan bewijzen dat je weldegelijk bij hun hebt gekocht.

[Reactie gewijzigd door gedonie op 8 januari 2021 10:52]

Uiteraard, als er een wettelijk kader is waaraan men dient te voldoen dan heeft het bedrijf geen keus. Als die er niet is zijn ze wel degelijk verplicht de gegevens te verwijderen of te anonimiseren.

Niet kunnen inzien van gegevens voldoet niet aan de AVG. Recht op verwijdering betekent ook echt verwijderen zelfs uit backups ! (wat natuurlijk geen hond doet)
5 jaar geleden was ik niet op de hoogte dat ik de rekening zelf moest betalen (alles gaat altijd via automatische incasso) en ben ook door deze partij benaderd. Ook ik heb deze brief gekregen van de ANWB. Dit doet me denken dat ze de gegevens dus kennelijk sowieso 5 jaar bewaren..

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee