Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten

Misschien heeft @Arnoud Engelfriet interesse om er iets mee te doen?

Geheel met je eens, ik ben een brave 60+er. Eigens servers voor data en media opslag. Doe me best om onzichtbaar te blijven, dit gaat om mijn hoofd email adres en het voelt net of ze thuis hebben ingebroken.

Ik zou hem maar niet op ideeën brengen

Wat moet hij eraan doen dan gegevens zijn buit gemaakt. Paar ton betalen met hele grote risico dat de gegevena alsnog gebruikt worden.

Dat werkt meestal maar er zijn ook websites waar je met de + in de email niet kunt registreren. Kom je weer niet verder

idd, ze zouden die informatie van jou niet nodig moeten hebben;

En het is eigenlijk al vastgelegd in de AVG onder 'privacy by design'. Er zijn prima privacy-vriendelijkere alternatieven, dit kan gewoon niet.

Denk dat met Azure en co het te triviaal is om een nieuwe publieke storage bucket te openen. Ik weet dat bij AWS heel duidelijk aangegeven wordt dat de gegevens publiek benaderbaar zijn - ook zij hebben last van reputatieschade als een klakkeloze wappie weer eens klantgegevens in een publieke folder zet.

Tegen een domme actie is geen enkele provider opgewassen. Ook bij Azure is een storage account standaard niet bereikbaar van buitenaf en moet je het bewust aanzetten. De waarschuwingen kun je negeren, ook bij AWS. Dit staat dus los van welke cloud of hosting provider ook. De mens is in deze de zwakke schakel geweest helaas.

Wat voor misbruik ben je precies bang voor? We hebben het hier vaak over gegevens die vroeger gewoon in de telefoongids stonden. Bankrekeningnummer niet natuurlijk, maar ook daar lijkt mogelijke schade me beperkt.

[Reactie gewijzigd door kftnl op 22 juli 2024 15:14]

Als je aan de kassa zelf betaalt, worden er toch ook totaal geen persoonsgegevens gevraagd of bijgehouden ? Je moet wellicht wel ticketnummertjes gaan bijhouden, maar dat kan dus perfect zonder enige informatie van de online koper.

Regelgeving (of zelfs hun business case...) rond gegevens die je moet of juist niet moet administreren en voor welk termijn en teneinde van welk doel volgt niet persé dit pad van logica.

Waarmee ik overigens niet wil zeggen dat je beredenering niet klopt, maar het is altijd wel makkelijk om hier van alles van te vinden zo vanaf de oever.

[Reactie gewijzigd door Polderviking op 22 juli 2024 15:14]

Je hoeft bij de supermarkt denk ik ook niet je ID-kaart te laten zien, of wel?

Ik vind het een grappig voorbeeld want dat document wordt juist te pas en te onpas voor van alles gevraagd. Sterker nog er wordt van me verwacht dat ik dat ding altijd op zak heb en een agent kan die zomaar van me vragen.
Een andere populaire, die ook volstrekt onnodig is, is voor hotelreserveringen. En daar worden ze vaak ook nog glashard gescand.
Als ik het datacenter in wil wordt er ook data uit mijn paspoort geadministreerd. Kan je ook wel wat van vinden.

Verder is die data er op ook gevaarlijk, o.a. door hoe we sofi nummers gebruiken in dit land. Het is meer dan een identificatiemiddel, en je kan hem niet aanpassen.
Ik ben iets van 3x een legitimatiebewijs verloren in mijn leven. Dat is info die dus al gewoon op straat ligt. In twee gevallen van verlies vrij letterlijk omdat mijn portefeuille uit mijn zak is (moet zijn) gevallen tijdens het fietsen.

Dat is een dataverlies die ik de staat in ieder geval ter dele aanreken door die achterlijke identificatieplicht wiens nut ook wel stevig betwist kan worden.
Ik heb dat ding al mijn hele leven braaf op zak, volgens mij heb ik hem 7 jaar geleden een keer nodig gehad omdat ik door rood fietste, kan me verder geen moment herinneren dat ik dat ding "zomaar" nodig had.
Ik ben dat ding achteraf gezien dus letterlijk vaker verloren dan dat ik hem nodig had omdat een agent er naar vroeg en dat is dus echt niet omdat ik zo absurd vaak dat ding verlies.

[Reactie gewijzigd door Polderviking op 22 juli 2024 15:14]

Hoe dit eigenlijk moet werken is - jij bent ID nr 957349237853973 die voldoet aan de eisen om transactie 3945792579 te doen, en je hebt toegang tot resources (geld) nr 9345739379A5463. Jij betaalt de transactie, en bedrijf 93457329279 stuurt jou bestelling 92472984728 toe naar adres 390457397 dat alleen in de database van koerier 935723897 staat.

Leuke theorie. Als je een bedrijf hebt dat uitsluitend levert aan zeer privacy-bewuste klanten, dan zou het misschien nog werken ook. Maar als je klanten bestaan uit "gewone mensen" dan gaat dit nooit werken, want gewone mensen willen nou eenmaal dat er een correcte aanhef boven je email staat. En de tweede keer dat ze iets bij je bestellen willen ze hun emailadres en wachtwoord invullen en dan verwachten ze dat al hun andere gegevens alvast ingevuld zijn.
Daarnaast vergeet je een heleboel practische zaken. Wat doet je klant als ie zijn tickets kwijtgeraakt is? "Kunnen jullie me de tickets van bestelling 957349237853973 nog even opnieuw sturen?" Zo'n nummer gaat niemand onthouden. Wat doe je met fysieke goederen, daar zal toch echt een afleveradres bij moeten. Je hebt overigens geen antwoord gegeven op mijn vraag hoe jij voorstelt dat bedrijven met emailadressen om moeten gaan. Ook hebben dierentuinen vaak abonnementen, hoe ga je die op naam zetten zonder de naam van je klant te kennen? (Het alternatief is om abonnementen af te schaffen en iedereen bij elk bezoek de volle prijs te laten betalen. Beter voor de privacy, maar veel slechter voor de portemonnee. Ik wens je succes om dat aan "gewone mensen" klanten uit te leggen.) Tot slot vraag ik me ten zeerste af wat een accountant (en de Belastingdienst) ervan zou vinden als je facturen niet op naam staan, maar in alle velden "willekeurige" getallen staan die nergens toe te herleiden zijn; da's nogal gevoelig voor fraude om maar eens wat te noemen.

Als je die "Privacy" tag naast je naam wil verdienen, no offense Mr RobVanWijk, maar dan is dit toch wel het minste wat je niet alleen moet snappen, maar waar je ook met hart en ziel achter dient te staan.

Ik heb niet voor die tag gekozen, die heeft de site automatisch aan me toegekend.

Bij iets als "privacy" kunnen we stilzwijgend aannemen dat iedereen het eens is met "meer is beter", maar strikt genomen is "privacy was iets van de 20e eeuw, daar doen we tegenwoordig niet meer aan" ook een geldige mening. Dat iemand het niet met je eens is betekent niet dat je dan automatisch kunt concluderen dat ze niet weten waar ze het over hebben.

Maar misschien nog wel het belangrijkste: ik heb nergens gezegd dat je ongelijk hebt, alleen dat je plan in de praktijk onhaalbaar is. Niet alleen omdat je een groot aantal practische vragen niet kunt beantwoorden, ook omdat veel mensen (zelfs degenen die privacy belangrijk vinden) een afweging willen maken tussen privacy en gemak.
Privacy is net zo iets als vrijheid van meningsuiting: op het eerste gezicht zou je denken "meer is beter", maar in praktijk zijn andere dingen ook belangrijk... en soms botsen die met elkaar. In het geval van vrijheid van meningsuiting is dat vaak veiligheid (ook al hebben we vrijheid van meningsuiting "iemand zou politicus X overhoop moeten schieten" roepen mag niet). In het geval van privacy botst het vaak met gebruiksgemak.
Als jij een browserplugin wilt installeren die bij elke website en bij elke bestelling elke keer opnieuw alle gegevens invult, dan is dat zonder meer jouw goed recht. Ik heb er geen enkel probleem mee als jij die keuze maakt. Maar als een andere gebruiker dat onhandig vindt en liever heeft dat de website dat zelf onthoudt, dan is dat net zo goed een geldige mening. Ik vind het niet acceptabel als jij probeert om andere mensen te dwingen dezelfde keuze te maken als jij.

Maar het maakt het voor een kwaadwillende weer een stukje makkelijker is om te phishen als die weet bij welke bank je zit. Dan kan die precies de juiste email sturen of uit naam van je bank bellen om verdere gegevens te ontfutselen. Aanvullende informatie rondom je persoon is juist waardevol voor die lieden omdat het de kans op geslaagde aanvallen vergroot.