AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand informeerden

De Autoriteit Persoonsgegevens heeft de afgelopen weken brieven gestuurd naar 46 bedrijven die na het lek bij de ticketverkoper Ticketcounter in maart, klanten en de toezichthouder niet informeerden. Het gaat vooral om bedrijven uit de cultuur- en entertainmentsector.

De AP wil tegenover NU.nl niet aangeven om welke bedrijven het gaat. Het zou om zowel grote als om kleine organisaties gaan, zoals musea, theaters, dierentuinen en evenementenbureaus. Ook retailbedrijven die via acties toegangskaarten verkochten vallen onder de 46 bedrijven, zegt de toezichthouder.

Deze bedrijven waren klant bij Ticketcounter. Ticketcounter levert ticketverkoopdiensten die sites kunnen integreren in hun verkoopproces. In maart maakte dit bedrijf bekend dat door een menselijke fout een database met klantgegevens van 1,5 tot 1,8 miljoen klanten onbeveiligd online was verschenen. Deze gegevens werden via het darkweb aangeboden.

Ticketcounter nam na het datalek contact op met de AP en de zakelijke klanten. Deze zakelijke klanten moesten het lek zelf ook melden bij het AP en hun eigen klanten inlichten. Ticketcounter mag deze consumenten niet zelf inlichten, omdat deze niet direct klant zijn van Ticketcounter. Ticketcounter wees bedrijven op die meldplicht.

Hoeveel klanten niet op de hoogte zijn dat hun data op straat ligt, is onduidelijk. Ticketcounter zei eerder dat 'meer dan tientallen, maar niet honderden' bedrijven hun software gebruiken. In het bestand stonden onder meer de naam, e-mailadres, telefoonnummer, adres, geboortedatum en IBAN. Wachtwoorden en creditcardgegevens zijn niet gelekt.

Door Hayte Hugo

Redacteur

Feedback • 11-06-2021 12:29 37

11-06-2021 • 12:29

37

Lees meer

'Serieuze zaken vergen serieuze boetes'

27 mei 2021

'Serieuze zaken vergen serieuze boetes'

Interview met Aleid Wolfsen over de AVG

96
Nederlandse AVG-boetes zijn hoog

13 mei 2021

Nederlandse AVG-boetes zijn hoog

AP straft niet veel, maar bovengemiddeld hard

83
Meldplicht cyberincidenten wordt waarschijnlijk uitgebreid naar meer sectoren
Meldplicht cyberincidenten wordt waarschijnlijk uitgebreid naar meer sectoren Nieuws van 3 december 2021
Ticketverkoper licht zelf klanten in over datalek na klacht van AP
Ticketverkoper licht zelf klanten in over datalek na klacht van AP Nieuws van 5 juli 2021
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren Nieuws van 15 juni 2021
Persoonsgegevens van duizenden klanten van zelftestbedrijf zijn uitgelekt
Persoonsgegevens van duizenden klanten van zelftestbedrijf zijn uitgelekt Nieuws van 14 juni 2021
Autoriteiten halen darkwebmarktplaats voor inloggegevens Slilpp offline
Autoriteiten halen darkwebmarktplaats voor inloggegevens Slilpp offline Nieuws van 13 juni 2021
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek Nieuws van 13 juni 2021
Orthodontist krijgt AVG-boete van 12.000 euro wegens formulier zonder https
Orthodontist krijgt AVG-boete van 12.000 euro wegens formulier zonder https Nieuws van 10 juni 2021
Ministers van Onderwijs: Google past onderwijssoftware voor begin schooljaar aan
Ministers van Onderwijs: Google past onderwijssoftware voor begin schooljaar aan Nieuws van 9 juni 2021
Autoriteit Persoonsgegevens kreeg in 2020 minder meldingen en klachten binnen
Autoriteit Persoonsgegevens kreeg in 2020 minder meldingen en klachten binnen Nieuws van 8 juni 2021
'AP adviseert onderwijs te stoppen met Google Workspace wegens AVG-zorgen'
'AP adviseert onderwijs te stoppen met Google Workspace wegens AVG-zorgen' Nieuws van 8 juni 2021
New York Pizza waarschuwt klanten voor datalek - update
New York Pizza waarschuwt klanten voor datalek - update Nieuws van 2 juni 2021
AP: nieuwe wet gegevensuitwisseling zorg is risico voor medisch beroepsgeheim
AP: nieuwe wet gegevensuitwisseling zorg is risico voor medisch beroepsgeheim Nieuws van 28 mei 2021
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand Nieuws van 23 mei 2021
NS reset wachtwoorden van 2100 accounts na credential stuffing-aanval
NS reset wachtwoorden van 2100 accounts na credential stuffing-aanval Nieuws van 20 mei 2021
AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde
AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde Nieuws van 19 mei 2021
Autoriteit Persoonsgegevens pleit bij informateur voor verviervoudiging budget
Autoriteit Persoonsgegevens pleit bij informateur voor verviervoudiging budget Nieuws van 19 mei 2021
Canadese site LocateFamily.com krijgt AVG-boete van 525.000 euro van AP
Canadese site LocateFamily.com krijgt AVG-boete van 525.000 euro van AP Nieuws van 12 mei 2021
PVV Overijssel krijgt 7500 euro AVG-boete voor e-mail met zichtbare ontvangers
PVV Overijssel krijgt 7500 euro AVG-boete voor e-mail met zichtbare ontvangers Nieuws van 11 mei 2021
Klantgegevens van ServerKast.com en PatchKast.nl zijn buitgemaakt bij hack
Klantgegevens van ServerKast.com en PatchKast.nl zijn buitgemaakt bij hack Nieuws van 11 mei 2021
Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten
Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten Nieuws van 1 maart 2021
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek Nederland

Reacties (37)

-Moderatie-faq
37
36
21
5
1
9
Wijzig sortering
todeko 12 juni 2021 12:13
Deze boetes zijn wel terecht.
Laten we even 'namen en shamen': het Keukenhof is een van de bedrijven die gebruik maakt van Ticketcounter.
Mijn (uniek) emailadres gebruikt voor Keukenhof-tickets was gelekt volgens Ticketcounter. Van Keukenhof nooit iets gehoord, en nog erger, na het vragen tot wissen van mijn gegevens bij Keukenhof ook nooit een antwoord gekregen.
sambalbaj 11 juni 2021 13:31
Heeft de Autoriteit Persoonsgegevens ook bij Ticketcounter zelf navraag gedaan waarom ze veel van die gegevens zolang bewaarden, ook omdat hun eigen privacyverklaring eerder maar een jaar aangaf?
purge @sambalbaj12 juni 2021 11:30
Het is inderdaad toch wel erg bijzonder dat persoonsgegevens zo lang worden bewaard. (Dat kan ook de verantwoordelijkheid zijn van de verschillende bedrijven.)

Dat bedrijven een bewaarplicht hebben van financiële gegevens voor een x-periode, dat begrijp ik. Dat daarvoor een bankrekening nummer bewaard moet worden. Dat begrijp ik ook.
Dat daarvoor andere persoonsgegevens bewaard moet worden vind ik dan niet oké.

Als ik een bestelling plaats voor enkele kaartjes voor 1 juli 2021 en ik die dag ben geweest. Dan is er daarna geen noodzaak meer om mijn gegevens te bewaren. (of een redelijke korte termijn na 1 juli)
Tenzij ik heb aangegeven dat dit mag voor toekomstig gebruik. Bijvoorbeeld het gebruik van mijn mail adres voor een leuke actie op mijn verjaardag. (Dan is alleen mijn mailadres en geboortedag en -maand nodig)

Wat mij betref mag er veel meer aandacht komen voor de bewaartermijn van persoonsgegevens.
pmeter @purge13 juni 2021 11:20
Als de verkopende bedrijven hun data netjes zouden opschonen, hoe kunnen zij dan de klanten informeren over het lek bij Ticketcounter? Want dan weten zij niet meer wie hun klanten waren.
karma4 11 juni 2021 17:22
Dat kan nog een raar verhaal worden.
De betreffende organisaties hoeven niet eens te weten waarover en over wie het gaat.
Als ticketmaster de gehele verwerking doet dan is er niets bij die andere partijen.
Die moeten ineens gedwongen persoondgegevens gaan verwerken wegens die melding. Dat is strijdig met de GDPR.
purge @karma412 juni 2021 11:10
De verantwoording is precies andersom. De verschillende organisaties zijn verantwoordelijk voor de persoonsgegevens. Ticketcounter als gegevensverwerker heeft geen juridische basis om de getroffen personen in te lichten. (https://autoriteitpersoon...r-een-datalek-melden-7960)

[Reactie gewijzigd door purge op 22 juli 2024 21:53]

karma4 @purge30 juni 2021 20:18
Dat neemt de AP aan maar ik zie geen onderbouwing.
Een kaartverkoper / de toegangspas hoeft niet op naam van waar je toegang krijgt te staan.
Klinkt dan leuk om te gaan eisen persoonsgegevens bij de verwerker / te gaan opvragen als die er niet zijn.
alt-92 @karma412 juni 2021 19:41
Not quite. Als mijn werkgever niet langer de salarisstroken zelf doet maar dat uitbesteed aan ADP bijvoorbeeld, dan zijn zij nog steeds gegevenshouder en verantwoordelijk.

Niet uniek overigens. Je ziet hetzelfde bij je online bestellingen - jouw aanspreekpunt als er iets misgaat bij de verzending is de verzendende partij, en niet tante post. Jij hebt geen verwerkingscontract met de post, dat heeft de webshop.
karma4 @alt-9230 juni 2021 20:16
Not quite. Je voorbeeld gaat mank bij uitzendkrachten niet het bedrijf maar de tussenliggende partij is waar de verantwoordelijkheden liggen. Het is inderdaad niet uniek om meer diensten uit te besteden door op het oog zichtbaar is.
Plainside 11 juni 2021 13:27
Sorry, maar maak ze lekker bekend... Ik snap dat het niet leuk zal zijn voor de kleintjes, maar als AP ze blijft beschermen gaan bedrijven(jes) het alsnog nooit leren. Tis duidelijk dat er opvoeding nodig is bij bedrijven m.b.t. persoonsgegevens.
oef! @Plainside11 juni 2021 15:41
Tja, we kunnen het glasblazerij-museum in Wuustwezel (ofzo) wel aan de schandpaal nagelen en de vrijwilligers daar eens goed op hun flikker geven.

Maar daar bereiken we ook niks mee.
Tc99m @oef!11 juni 2021 19:52
Als een organisatie (grotendeels) van vrijwilligers afhankelijk is, ontslaat hun dat niet van hun (wettelijke) verplichtingen en verantwoordelijkheden. Het zou wat zijn als je je daar steeds achter kunt verschuilen.

Voor de getroffenen kan het heel nare en reële gevolgen hebben, en zoveel moeite is het nu ook weer niet om een mail te sturen om die personen te informeren dat hun gegevens betrokken waren bij een datalek, dat hoeft geen drie maanden te duren. Dat dit blijkbaar nog niet is gedaan is gewoon onkunde en/of nalatigheid.

[Reactie gewijzigd door Tc99m op 22 juli 2024 21:53]

hmartino @oef!11 juni 2021 17:29
Ik vind dat nogal een kort door de bocht reactie. Als je een museum runt. Gebruikt maakt van Ticketmaster, en er blijkt een datalek. Waarbij je een meldplicht hebt. Dan moet je je eraan houden. Of je nu met vrijwilligers werkt of niet. Het hoort bij het runnen van een museum. Anders moet je lekker je kaarten op een andere manier verkopen. Die keuze heb je. De wet en regelgeving is er niet voor niets.
Woodsnaps @hmartino11 juni 2021 17:54
Daarbij kan ik mij ook niet voorstellen dat er, hoe klein het "bedrijf" zoals het museum in het voorbeeld, niet minstens 1 persoon in dienst heeft, zoals de directeur.
Thile @Plainside11 juni 2021 13:55
Waarschijnlijk doen ze dit vanwege gebrek aan capaciteit.
Als ze 'naming & shaming' gaan doen, zullen we zeker van hun zaak moeten zijn: als een (of meerdere) van die bedrijfjes dan de AP gaan aanklagen voor laster, zijn ze daar weer tijd en geld mee kwijt en kans dat de rechter ook zegt dat ze eerst gedegen onderzoek hadden moeten doen, voordat ze dit naar buiten brachten.

Als nu van die 46 bedrijven, alsnog 35 hun klanten inlichten, hebben ze zowel resultaat behaald (klanten ingelicht) en kunnen ze zich concentreren op de 11 missenden. Daarbij zou voor de 35 eventueel nog gedacht kunnen worden aan een boete vanwege het te laat melden, wat wellicht minder werk is dan een heel onderzoek naar het niet melden van een lek, immers geven de bedrijven toe een lek te hebben gehad door het inlichten van klanten.
Nystran @Plainside12 juni 2021 22:00
Sorry, maar maak ze lekker bekend...
En dan blijkt straks bij de rechter dat het AP hun onderzoek net niet goed genoeg onderbouwd had... En dan mogen ze alle reputatieschade voor dit bedrijf gaan vergoeden. Naast het geld, ook reputatieschade voor het AP. Nee, ik snap dat ze hier voorzichtig in zijn.

Het gaat hier om een brief, niet het uitdelen van een boete die juridisch vaststaat. We weten niet eens wat in de brief staat. Misschien is dit wel: "Reminder: mocht u uw klanten nog niet op de hoogte gesteld hebben van het ticketmaster lek. Hiertoe bent u wettelijk verplicht." In een dergelijk geval is naming en shaming niet op z'n plaats, want het AP weet niet eens of ze hun plicht gedaan hebben.
H1sDudeness 11 juni 2021 13:31
Waarom maakt het AP dit niet publiekelijk bekend wanneer de bedrijven dit weigeren? Dit alles hoort toch te gebeuren in het belang van de consument/burger, niet in het belang van de bedrijven die hun plicht niet vervullen.

Het is dus een mysterie of mijn data gelekt is en de partijen die het weten willen het niet delen.... goed geregeld dus weer.
bytemaster460 @H1sDudeness11 juni 2021 13:47
Dat gebeurt met een hoop andere boetes ook niet. Het is niet bedoeld om te schandpalen waardoor bedrijven kapot kunnen gaan maar als een stok om mee te slaan zodat ze zich aan de wet gaan houden.
H1sDudeness @bytemaster46011 juni 2021 15:22
Alleen gaat het hier om MIJN data. Als er iets van jou gestolen wordt, dan neem ik toch aan dat je daar van op de hoogte gebracht wordt.

[Reactie gewijzigd door H1sDudeness op 22 juli 2024 21:53]

bytemaster460 @H1sDudeness11 juni 2021 16:11
Ja, maar er wordt niet gepubliceerd wie er iets gestolen heeft.
Ze krijgen de boete omdat ze de mensen niet gewaarschuwd hebben, vervolgens wordt verwacht dat ze dat alsnog doen, anders hangt een nieuwe boete boven het hoofd.
Nightscope 11 juni 2021 13:05
Het verbaasd mij dat hier zo laks over wordt gereageerd. Mag je dan niet een boete uitdelen wanneer je de wet zo negeert?
TheekAzzaBreek @Nightscope11 juni 2021 14:31
Dat kan nog komen.

Bij een presentatie van de AP een jaar of wat terug stelden ze dat hun belangrijkste doel gedragsverandering is, straf komt op de tweede plaats. Mogelijk proberen ze die bedrijven eerst hun klanten te laten informeren om bij weigering pas op te treden.
Mayonaise 11 juni 2021 15:41
Op één of andere manier denken managers dat wanneer het om security en privacy gaat, dat ze er mee weg kunnen komen. Kan iemand mij uitleggen waarom ze nooit naar IT'ers luisteren alsof we zaagkoppen zijn?
GoGoHaRrY 11 juni 2021 17:05
Ik heb over dit datalek ook een mailtje ontvangen van I have been Powned dat er een emailadres van mij bij zat. En ben ik persoonlijk ook niet ingelicht door de partij waar ik dit mailadres gebruikt heb.

Gelukkig weet ik welk bedrijf dit was omdat ik voor ieder bedrijf een aparte alias aanmaak op een domein van mij.

Ben benieuwd of ik nog ingelicht ga worden.
Tomatoman 11 juni 2021 12:43
Ticketcounter zei eerder dat 'meer dan tientallen, maar niet honderden' bedrijven hun software gebruiken.
Dat interpeteer ik als 100 tot 200 bedrijven. Met 46 van die bedrijven die hun klanten niet informeerden, zou het gaan om zo’n 25 tot 50 procent. Zeker gezien het feit dat ze wel netjes zijn geïnformeerd over de meldplicht aan hun klanten vind ik dat best veel.
Floort
@Tomatoman11 juni 2021 13:11
25%-50% Is nog relatief veel. Bij dit incident zijn 75 van de 1200 gemeld. Bron: https://autoriteitpersoon...icrosoft-exchange-servers en https://www.ncsc.nl/actue...schade-microsoft-exchange
Bor Coördinator Frontpage Admins / FP Powermod @Tomatoman11 juni 2021 13:27
Met tientallen wordt doorgaans een getal onder de 100 bedoelt. Zonder exacte cijfers hebben dit soort inschattingen weinig zin.
Tomatoman @Bor11 juni 2021 13:31
Ze hadden het niet over tientallen, maar over ‘meer dan tientallen’, precies zoals ik citeerde.
BleghBlarg @Bor11 juni 2021 13:33
de quote zegt ook MEER dan tientallen. Vandaar.
0romis 11 juni 2021 14:01
Ik kreeg een melding van have i been pwned over deze lek dat mijn email adres hiertussen zat. Ik heb nooit een mail gehad van een bedrijf Ik heb dus geen idee bij welk bedrijf het gelekt is.
comecme @0romis12 juni 2021 17:25
Hoe kan haveibeenpwnd aan deze data komen? Ticketcounter mag wettelijk de getroffenen niet inlichten. Mag have i been pwnd dat dan wel?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq