Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Ticketverkoper licht zelf klanten in over datalek na klacht van AP

Ticketcounter waarschuwt klanten per mail dat ze door het datalek van afgelopen februari zijn getroffen. Getroffen Kruidvat-klanten laten aan Tweakers weten dat ze een mail hebben ontvangen van Ticketcounter. Dat Ticketcounter en niet Kruidvat de mails stuurt, is opvallend.

Normaliter moet het bedrijf waarbij een klant iets koopt, in dit geval een kaartje, de klant inlichten als er via een datalek gegevens zijn gestolen. Dat geldt ook als dit datalek niet bij het bedrijf zelf is ontstaan, maar bij een dienst waarvan het bedrijf gebruikmaakte. Ticketcounter verzorgt de kaartverkoop voor diverse bedrijven, waaronder Diergaarde Blijdorp, Dierenpark Amersfoort en sommige DPG Media-titels.

Na het datalek van afgelopen februari hebben diverse van deze bedrijven dan ook de getroffen klanten ingelicht. Vorige maand bleek echter dat 46 bedrijven dit nog niet hadden gedaan. De Autoriteit Persoonsgegevens stuurde deze bedrijven een brief waarin ze werden aangespoord om het datalek alsnog te melden, zowel bij de AP als bij de klanten zelf.

Nu blijkt dat Ticketcounter klanten zelf inlicht over het datalek. Verschillende tweakers laten weten mails te hebben gekregen over het datalek. Het gaat om klanten die bij Kruidvat tickets hebben gekocht. "Tot op heden is er helaas nog onduidelijkheid over wie de klanten van Kruidvat moet informeren", schrijft Ticketcounter in de mail. "Om ervoor te zorgen dat u op de hoogte komt van dit datalek, hebben we in goed overleg met de Autoriteit Persoonsgegevens besloten om u vanuit Ticketcounter deze mail te sturen."

Volgens de mail zijn namen, e-mailadressen en telefoonnummers van klanten uitgelekt. Van klanten die met iDEAL betalingen hebben verricht, ligt ook het IBAN op straat. De data is uitgelekt doordat de gegevens via een menselijke fout in een Azure Storage-container terechtkwamen. Deze was niet beveiligd en is door criminelen gekopieerd. De criminelen boden de gegevens aan op het darkweb. 1,5 tot 1,8 miljoen klanten staan in de database, al kunnen hier volgens Ticketcounter ook dubbelingen tussen zitten.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

05-07-2021 • 15:59

36 Linkedin

Reacties (36)

Wijzig sortering
Ik ben van mening dat ieder bedrijf het gewoon netjes bij de klanten moet melden als er data is gelekt.

En als ze het helemaal goed willen doen ook meteen van iedereen de wachtwoorden resetten.
Wélk bedrijf ? het bedrijf waar jij iets koopt óf het uitvoerende bedrijf dat onderwater werkt ?
-> dat bedoelen ze te zeggen, dat dat deel niet duidelijk is. ik kan mij voorstellen dat kruidvat in dit geval vind dat Ticketcounter de mensen moet informeren omdat kruidvat dan geen naamschade lijd door Ticketcounter. echter heb jij je ticket gekocht via kruidvat en zijn zij de verkoper. dit schept onduidelijkheid.

[Reactie gewijzigd door Ziglar op 5 juli 2021 16:06]

Het bedrijf waarmee ik handel. Dat bedrijf heeft namelijk een verwerkersovereenkomst met een eventuele 3e partij. Maar ik heb een overeenkomst met het bedrijf waar ik wat koop.
Wélk bedrijf ? het bedrijf waar jij iets koopt óf het uitvoerende bedrijf dat onderwater werkt ?
-> dat bedoelen ze te zeggen, dat dat deel niet duidelijk is. ik kan mij voorstellen dat kruidvat in dit geval vind dat Ticketcounter de mensen moet informeren omdat kruidvat dan geen naamschade lijd door Ticketcounter. echter heb jij je ticket gekocht via kruidvat en zijn zij de verkoper. dit schept onduidelijkheid.
Wettelijk gezien is hier eigenlijk geen onduidelijkheid.

Als jij direct gekocht en betaald hebt via Kruidvat en je gegevens voor de koop bij Kruidvat ingevuld hebt, die vervolgens onderwater via een dienst van Ticketcounter de tickets voor jou inboekt, dan is Kruidvat volgens de AVG de verwerkingsverantwoordelijke en is Ticketcounter gewoon een verwerker waarmee Kruidvat een verwerkingscontract geregeld dient te hebben.

Bij data lekken stelt de AVG dat de verwerkingsverantwoordelijke de taak heeft getroffen betrokkenen in te lichten. Een verwerker mag dat normaal niet eens. Als een verwerker dat buiten expliciete toestemming van de verantwoordelijke toch doet, dan verwerken ze de adresgegevens van de getroffen betrokkenen buiten toestemming en op eigen initiatief. De AVG stelt hen daarmee op dat moment gelijk aan een verwerkingsverantwoordelijke; incl. alle plichten en risico's die daar mee gepaard gaan. Dat is een mijnenveld waar je je als verwerker normaliter echt niet in wilt begeven. (Vandaar dan ook dat dit in overleg met de AP gebeurd zal zijn. Omdat Kruidvat natuurlijk doet alsof hun neus bloedt; want die wil geen imagoschade aan deze zaak overhouden.)
Op die manier kun je blijven doorverwijzen. Want (hypothetisch) was Microsoft hier niet schuldig aan doordat de storage container niet beveiligd was?
Klopt. Daarom ben ik ook van mening dat Kruidvat dit had moeten melden en niet ticketcounter.
Het ineteresseert mij niet dat Ticketcounter wat wil verdienen aan Kruidvat
Ik deed zaken met Kruidvat - die is mijn aanspreekpunt, dus verantwoordelijk

Als Kruidvat daar een issue mee heeft, moeten ZIJ dat met hun leverancier ( ticketcounter) oplossen.
Dat moeten ze ook, maar blijkbaar konden ze het bij Kruidvat niet eens worden en heeft Ticketcounter nu zelf het heft in handen genomen (na afspraak met AP), maar dit staat ook allemaal in het artikel.

Er staat verder niets over wachtwoorden, dus dan is het lastig resetten.
In dit geval gaat het niet over wachtwoorden, dat klopt. Maar bij veel andere datalekken wel. Ik ben gewoon van mening dat bedrijven te losjes omgaan met cybersecurity.
Toch vind ik het wel laat dat Ticketcounter er nu mee komt. In het voorjaar heb ik al contact gehad met Kruidvat, en zij gaven op 6 april al aan dat zij (hun?) klanten niet zouden gaan informeren:
De reden dat wij u niet hebben geïnformeerd, is omdat deze verantwoordelijkheid bij Ticketcounter lag. Wij gaven geen gegevens door, maar u vulde uw gegevens rechtstreeks in bij Ticketcounter. Zij bepaalden dus welke gegevens nodig waren, hoe lang deze bewaard zouden worden en met wie deze eventueel gedeeld zouden worden, etc. Ticketcounter meende dat zij slechts verwerker waren namens ons. Wij geven op onze actiepagina ook aan "Voor het verzilveren van je unieke code word je doorgestuurd naar de website van onze externe partner. Zij zijn verantwoordelijk voor de bescherming en privacy van de door jou verschafte informatie. Wij raden je aan om hun privacy policy te lezen voordat je (persoons)gegevens verstrekt."
Uiteraard stemmen we dit voor toekomstige samenwerkingen verder af om te voorkomen dat dit in de toekomst nog eens voor komt. Excuses voor verwarring!
Het is wel vies hoe ze hun handen ervan af trekken. Zelfs al zou het na het juridische steekspel blijken dat Ticketcounter inderdaad de verantwoordelijke is, dan nog is Kruidvat de verkoper en ben jij hun klant (die vervolgens aan zijn lot wordt overgelaten)
Kruidvat had op zijn minst de mail eruit kunnen sturen "let op, de data die u bij Ticketcounter heeft ingevuld voor de toegangskaart, die u bij ons heeft gekocht, is gelekt".
Ik vind je eerste opmerking wat wat kort door de bocht. Misschien heeft Kruidvat heel bewust gekozen om geen gegevens te willen verwerken of op te slaan, en is juist daarom met Ticketcounter in zee gegaan. iDeal/Bancontact-betalingen initieer je toch ook vanuit een webwinkel, maar voer je in de bank-omgeving uit? Stel dat de bank gehackt wordt, wie zou er dan een datalek moeten rapporteren, de webwinkel of de bank?
Inderdaad, Kruidvat heeft een extern bedrijf ingeschakeld om dit te regelen. Ze hebben dit er ook duidelijk en ondubbelzinnig bij gezet. Helemaal niets vies aan.
Maar je bent klant bij Kruidvat, niet bij Ticketcounter. Er is dus ook helemaal geen overeenkomst tussen Tickercounter en de Kruidvat-klanten, slechts tussen Kruidvat en de Kruidvat-klanten. Ticketcounter mag waarschijnlijk ook niet zomaar contact opnemen met die klanten buiten de overeenkomst tussen TC en KV om. En dit is een fijne constructie voor een kastje-muur-scenario. KV zegt: ja wij hebben het niet gedaan, je moet bij TC zijn. TC zegt: ja wij hebben geen overeenkomst met je, dus je moet bij KV zijn. De klant trekt uiteindelijk aan het kortste eind. Een beetje zoals een winkel die vertikt garantie te verlenen en zegt dat je het maar met de fabrikant uit moet zoeken, het is immers het product van de fabrikant en niet van de winkel.
Ben je wel de klant van Kruitvat? Ik betwijfel dit, je wordt namelijk vanaf de Kruitvat site doorgelinkt naar Ticketcounter, je voert hier je klant gegevens in en voert de betaling uit.

Op welke wijze ben je dan een overeenkomst aangegaan met Kruitvat? Zij stellen indirect deze gegevens ook niet hebben, al zijn ze niet heel duidelijk hierover, want zij stellen weer dat Ticketcounter bepaald met wie ze het delen.
Ik weet het niet, want ik heb niet gezien hoe het er allemaal precies uitzag. Maar als je zonder de Kruidvat-site niet op die specifieke ticketverkoop-pagina van Ticketcounter kon komen, en het als dienst van Kruidvat gepresenteerd werd, lijkt me dat gewoon bij Kruidvat te liggen.
Toch vind ik het wel laat dat Ticketcounter er nu mee komt. In het voorjaar heb ik al contact gehad met Kruidvat, en zij gaven op 6 april al aan dat zij (hun?) klanten niet zouden gaan informeren:

[...]
Alleen betekent het feit dat je jouw gegevens direct bij Ticketcounter invult, niet ineens dat Ticketcounter de verwerkingsverantwoordelijke is. Ticketcounter handelt nog steeds in opdracht van, en de gegevens die Ticketcounter nodig heeft om dat werk te doen zullen in een verwerkingsovereenkomst vastgelegd moeten zijn geweest, die ook Kruidvat getekend moet hebben. Via het tekenen van die overeenkomst moet Kruidvat ingestemd hebben met en opdracht gegeven hebben tot het verzamelen en verder verwerken van die gegevens.
Ondanks dat het vreemd is, misschien wel goed dat Ticket counter nu de knoop heeft doorgehakt om de mails te versturen. Je zou ergens ook wel kunnen zeggen dat het bedrijf waar het lek heeft plaatsgevonden dit sowieso zou moeten doen, al is het voor de klant waarschijnlijk inderdaad duidelijker als het bedrijf waar de klant het ticket heeft gekocht dat doet.
het zou mij logisch lijken dat Ticketcounter het meld aan haar klanten (kruidvat is de klant van Ticketcounter). en dat de kruidvat het aan haar klanten laat weten. zoals ik het lees staat dat dus niet (goed) vast in wet waardoor er een meningsverschil is wie de naam-schade zou moeten lijden. het is inderdaad goed van Ticketcounter dat ze de knoop doorhakken.
Dat lijkt mij inderdaad ook. Ik zou weten dat ik bij Kruidvat iets heb gekocht, maar als je mij zou vragen of ik in het afgelopen jaar iets bij Ticketcounter heb aangeschaft dan is het antwoord toch echt nee. Dan lijkt het mij veel logischer dat Kruidvat de communicatie voor Ticketcounter doet.
Jij verwoord het net iets beter dan ik haha. Maar ja inderdaad wat ik bedoelde.
zoals ik het lees staat dat dus niet (goed) vast in wet waardoor er een meningsverschil is wie de naam-schade zou moeten lijden
Het staat kristal-helder in de wet. Daar kun je met geen mogelijkheid een meningsverschil over hebben. Dit is gewoon een knap staaltje doen-alsof-de-neus-bloedt van o.a. Kruidvat.
Artikel 34 - Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
Kruidvat en de andere winkels zijn hier de verwerkingsverantwoordelijke. Ticketcounter is in deze enkel een verwerker die door deze winkels ingeschakeld is. Dus het is aan de winkels om hun klanten te informeren.
Dit is een compensatie van Ticketcounter naar hun getroffen klanten (Kruidvat, etc.), zodat die niet hun klanten te hoeven informeren. In dit geval meldt Ticketcounter het dus 'in naam' van de betreffende winkel (en als ze slim zijn, zetten ze dat erbij in de correspondentie).

Als er schade is ontstaan door het lekken van gegevens, dan moet de consument het nog steeds eerst voorleggen aan de betreffende winkel. Die mag het doorzetten naar Ticketcounter, maar de verkopende partij blijft primair verantwoordelijk.

Het is vergelijkbaar met wettelijke garantie voor consumenten. Een winkel kan doorverwijzen naar de fabrikant om zaken af te handelen, maar blijft zelf primair verantwoordelijk (zeker als de fabrikant niet thuis geeft, of dat het onredelijk is wat van de consument gevraagd wordt).

[Reactie gewijzigd door The Zep Man op 6 juli 2021 07:50]

Zoals ik het lees in het artikel heeft Ticketcounter inderdaad Kruidvat bij naam genoemd
het hele verhaal is duidelijk en doorzichting maar de laatste alinea roept bij mij veel vragen op
Van klanten die met iDEAL betalingen hebben verricht, ligt ook het IBAN op straat
Waarom leggen ze die vast bij ticket counter?
De data is uitgelekt doordat de gegevens via een menselijke fout in een Azure Storage-container terechtkwamen. Deze was niet beveiligd en is door criminelen gekopieerd
wanneer ik dit lees lijkt het me bijna een bewuste actie van een onbetrouwbare medewerker.
gegevens zijn per ongeluk naar een azure storage container gekopieerd. dat gaat er bij mij gewoon niet in.
deze was niet beveiligd, dat geloof ik dan nog wel.
en criminelen hebben hiervan de url ontfutseld, ik gok dat de kans groter is geweest dat ze deze toegespeeld gekregen hebben.
Waarom leggen ze die vast bij ticket counter?
Was bij allekabels.nl ook het geval, maar slechts voor orders van de laatste x maanden, dat doet mij vermoeden dat ze deze bewaren voor eventuele terugboekingen te kunnen verwerken bij annuleringen.
Zo opvallend is het toch niet dat Ticketcounter dit doet? Het gaat om meer 'verkopers' en ik kan me voorstellen dat verkopers het graag door Ticketcounter uit/met hun naam laat doen.
Op deze manier is voor de personen om wie een datalek toch niet meer wijs te worden aan wie ze de verantwoordelijkheid over hun persoonsgegevens geven? De Autoriteit Persoonsgegevens geeft niet voor niets aan dat de bedrijven die ticketcounter inhuurde de verantwoordelijkheid hebben om te informeren. Kennelijk trekken kruidvat en ticketcounter zich niet van deze waarschuwing aan. Het klinkt misschien nobel dat ticketcounter het nu maar voor kruidvat doet, maar daarmee lijken ze dus te stellen dat ze een waarschuwing van de toezichthouder niet serieus nemen wie verantwoordelijkheid heeft.
Het klinkt misschien nobel dat ticketcounter het nu maar voor kruidvat doet, maar daarmee lijken ze dus te stellen dat ze een waarschuwing van de toezichthouder niet serieus nemen wie verantwoordelijkheid heeft.
Misschien even beter lezen? Ticketcounter doet dit nu in overleg met de AP, omdat Kruidvat en andere winkels die dit eigenlijk zouden moeten doen, het niet doen.

Wat ik dan niet snap is dat de AP in deze Ticketcounter niet gewoon om een lijst van bedrijven vraagt en vervolgens deze bedrijven dwingt dit te doen. Die mogelijkheid hebben ze gewoon. (Art. 34, lid 4 van de AVG)
In goed overleg is natuurlijk niet zomaar hetzelfde als doen wat eigenlijk de bedoeling is. Als personen slachtoffer zijn weet je dus niet waar je aan toe bent, want zelfs op de mening van de toezichthouder hoef je niet zo veel te rekenen. Kennelijk moet je maar blij zijn dat iemand je misschien gaat informeren.
In goed overleg is natuurlijk niet zomaar hetzelfde als doen wat eigenlijk de bedoeling is.
Doen wat eigenlijk de bedoeling is? Jij had dus liever gehad dat Ticketcounter niets ondernomen had?

Want dat is wat eigenlijk volgens de wet de bedoeling is.
Ticketcounter is hier verwerker en niet verwerkingsverantwoordelijke. Het is de verwerkingsverantwoordelijke die de betrokkenen moet informeren. De verwerker mag dit niet eens doen zonder de expliciete toestemming van de verwerkingsverantwoordelijke. Als ze dat toch zouden doen, dan is dat een verwerking van gegevens die hun boekje te buiten gaat, waarbij de AVG ze ineens zelf telt als verwerkingsverantwoordelijke - incl. alle plichten en risico's zoals beboeting als ze bijv. geen juiste verwerkingsgrondslag hebben; betrokkenen niet informeren dat ze hun gegevens via een derde partij verkregen hebben en gaan verwerken voor doelstelling XYZ; etc.

Juist hierom zal Ticketcounter dit in goed overleg met de AP geregeld hebben. De AP zal wel gevonden hebben dat hier het belang van de betrokkenen beter gediend was als Ticketcounter buiten de wet toch de betrokkenen ging informeren, en Ticketcounter vrijwaarden van enige gevolgen in deze.

[Reactie gewijzigd door R4gnax op 6 juli 2021 17:11]

Ik schrijf niet voor niets als eerste zin dat er zo geen wijs meer uit te worden is voor de personen om wie dit gaat.

De wet heeft meerdere bedoelingen, omdat dat kennelijk niet duidelijk genoeg was had de toezichthouder nog een veel duidelijkere bedoeling en vervolgens wijzigt de toezichthouder weer de bedoeling. Het resultaat is dat je als slachtoffer kennelijk blijer moet zijn dat een of ander bedrijf je ooit eens gaat informeren, terwijl je niets hoort van het bedrijf wat je wel kent, en de toezichthouder dit soort onduidelijkheid kennelijk prima lijkt te vinden.

Als persoon heb je vooral te maken met het bedrijf die om je persoonsgegevens vraagt. Als het te lang duurt kan je natuurlijk de makkelijk de grens maar gaan verlegen wie dan maar wat kan doen, maar dat lijkt me niet redelijk als het om meer gaat dan informeren. Zeker niet als met het verleggen van die grenzen een bedrijf waar je wel duidelijk mee te maken had kennelijk wel je gegevens wil verwerken maar er mee weg lijkt te komen dat ze hun verantwoordelijkheden meerdere keren niet nemen. Dan mag de toezichthouder toch wel eerder veel duidelijker worden waarom ze keuzes maken en wat de slachtoffers mogen verwachten. Dat doet de toezichthouder op geen enkele duidelijke manier.
Die mail heb ik inderdaad ook gehad. Lekker op tijd, zo 5 maanden na het incident. Gelukkig was ik via haveibeenpwned destijds al snel op de hoogte dat mijn gegevens er tussen zaten. Inmiddels komt er op het betreffende email adres (ik gebruik al jaren een catchall mailbox waardoor ik voor iedere account een uniek mail adres kan invullen) geregeld spam binnen.
Krijg een beetje de schijt van al die data lekken en dan maar roepen ik kan er niets aan doen, het is mijn schuld niet, en zoek het maar uit als je spaargeld weg is, de deurwaarder voor de deur staat omdat met jouw gegevens dingen besteld zijn enz.
Meer sancties en auto aansprakelijkheid voor schade, het is gewoon een kwestie van geen geld uitgeven voor beveiliging.
O ja en misschien een ISO normering voor Data opslag van persoonsgegevens, die heb je voor iedere scheet die je laat, dus hier ook wel voor
OK, ruk, maar dan de vraag: hoe kom ik erachter wat er van mij op het Darkweb zwerft? Haveibeenpwned is alleen je mailadres toch?
Ja, je zult nergens al je gegevens vinden op een HIBP-achtige website, juist omdat je er dan gegevens mee kan achterhalen.

Bij HIBP kun je zien uit welk datalek een emailadres-lek komt. Als je in het Kruidvat-lek zit, kun je ervan uitgaan dat alle bovenstaande gegevens uitgelekt zijn.

Dat wordt lastiger bij "gecombineerde" datalekken (bijvoorbeeld Patreon + Kruidvat + Allekabels die samen worden verkocht online). In die gevallen is het bekijken van de gelekte info de enige optie...

Om die combinatielekken voor te zijn, gebruik ik zelf speciale mailadressen per partij. Bijvoorbeeld emailadres+tweakers@gmail.com, of emailadres+000111@gmail.com als je de namen niet gokbaar wilt maken. Bij Gmail en sommige andere partijen wordt alles na de + vaak genegeerd. Op die manier kun je nagaan van welke sites er data gelekt is door te kijken wat voor adres er precies uitgelekt is. Een combinatielek met emailadres+allekabels@gmail.com heeft dus minstens alle data van het allekabels-lek.

Achteraf kun je daar helemaal niks mee. Eens in de zoveel tijd komen er grote dumps langs, zoals die van Facebook, die download ik nog wel eens om mijn eigen gegevens te checken. Dat is echter niet precies legaal omdat je ook de data van anderen downloadt, dus denk daarover na voor je het doet.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True