VodafoneZiggo meldt ook te zijn getroffen door datalek bij marktonderzoeker

Provider VodafoneZiggo blijkt ook te zijn getroffen door een datalek bij een softwareleverancier van marktonderzoeksbureau Blauw. Dinsdag werd duidelijk dat onder meer de NS samenwerkte met het bureau. In totaal zijn veertien partnerbedrijven van Blauw getroffen.

Een woordvoerder van VodafoneZiggo geeft aan dat de provider een van de veertien getroffen partnerbedrijven is, schrijft het AD. Het bedrijf heeft een melding gedaan bij de Autoriteit Persoonsgegevens en zegt nader onderzoek te doen in samenwerking met Blauw en de softwareleverancier. Het is nog onduidelijk van hoeveel klanten data is buitgemaakt.

De NS meldde dinsdag dat het niet al zijn klanten betreft. Het gaat om deelnemers van klanttevredenheidsonderzoeken van de NS; deze groep is mogelijk slachtoffer van het datalek, waarbij namen, telefoonnummers en e-mailadressen zijn buitgemaakt. Waarschijnlijk geldt voor VodafoneZiggo ongeveer hetzelfde.

Het lek vond niet bij de NS of VodafoneZiggo plaats, maar bij een leverancier van marktonderzoeksbureau Blauw. Dit bedrijf voerde klanttevredenheidsonderzoeken uit in opdracht van onder meer de NS. Blauw zei eerder dat het datalek plaatsvond bij software die Blauw gebruikt. Naast persoonsgegevens hebben de hackers ook antwoorden gestolen die klanten hebben gegeven op vragen.

Door Joris Jansen

Redacteur

Feedback • 29-03-2023 16:08
157 • submitter: wildhagen

29-03-2023 • 16:08

157 Linkedin

Submitter: wildhagen

Lees meer

Vodafone schrapt wereldwijd 11.000 banen, geen gevolgen voor Nederland Nieuws van 16 mei 2023
Ziggo zet particuliere abo's automatisch om naar zakelijke op basis van KvK-info Nieuws van 26 april 2023
Vodafone meldt storing met mobiel bellen - update Nieuws van 14 april 2023
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij Nieuws van 12 april 2023
Softwareleverancier moet verplicht data verstrekken over groot datalek Nieuws van 6 april 2023
NOS: datalek bij marktonderzoekers bevat zeker 2 miljoen datapunten - update Nieuws van 30 maart 2023
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken Nieuws van 28 maart 2023
Meer producten en artikelen
Beveiliging en antivirus Datalek Nederland

Reacties (157)

-Moderatie-faq
157
157
55
0
0
93
Wijzig sortering
CH4OS
29 maart 2023 16:11
Wat dat betreft goed dat de AVG wetgeving er is. Het zou zoals nu eigenlijk steeds meer blijkt, eigenlijk nog een paar tandjes strakker moeten met wat hogere en sneller boetes erop. Klaarblijkelijk lachen bedrijven nog een beetje om de gevolgen, als je ziet hoe laks men omgaat met gegevens van klanten/anderen.

EDIT:
En inderdaad, zoveel mogelijk gecentreerd bij 1 partij...

[Reactie gewijzigd door CH4OS op 29 maart 2023 16:12]

Trithereon
@CH4OS29 maart 2023 16:12
Maximale boete is momenteel 4% van de jaaromzet of een maximaal van 20 miljoen.
Denk dat dat toch best nog wel zeer doet.

Daarnaast krijgen ze imago schade waardoor mensen weggaan.
CH4OS
@Trithereon29 maart 2023 16:15
Maximale boete is momenteel 4% van de jaaromzet of een maximaal van 20 miljoen.
Denk dat dat toch best nog wel zeer doet.

Daarnaast krijgen ze imago schade waardoor mensen weggaan.
Tja, de AP heeft nooit echt hele hoge boetes uitgedeeld. Wat dat betreft is dan 4% van de jaaromzet met een maximum van 20 miljoen voor die bedrijven dus peanuts. Anders zou men wel veel beter omspringen met de klantgegevens.

Kleinere bedrijven hebben dit wel goed voor elkaar, waarom kunnen grote bedrijven, die hier veel meer budget voor hebben, dit dan niet en moet alles zoveel mogelijk uitbesteed worden? Nu wordt pijnlijk duidelijk hoe groot een probleem kan zijn, wanneer blijkt dat een derde partij de data zelf niet goed beveiligen kan.

Dat mag best fors aangepakt worden.
batjes
@CH4OS29 maart 2023 17:58
Het is een boete van maximaal 20 miljoen OF 4% van de wereldwijde jaaromzet. Het is naar mijn mening nog lang niet genoeg, maar er is sinds de introductie van de GDPR voor miljarden aan boetes geïncasseerd in de EU.

Het AP ligt aan de ketting van onze overheid en verzuipt in de meldingen. Zolang de VVD een grote partij blijft, gaan die natuurlijk proberen het bedrijfsleven niet te veel in de weg te zitten met lastige geldkostende burgerbeschermende regeltjes.
CivLord
@CH4OS30 maart 2023 07:41
Kleinere bedrijven hebben dit wel goed voor elkaar, waarom kunnen grote bedrijven, die hier veel meer budget voor hebben, dit dan niet [...]?
Hebben kleinere bedrijven het daadwerkelijk beter voor elkaar dan grotere bedrijven? Of zijn kleinere bedrijven een minder aantrekkelijk doelwit (kleinere potentiële buit) en vinden er daardoor minder hacks plaats waarbij data wordt buitgemaakt? Of valt het gewoon minder op wanneer de bakker op de hoek aan iedereen op de mailinglist een mailtje stuurt dat de adressenlijst van de mailinglist is uitgelekt? Of denkt de bakker op de hoek dat het voor iedereen beter is om het gewoon onder de pet te houden? Of heeft de bakker op de hoek geen flauw idee dat de mailinglist door hackers is gestolen?
gamezfreak
@CH4OS29 maart 2023 16:38
Kleinere bedrijven hebben dit wel goed voor elkaar, waarom kunnen grote bedrijven, die hier veel meer budget voor hebben, dit dan niet en moet alles zoveel mogelijk uitbesteed worden? Nu wordt pijnlijk duidelijk hoe groot een probleem kan zijn, wanneer blijkt dat een derde partij de data zelf niet goed beveiligen kan.

Dat mag best fors aangepakt worden.
Omdat zij (grote bedrijven), goedkoper uit zijn om het werk uit handen te laten nemen dan door het zelf (in-house) het te laten doen. Want waarom iemand inhuren / aannemen, als je het ook kan outsourcen en je ermee niet opgescheept zit?

Dat kleine bedrijven het wel goed voor elkaar hebben, is omdat zij zich wel verantwoordelijk voelen om hun IT middelen wel goed op orde te hebben i.t.t. de grote bedrijven. Omdat zij als nieuwkomer zich wel willen bewijzen, dat ook zij goed werk kunnen leveren. Daarnaast speelt het ook dat kleine bedrijven héél bewust van zijn, dat als zij een boete zullen krijgen, dat er niet veel geld meer overblijft. Grotere bedrijven kunnen (en blijkbaar nemen ze) de risico, omdat de kosten niet tegenop de baten zijn, als zij het in-house doen.

Ik zou het liever hebben dat alle bedrijven jaarlijks een audit krijgen omtrent hun IT-middelen, zodat eventuele datalekken, dan wel achterstallig onderhoud / procedures, tijdig gezien kunnen worden en erop gereageerd kan worden. Ik ben bang dat Blauw toch redelijk grote klanten heeft en dus er ook meer klanten én meer gebruikers getroffen zijn. Want heeft NS / VodafoneZiggo wel eens gekeken hoe de afhandeling van gebruikersdata door Blauw wordt gedaan?

Ik denk dat bedrijven nu achterkomen dat té veel outsourcen niet goed is en dat het uiteindelijk voordelig (en beter) is, om eigen mensen te hebben die de kennis hebben om het wel goed te doen.
CH4OS
@gamezfreak29 maart 2023 16:49
Omdat zij (grote bedrijven), goedkoper uit zijn om het werk uit handen te laten nemen dan door het zelf (in-house) het te laten doen. Want waarom iemand inhuren / aannemen, als je het ook kan outsourcen en je ermee niet opgescheept zit?
Dit is dus niet waar. Je kunt best een derde partij inschakelen om het een en ander voor jou te doen, maar de data die dat produceert, is wel degelijk eigendom van die klant. Dat die klant een derde partij inschakelt, betekend niet dat de verantwoordelijkheid over de data opeens verschuift!
Dat kleine bedrijven het wel goed voor elkaar hebben, is omdat zij zich wel verantwoordelijk voelen om hun IT middelen wel goed op orde te hebben i.t.t. de grote bedrijven. Omdat zij als nieuwkomer zich wel willen bewijzen, dat ook zij goed werk kunnen leveren. Daarnaast speelt het ook dat kleine bedrijven héél bewust van zijn, dat als zij een boete zullen krijgen, dat er niet veel geld meer overblijft. Grotere bedrijven kunnen (en blijkbaar nemen ze) de risico, omdat de kosten niet tegenop de baten zijn, als zij het in-house doen.
Dit is precies mijn punt waarom ik vind dat grote bedrijven wat mij betreft harder aangepakt moeten worden.
Ik zou het liever hebben dat alle bedrijven jaarlijks een audit krijgen omtrent hun IT-middelen, zodat eventuele datalekken, dan wel achterstallig onderhoud / procedures, tijdig gezien kunnen worden en erop gereageerd kan worden. Ik ben bang dat Blauw toch redelijk grote klanten heeft en dus er ook meer klanten én meer gebruikers getroffen zijn. Want heeft NS / VodafoneZiggo wel eens gekeken hoe de afhandeling van gebruikersdata door Blauw wordt gedaan?
Een audit gaat dat niet oplossen. Een voorbeeld: Auditor bij NS: "Hoe hebben jullie deze klantdata verkregen en hoe hebben jullie dit beveiligt?" NS: Nou, gewoon, we nemen dienst af bij Blauw..." Auditor: Oke, check bij "uitbesteed". Zie ook Mars4i in 'VodafoneZiggo meldt ook te zijn getroffen door datalek bij marktonderzoeker', Blauw is zelf klant bij een ander bedrijf, daar heeft het lek plaats gevonden (bij een derde partij van een derde partij). Blauw zelf heeft 14 klanten die hun data bij deze derde partij hebben, er zijn dus waarschijnlijk wel meer klanten en inderdaad en ik verwacht dan ook nog wel meer nieuwsberichten hierover op Tweakers. ;) Nebux houdt verder de lippen stijf op elkaar.
Ik denk dat bedrijven nu achterkomen dat té veel outsourcen niet goed is en dat het uiteindelijk voordelig (en beter) is, om eigen mensen te hebben die de kennis hebben om het wel goed te doen.
Laten we het hopen, ik vrees dat dit niet het geval is.
Snow_King
@gamezfreak29 maart 2023 17:11
Wie gaat die jaarlijkse audit dan betalen? Juist, jij als klant.

We gaan zo alleen maar meer regels aan bedrijven opleggen waardoor we binnen die bedrijven alleen maar meer overhead aan het maken zijn. Al die kosten komen bij jou als klant te liggen, want de winst van het bedrijf moet gewoon gelijk blijven.

Ik ben ook Ziggo klant, maar zou ik nu vanwege dit lek weg gaan? Nee, ik ga er inmiddels toch al wel vanuit dat mijn gegevens ergens op straat liggen.

Vragen om extra regels danwel audits is vragen om extra kosten en dus een duurdere dienst.
Helza
@gamezfreak30 maart 2023 15:12
Het bedrijf waar het datalek zat was zelf ISO 27001 gecertificeerd op data security dus het bedrijf was ook geauditeerd behalve veel kosten geen enkele garantie.
-Colossalman-
@CH4OS29 maart 2023 21:40
Het gaat hier toch juist om een kleiner bedrijf? Niet Vodafoneziggo maar een software leverancier van Blauw. Kan best de it-er op de hoek zijn die een programma inelkaar geknutseld heeft.
CH4OS
@-Colossalman-29 maart 2023 23:28
Ik denk niet dat een klein bedrijf de data inzameld voor meerdere grote bedrijven en overheden in Nederland. Daarnaast is een leverancier van Blauw waar het lek geweest is, niet bij Blauw zelf: https://www.computable.nl...gt-marktonderzoekers.html
Overigens maakt het ook niet uit of die derde partij(en) klein(er) zijn. De data is van de klanten van Blauw, zijkn dus ook verantwoordelijk ervoor. Het blijft hun verantwoordelijkheid om te zorgen dat hun data goed beveiligd is, ook als ze dat hebben uit besteed.

[Reactie gewijzigd door CH4OS op 29 maart 2023 23:32]

kodak
@Trithereon29 maart 2023 17:01
De klanten van de klant van de klant van het softwarebedrijf krijgen zelden te horen waar hun gegevens verwerkt worden. Ook nu weer niet: het is bij een softwarebedrijf. Dus valt er niet op reputatie te kiezen. Daarbij laten bedrijven ook ongevraagd je gegevens verwerken: hoeveel van de klanten van het vervoersbedrijf en telecombedrijf heeft zeker expliciet toestemming gegeven om hun gegevens door dat softwarebedrijf te laten verwerken? Waarschijnlijk geen van de klanten. Voorbeeld: als u gebruik maakt van onze klantenservice doet u mee met een tevredenheidsonderzoek. Geen opt-in. Werkwijze van de vervoerder.
En misschien kiezen die bedrijven voor een andere leverancier, een die net zo goed zaken doet met dat softwarebedrijf of net zo goed niet duidelijk van is hoe ze werkelijk met de persoonsgegevens om gaan. Is je risico nog steeds niet minder.
Het moet echt anders. Er is volkomen gebrek aan transparantie, kiezen kan daardoor nauwelijks en de kans op datalekken is niet duidelijk minder door de manier waarop bedrijven elkaar indekken en verantwoordelijkheid afschuiven. De bedrijven gedragen zich nog net als voorheen: ze willen vooral zelf gemak en besparing. De gegevens van klanten gebruiken ze zodat ze er zelf voordeel van hebben, belangen van de eigenaar van die persoonsgegevens zijn bijzaak.

[Reactie gewijzigd door kodak op 29 maart 2023 17:08]

Herko_ter_Horst
@kodak29 maart 2023 17:12
De klanten van de klant van de klant van het softwarebedrijf krijgen zelden te horen waar hun gegevens verwerkt worden. Ook nu weer niet: het is bij een softwarebedrijf. Dus valt er niet op reputatie te kiezen.
NOS.nl noemt de softwareleverancier wel: "De informatie is naar buiten gekomen door het datalek bij softwarebedrijf Nebu, dat het Rotterdamse onderzoeksbureau Blauw als klant heeft."

Hoe het zou moeten gaan, is dat VZ een boete krijgt, deze verhaalt op Blauw, die het op zijn beurt weer verhaalt op Nebu. Ik kan me best voorstellen dat VZ en Blauw geen direct zicht hebben op de beveiliging van data in software van Nebu, maar dat ontslaat ze niet van de verantwoordelijkheid goede gegevensbescherming in elk geval contractueel af te dwingen (incl. genoegdoening als dit niet gebeurt).

[Reactie gewijzigd door Herko_ter_Horst op 29 maart 2023 17:18]

kodak
@Herko_ter_Horst29 maart 2023 17:22
Alleen hoor je dat niet van de verantwoordelijken. Ook niet vooraf. En dat het in juridische verantwoordelijkheid zo is dat een bedrijf waar je klant bent de schade kan verhalen op hun leverancier, die het weer op hun leverancier kan proberen te verhalen, zorgt er overduidelijk niet voor dat die bedrijven uit zichzelf transparant zijn om klanten een inhoudelijke keuze te geven. Het zorgt vooral voor zo min mogelijk transparant zijn zodat ze geen last hebben dat klanten ze op hun keuzes kan afrekenen.
CH4OS
@kodak30 maart 2023 07:50
Dit is precies wat ik bedoelde te zeggen, inderdaad! :) Bedankt voor de toevoeging.
AnonymousWP
@Trithereon29 maart 2023 16:13
Maximale boete is momenteel 4% van de jaaromzet of een maximaal van 20 miljoen.
Je zegt het zelf al: maximale boete. In de werkelijkheid gebeurt dat echt bijna nooit.
latka
@AnonymousWP29 maart 2023 17:19
Ik denk dat ze die bewaren voor die gevallen die gewoon een publieke pagina neerzetten, met daarop mooi in een tabelletje alle gegevens en een hyperlink vanaf de home-page. Inclusief een SEO consultant inhuren om het beter vindbaar te maken... :+
lenwar
@AnonymousWP29 maart 2023 17:27
Klopt. Het moet natuurlijk ook wel een beetje in verhouding staan. De ernst en wat er nou precies niet goed is/was, enz, enz.

Nou kennen we de details van dit incident natuurlijk niet, maar als het ernstig genoeg blijkt zal de boete best flink zijn.
tp2
@AnonymousWP29 maart 2023 22:17
De hoogte van een boete die wordt opgelegd, hangt sterk samen met of je je zaakjes op orde hebt en de privacy-richtlijnen volgt.
Daar lijkt bij de toeleverancier, NeBu te Wormerveer, weinig sprake van te zijn. Zie dit artikel: https://www.computable.nl...gt-marktonderzoekers.html

Deze boete kan daarom nog wel eens aardig gaan oplopen....
The Zep Man
@Trithereon29 maart 2023 16:19
Maximale boete is momenteel 4% van de jaaromzet of een maximaal van 20 miljoen.
Denk dat dat toch best nog wel zeer doet.
Zeps biefstuk-vuistregel:
De hoeveelheid pijn die repercussies doen is evenredig aan het risico dat door die repercussies verantwoordelijken 's avonds aan tafel geen biefstuk (of vervanger) meer kunnen eten.

Met andere woorden:
Enkel een boete voor een organisatie is op zich geen reden om te veranderen, ook al zou dat het wel moeten zijn. Een boete is simpelweg onderdeel van een risicoanalyse, waarbij vaak het risico niet groot genoeg is. De kans dat een organisatie op de vingers getikt wordt is klein, en de impact van het op de vingers tikken is minimaal gezien de daadwerkelijk uitgekeerde boetes. Men zit 's avonds alsnog aan de biefstuk (of vervanger).

Al is het doel van straffen om verandering teweeg te brengen, dan moeten bij nalatigheid (ook) verantwoordelijken persoonlijk aansprakelijk gesteld en gestraft worden. Neem die biefstuk (of vervanger) weg, en men zal anders kijken naar risico's van ongewenst gedrag.

[Reactie gewijzigd door The Zep Man op 29 maart 2023 16:25]

CivLord
@The Zep Man30 maart 2023 07:52
Stel je organisatie is van plan een ander bedrijf in te schakelen voor klanttevredenheidsonderzoek.
Je doet wat marktonderzoek en vraagt wat offertes aan. Eén van die bedrijven heeft in de afgelopen paar jaar twee boetes gekregen voor datalekken. Ze zeggen ervan geleerd te hebben en al hun systemen en procedures te hebben verbeterd.
Maar van de eerste keer hebben ze duidelijk niet genoeg geleerd om de tweede keer te voorkomen. Welke garantie is er dat er geen derde keer komt? Wanneer die derde keer komt en de data van jouw klanten liggen op straat, dan krijg jij meteen de schuld. Je bent in zee gegaan met een organisatie met een bewezen slechte track-record en hebt dus (in ieder geval in de ogen van de publieke opinie) een lage prijs de voerkeur gegeven boven de veiligheid van de data van je klanten.
Elk alternatief is beter dan een bedrijf met een paar boetes voor datalekken, zelfs wanneer die alternatieven op papier minder betrouwbaar zijn.
The Zep Man
@CivLord30 maart 2023 07:59
Stel je organisatie is van plan een ander bedrijf in te schakelen voor klanttevredenheidsonderzoek.
Je doet wat marktonderzoek en vraagt wat offertes aan. Eén van die bedrijven heeft in de afgelopen paar jaar twee boetes gekregen voor datalekken. Ze zeggen ervan geleerd te hebben en al hun systemen en procedures te hebben verbeterd.
Maar van de eerste keer hebben ze duidelijk niet genoeg geleerd om de tweede keer te voorkomen. Welke garantie is er dat er geen derde keer komt?
Je scenario is niet realistisch. Je kijkt niet enkel puur naar datalekken in het verleden, maar ook naar bijvoorbeeld (nieuw) behaalde certificeringen en externe rapportages, welke indruk ontstaat in de media bij het in zee gaan met een dergelijk bedrijf, etc.

[Reactie gewijzigd door The Zep Man op 30 maart 2023 08:05]

CivLord
@The Zep Man30 maart 2023 08:24
Klopt. Kijkt naar veel meer. Maar wanneer er iets mis gaat bij een door jouw ingeschakeld bedrijf en dat bedrijf had in het verleden ook al een paar missers, dan is de publieke opinie meteen tegen je, omdat je beter had kunnen weten. Dan maakt het allemaal niets meer uit dat het bedrijf een grondige veiligheidsreorganisatie heeft uitgevoerd, alle relevante certificeringen heeft en dat je een externe audit in je la hebt liggen en die aantoont dat het echt de beste keuze was die je had kunnen maken op dat moment,
kr1z
@Trithereon30 maart 2023 07:06
En die boete word verdeeld onder de klanten waarvan de gegevens gelekt zijn? :+
Polderviking
@CH4OS29 maart 2023 16:13
Waaruit haal je laks handelen? Kan niks concreets vinden over de toedracht.
CH4OS
@Polderviking29 maart 2023 16:17
Wat de toedracht is maakt niet zo heel veel uit. Wel welke data er dus gelekt is. Het liefste wil je natuurlijk niets lekken, dat geld voor elk bedrijf. Maar blijkbaar vind men de beveiliging van die informatie niet belangrijk genoeg.

Mij als (hypothetisch) klant zal het werkelijk aan mijn derrière oxideren hoe mijn gegevens hebben kunnen lekken. Dat het gebeurd is, is al kwalijk genoeg.
MrManuel
@CH4OS29 maart 2023 16:22
Het feit dat er een datalek is staat niet gelijk aan "Blijkbaar vind men de beveilig van die informatie niet belangrijk genoeg".

Of is het zo dat als ik bij jou inbreek thuis en spullen jat dat je die niet belangrijk genoeg vind?
kodak
@MrManuel29 maart 2023 18:03
In dit geval wel tot het tegendeel is bewezen. De bedrijven horen namelijk vooraf aan te tonen dat ze genoeg doen en in de praktijk genoeg te doen zodat het niet zal gebeuren. Zelfs als er geen inbreker is maar wel een lek. En aangezien geen van de bedrijven vooraf en nu achter openheid geeft wat ze voldoende vonden en werkelijk gedaan hebben is het een zeer terechte aanname dat ze er meer belang aan hechten zo min mogelijk te doen. De andere keuze was overigens zo min mogelijk verwerken en uitbesteden, maar ook daar lijkt niet voor gekozen. Ze lijken zelfs geen benul te hebben hoe de gegevens bij hun leveranciers verwerkt worden, anders hadden ze er al open over kunnen zijn.

[Reactie gewijzigd door kodak op 29 maart 2023 18:05]

MrManuel
@kodak29 maart 2023 21:36
"Blauw is lid van de MarktOnderzoekAssociatie (MOA) en we zijn NEN-ISO 9001 en ISO-27001 & ISO-27701 gecertificeerd." aldus Blauw. Nebu B.V. claimt ook 27001 te hebben.
Beiden bedrijven hebben in ieder geval certificeringen die aangeven dat je er vanuit mag gaan dat er over is nagedacht en dat de processen in place zijn.
tp2
@MrManuel29 maart 2023 22:22
Het hebben van een ISO2700x zegt weinig. Het gaat er uiteindelijk om hoe je omgaat met je ICT en beveiliging. Geen idee in welke mate Nebu (toeleverancier van blauw) hun ICT op orde heeft/had, maar de afhandeling van het datalek doet toch wel de wenkbrauwen fronsen....
https://www.computable.nl...gt-marktonderzoekers.html
kodak
@MrManuel30 maart 2023 09:38
Een associatie kan iedereen starten. En er is al jaren duidelijk dat certificering niet genoeg is. De wet eist daarom geen lidmaatschap of certificering, maar de maatregelen die nodig zijn. Je kan er dus niet vanuit gaan dat het daarmee we goed zit. Dat is afschuiven, geen controle hebben.
rijnsoft
@MrManuel29 maart 2023 17:20
Goed punt. Het is te makkelijk om het slachtoffer tot dader te maken.
Polderviking
@CH4OS29 maart 2023 16:19
Wat de toedracht is maakt niet zo heel veel uit.
Lijkt mij toch van cruciaal belang als je een bedrijf nalatigheid in de schoenen wil schuiven.
CH4OS
@Polderviking29 maart 2023 16:21
Dat is het dan toch ook? De data is van NS en/of Vodafone Ziggo en de andere klanten bij Blauw. Men koopt echter niet de verantwoordelijkheid van de data af bij Blauw (dat kan gelukkig ook niet). Het zijn gegevens van de klanten van Blauw, die vergaard is door Blauw. De beveiliging van die data, is dan ook (primair) de verantwoordelijkheid van de klanten van Blauw.
Polderviking
@CH4OS29 maart 2023 16:25
Ik vind een webserver die al drie jaar niet geupdate is een andere gradatie van verwijtbaarheid hebben dan die bizar complexe ransomware en social engineering aanvallen waar je er steeds meer van ziet.

Dat er data uitlekt is in mijn ogen niet automatisch een probleem met laksheid in ieder geval.
CH4OS
@Polderviking29 maart 2023 16:30
Er mag in elk geval best een prikkel komen voor bedrijven om te zorgen dat ze de beveiliging wel goed op orde hebben. Hoe men dat doet, moet ons als consument niet zoveel moeten uitmaken, de bedrijven wel, die hebben zich immers (ook) te houden aan de Wet en die kijkt ook niet echt naar of de machine in kwestie 3 jaar of meer niet onderhouden is, of dat er iemand op een verkeerde link heeft geklikt in een email. Feit is dat er data gelekt is, wat never nooit de bedoeling is.
Polderviking
@CH4OS29 maart 2023 16:35
Uiteraard moet er geen data lekken. Maar mensen die op links klikken bijvoorbeeld is niemand immuun voor.

Ik geef het je te doen iets te verzinnen die de data beveiligd, waar werknemers vanuit hun functie gewoon toegang tot moeten hebben bijvoorbeeld.

En je kan bedrijven vervolgens de stratosfeer in beboeten maar uiteindelijk heb je er ook geen reet meer aan als daar bedrijven daadwerkelijk aan ten onder gaan.
En wellicht wordt het op een goed moment ook wel een issue om überhaupt mensen te vinden die zich nog voor dingen als cybersecurity verantwoordelijk willen stellen als die implicaties van die functie dermate heftig worden.

[Reactie gewijzigd door Polderviking op 29 maart 2023 16:45]

CH4OS
@Polderviking29 maart 2023 16:38
De ene na de andere datalek passeert de revue hier op Tweakers en het zijn vooral de consumenten die tot nu toe te lijden hebben. ;)

[Reactie gewijzigd door CH4OS op 29 maart 2023 16:50]

Polderviking
@CH4OS29 maart 2023 16:45
Dat ontken ik niet?
Je slaat dat probleem alleen veel platter dan het feitelijk is.
CivLord
@CH4OS30 maart 2023 08:00
De datalekken waar persoonsgegevens (van consumenten) bij betrokken zijn, zijn dan ook de enige datalekken die gemeld moeten worden.
Datalekken waarbij enkel bedrijfsgegevens betrokken zijn en geen persoonsgegevens (zeg de technische informatie of financiële informatie) hoeven niet gemeld te worden bij de AP.
Orangelights23
@CH4OS29 maart 2023 16:54
Je aanname dat men beveiliging niet belangrijk genoeg vindt en dat daardoor datalekken voorkomen, laat zien dat je onvoldoende kennis hebt van security maatregelen, risico’s en leveranciersmanagement. Ik heb gewerkt bij organisaties (ben zelf CISO) waar alles compleet dichtgetimmerd was inclusief verschillende assurance statements, maar dankzij een zero day waren ze toch binnengekomen. Helaas pindakaas in dat geval.
CH4OS
@Orangelights2329 maart 2023 17:00
Gaat mij er meer om, dat de grote bedrijven gemakkelijker met het risico omgaan dan de kleinere bedrijven. Ik vind daarom dat de AP best harder mag optreden tegen deze bedrijven, iets wat niet echt gebeurd. Dat geeft mij (als burger) het gevoel dat "onze" data te grabbel ligt, wanneer data lekt (onafhankelijk van de toedracht) gebeurd er (hier in NL in elk geval) te weinig om te zorgen dat alle bedrijven zorgen dat zij hun data goed beveiligen.

En daarnaast is er natuurlijk een verschil in de data intern en de data die gestald is bij een derde partij (of een derde partij daar weer van). In het laatste geval zou eea juist veel strenger moeten zijn. De eigenaar van de data zou altijd verantwoordelijk gehouden moeten worden.
Orangelights23
@CH4OS29 maart 2023 17:22
En op basis van wat doe je die aanname? Ik zie juist de kleinere bedrijven die geen tijd/geld/idee hebben om dit aan te pakken, risico assessments en DPIA’s uit te voeren. Die hebben geen eigen compliance en security afdeling.
kodak
@Polderviking29 maart 2023 17:36
De wet is dat de bedrijven zoveel moeten doen dat ze controle hebben en houden over de persoonsgegevens. Dat is overduidelijk niet de situatie, dat is dus nalatig zijn. Daarbij is het aan deze bedrijven om vooraf te bewijzen dat ze voldoende maatregelen hebben getroffen, niet pas achteraf of dat slachtoffers maar moeten aantonen dat het nalatig was. En geen van de bedrijven lijkt dat uit zichzelf vooraf aan hun klanten aan te tonen, en zelfs na het probleem niet te doen. Ze lijken vooral bezig zo min mogelijk te doen, wat op zich al nalatig is.
WillySis
@CH4OS29 maart 2023 16:24
Volgens de AVG mag je alleen noodzakelijke gegevens opvragen. Ik vraag me af waarvoor men de namen en telefoonnummers nodig heeft. Alleen een e-mail adres lijkt mij voldoende.
Ik geef overigens altijd telefoonnummer 06 1234567890 op als dat verplicht is, maar volgens mij niet noodzakelijk. Nog nooit klachten over gehad.
Polderviking
@WillySis29 maart 2023 16:51
Zal wel een optie in zitten met de vraag of ze contact met je op mogen nemen aan de hand van je resultaten.

AVG is ook helemaal niet zo glashelder over wanneer iets noodzakelijk is.
Als jij een beetje redelijk kan uitleggen waarom je iets uitvraagt is het volgens mij al voldoende.

Als ik bij de gemeente een aanvraag doe om grofvuil op te laten halen bijvoorbeeld willen ze ook een hele lap info, i.p.v. alleen het adres waar het opgehaald moet worden wat denk ik het enige oprecht noodzakelijke is.

[Reactie gewijzigd door Polderviking op 29 maart 2023 16:51]

WillySis
@Polderviking30 maart 2023 21:37
De AVG is inderdaad niet duidelijk over wat noodzakelijk is, maar men moet wel een link naar een privacystatement plaatsen. Daarin hoort ook waar men de data voor gebruikt. Helaas is dat vaak onvolledig, of staat er dat men de data kan delen met "geselecteerde partners". De AVG is wel duidelijk dat het privacystatement volledig moet zijn en gezien eerdere uitspraken van de AP vinden zij de term "geselecteerde partners" niet duidelijk. In het geval van de enquete van Ziggo stonden de "geselecteerde partners" in het privacystatement. Daarbij was niet eens duidelijk welke partij (Ziggo of Blauw) de partners selecteerde.
Waarschijnlijk zat het lek bij Blauw.nl bij een geselecteerde partner die (per abuis) volledige toegang had gekregen.
Nu is het de gewoonte van de AP om na het melden van een datalek wel onderzoek te doen, maar geen boete uit te delen. Mocht Blauw de beveiliging niet op orde hebben, of hebben medewerkers veel meer rechten dan noodzakelijk (waaronder het delen van data met derden), dan hoop ik dat de AP toch eens een boete uit gaat delen. Van een marketingbureau dat enquêtes verzorgt moet je toch blindelings kunnen vertrouwen dat zij de data zeer goed hebben beschermd en dat de gebruikte software daarop wordt getest.
Slaiter
@WillySis29 maart 2023 17:01
Hangt ervan af.

Heb zelf in een oude tijd als medewerken bij een instantie een vraag via een contact formulier gekregen die ik door een dergelijke instelling niet het kunnen beantwoorden. Er zat een *denk tikfout* email adres, want mails kwamen bij een verkeerde persoon aan (dus datalek) en het doorgegeven nummer was toevallig een 0612345678 telefoonnummer.

Persoon heeft nu of onnodig lang op een reactie moeten wachten, of heeft misschien wel een hetsa op fora gestart dat we niet reageren. Had deze persoon ook een telefoonnummer achtergelaten had ik tenminste kunnen bellen (mits daar geen tikfout on).

[Reactie gewijzigd door Slaiter op 29 maart 2023 17:07]

WillySis
@Slaiter30 maart 2023 21:20
Als je een vraag stelt via een contact formulier moet je toch zorgen dat men ook antwoord kan geven. Dan lijkt me een geldig mail adres en/of telefoonnummer wel zo handig.
InfiniteSpaze
29 maart 2023 16:16
Ik begrijp dat er aan een hack soms niet veel te doen is omdat er altijd mensen zijn die slim genoeg zijn om beveiliging te omzeilen. Maar als zulke grote bedrijven persé onze gegevens willen hebben en vervolgens falen in het beveiligen van onze data, zijn zij dan niet verantwoordelijk hiervoor?

Ik kan het zelf niet bevestigen maar krijgen zulke bedrijven nog boetes hiervoor? Is er niet een standaard waar bedrijven aan moeten voldoen m.b.t cybersecurity wanneer ze zoveel persoonlijke info verzamelen?

M'n punt is dat ik vind dat bedrijven geen data over mensen mogen verzamelen als ze het niet voldoende kunnen beveiligen.
WillySis
@InfiniteSpaze29 maart 2023 16:31
Bedrijven moeten op vraag van de AP wel kunnen aantonen dat ze passende veiligheidsmaatregelen hebben getroffen. Helaas leunen bedrijven vaak sterk op software van een derde partij. Als daar een lek in zit wordt het al een stuk moeilijker om boetes uit te kunnen delen.
R4gnax
@WillySis29 maart 2023 19:35
Als daar een lek in zit wordt het al een stuk moeilijker om boetes uit te kunnen delen.
Nee hoor. Dat wordt helemaal niet moeilijker.
Je blijft als verwerkingsverantwoordelijke namelijk zelf wettelijk aansprakelijk ongeacht of je een externe verwerker inschakelt of niet; en onderdeel van jouw plichten onder de AVG/GDPR is in zo'n geval ook om te controleren dat de verwerker hun werk veilig verricht. En kun je dat niet zelf, omdat je de kennis niet in huis hebt daar over te kunnen oordelen, dan kun je daarvoor een andere partij inschakelen die dat wel heeft. Gespecialiseerde auditors zijn heel normaal.

Als Ziggo en de NS niet kunnen bewijzen dat ze zulke controles bij Blauw georganiseerd hebben; dan gaan ze gewoon nat.

[Reactie gewijzigd door R4gnax op 29 maart 2023 19:35]

CivLord
@R4gnax30 maart 2023 08:13
Dat is leuk voor grote kapitaalkrachtige bedrijven als NS en Ziggo.
Hoe zit het met de bakker op de hoek, die af en toe een mailing wil versturen en een klantonderzoekje uit wil voeren? Emailadressen verzamelen en er op letten dat de juiste toestemming gegeven wordt (opt-in, niet opt-out) kan hij allemaal zelf verzorgen door een stapeltje briefjes op de toonbank. Van de rest weet hij dat hij er geen verstand van heeft om het goed en veilig uit te voeren, dus dat besteedt hij uit.
Waar moet hij het geld vandaan halen om het bedrijf dat hij in wil schakelen van boven tot onder door te lichten?
WillySis
@R4gnax30 maart 2023 22:16
De controle kan bestaan uit het opvragen van een privacystatement en een data-handelingsprotocol.
Vaak staat bij een enquête ook welk bedrijf de enquête uitvoert namens klant .... (naam klant). In dat geval is de verwerker van de data verantwoordelijk en aansprakelijk. De opdrachtgevers (NS en anderen) zijn dan niet meer verantwoordelijk omdat er "duidelijk" gecommuniceerd wie de gegevens verzameld en verwerkt.
Software lekken zijn helemaal moeilijk. De verwerkingsverantwoordelijke is aansprakelijk, maar in de meeste gevallen is dat "niet verwijtbaar". Hoe de eventuele schade dan verdeeld wordt is dan aan een rechter. Er is over dit soort lekken nog geen jurisprudentie, maar in de meeste gevallen is het gewoon pech en wordt de "aansprakelijke partij" hooguit veroordeeld tot het betalen van de gerechtelijke kosten.

Het wordt overigens wel eens tijd dat er duidelijke wetgeving komt omtrent datalekken, liefst met standaard vergoedingen aan getroffenen. Van mijn gemeente heb ik eens een bloemetje gekregen omdat ze mijn mailadres (met nog 12 anderen) in de cc hadden gezet ipv in de bcc.
R4gnax
@WillySis30 maart 2023 22:53
De opdrachtgevers (NS en anderen) zijn dan niet meer verantwoordelijk omdat er "duidelijk" gecommuniceerd wie de gegevens verzameld en verwerkt.
Nee. Onder de AVG/GDPR is de verwerkingsverantwoordelijke altijd de partij die aansprakelijk is.

Een verwerker aangenomen door een verantwoordelijke om werk te verzetten wordt dan en slechts dan aansprakelijk, wanneer deze bewijsbaar buiten instructies van de verantwoordelijke gehandeld heeft en zelf middelen en doeleinden en verwerking heeft vastgesteld. Omdat in die situatie en enkel in die situatie de wet de verwerker als directe verwerkingsverantwoordelijke beschouwt.

Dit kun je nalezen en staat kristalhelder in de wetstekst. ( Art 28.10 )
WillySis
@R4gnax31 maart 2023 00:57
Het onduidelijke is niet de wet zelf, maar wie als verwerkingsverantwoordelijke moet aangewezen en welke taken die moet uitvoeren. Daarnaast kan een opdrachtgever gewoon zijn verantwoordelijkheid aantoonbaar hebben genomen door dermate goed onderzoek te doen, dat ze er vanuit kunnen gaan dat aan alle wettelijke (privacy) voorwaarden wordt voldaan. Gewoonlijk ontstaat een rechter een partij dan geheel of gedeeltelijk van aansprakelijkheid. Daarmee komt de aansprakelijkheid (deels) bij de volgende stap te liggen.

Dit hele spel gaat dus van de opdrachtgevers (Ziggo ea) via de marktonderzoeker (Blauw) tot de software leverancier (Nebu).

Wetteksten kunnen dus heel duidelijk lijken, maar in de praktijk dat toch niet zijn.
R4gnax
@WillySis31 maart 2023 01:23
Art 82.2:
Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
Zelfs als een verwerker aansprakelijk zou zijn omdat deze buiten het boekje gehandeld heeft; is alsnog parallel aan de verwerker, ook de verantwoordelijke aansprakelijk.

Dit is een Europese verordening. Er is geen ruimte voor nationale interpretatie. Er is geen ruimte om hier van af te wijken. De verwerkingsverantwoordelijke is altijd aansprakelijk - punt.

Het enige wat zij kunnen doen, wanneer deze aansprakelijkheid ook daadwerkelijk aangesproken wordt, is de schade verhalen op de evt. even zo goed aansprakelijke verwerker.

[Reactie gewijzigd door R4gnax op 31 maart 2023 01:27]

IPrange.net
@InfiniteSpaze29 maart 2023 17:18
Daarom moet er een onderzoek komen en zal men na mijn mening ook de ISO certificering eens tegen het licht moeten houden al dan niet intrekken.
R4gnax
@IPrange.net29 maart 2023 20:10
Daarom moet er een onderzoek komen en zal men na mijn mening ook de ISO certificering eens tegen het licht moeten houden al dan niet intrekken.
Nebu's certificering is een tijdje terug al verlopen zonder vernieuwd te zijn.
Teken aan de wand.

[Reactie gewijzigd door R4gnax op 29 maart 2023 20:10]

roawser
@InfiniteSpaze29 maart 2023 17:53
Zonder enige twijfel hebben Opdrachtgevers (ze noemen zich Verwerkingsverantwoordelijke) jegens Blauw (verwerker) zeer stevige verwerkingsovereenkomsten afgesloten afgedwongen. Ik zie die dingen wekelijks voorbijkomen, daar staat altijd iets in dat Verwerker schadeloos stelt voor enige inbreuk, tevens hun eigen subverwerkers dezelfde plichten oplegt etc etc.

Met andere woorden, Ziggo en NS zullen hier op teruggrijpen, tegen een eventuele auditor zeggen: wij waren 'in control' kijk maar. Glas, plas en verder. Deze Verantwoordelijken zijn enkel gespitst op het uitbesteden van verantwoordelijkheid en schade, maar handelen naar de géést van de AVG (wat doen we met de data van onze klanten, hoe lang hebben we het nodig, wat-als...), daar zou ik van opkijken.
Mars4i
29 maart 2023 16:22
Tweaker Ptish gaf me deze link naar aanleiding van het door NS gemelde datalek gisteren
https://www.computable.nl/artikel/nieuws/security/7487605/250449/datalek-softwarebedrijf-nebu-pijnigt-marktonderzoekers.html

Het zou dus om een ransomware attack gaan bij een software bedrijf genaamd Nebu dat niet erg open lijkt te zijn.

Het geeft bij mij wel een naar gevoel hoe er dus met dit soort data omgegaan wordt. NS/Ziggo/Bedrijf X haalt dus gegevens uit zijn database: Naam, e-mail en telefoonnummers. Stuurt die naar Blauw, die ze weer doorstuurt naar Nebu. Er hoeft in zo'n keten maar 1 zwakke plek te zitten en je data ligt op straat.

Deels schiet je er dus al niets mee op om nooit mee te doen aan dit soort enquêtes. Je naam, email en telefoonnummer worden dus al doorgestuurd naar derden voordat je dat weet. Vraag me af of ze daar geen toestemming voor zouden moeten vragen?
PageFault
@Mars4i29 maart 2023 16:37
Nebu B.V. is heel erg open en transparant, volgens hun website: https://www.nebu.com/nebu-values
CPV
@PageFault29 maart 2023 16:39
Ja dat blijkt wel: "Blauw moest zelfs met een kort geding dreigen om Nebu tot meer openheid te dwingen."
PageFault
@CPV29 maart 2023 17:12
Ballenpartij..... Gaan we nu met z'n allen een recht op inzage verzoek indienen? :+
Autofan1985
@PageFault30 maart 2023 11:33
'Open' is iig gelukt zo is nu gebleken. :+
PageFault
@Autofan198530 maart 2023 13:09
:+ Wagenwijd zelfs!
roawser
@Mars4i29 maart 2023 17:59
Blauw zegt nu zelf dat het Nebu betreft: https://www.blauw.com/nl/datalek-leverancier
Transparantie? Helemaal niet. Waarom staat Nebu niet standaard in hun privacy statement genoemd als subverwerker?

Overigens, de destijds in Budapest verkregen ISO27001 certificering van Nebu is twee weken geleden verlopen... was Blauw niet zodanig in control dat ze dat wisten van hun leverancier en onmiddellijk alle banden verbroken hebben? Is het een "ongelukje"? Ik stel alleen maar vragen.... /s

[Reactie gewijzigd door roawser op 29 maart 2023 18:03]

PageFault
@Mars4i30 maart 2023 10:45
Bij de Vrienden van Amstel live is het ook raak: https://www.nu.nl/tech/62...-straat-door-datalek.html
R4gnax
@PageFault30 maart 2023 23:06
En Blauw gaat kennelijk niet de kat uit de boom zitten kijken, maar gaat een rechtszaak starten waarbij ze Nebu aansprakelijk stellen, aldus de NOS.
PageFault
@R4gnax31 maart 2023 07:50
Gelukkig niet, Nebu blijft in gebreke omtrent informatievoorziening. Dat houden ze hier niet droog.

Er zijn meer onderzoeksbureaus die gebruik maakte van de Nebu prutsels, die zullen ook wel stappen gaan nemen.
digibaro
29 maart 2023 16:11
Heeft Ziggo toestemming voor het doorgeven van de NAW en/of email gegevens voor het uitvoeren van marketing en/of tevredenheidsonderzoek. Was er in het verleden een vinkje wat ik wel/niet heb gemist?
Wasabi!
@digibaro29 maart 2023 16:50
Ja, die zitten verstopt onder https://www.ziggo.nl/mijn...cy/marketing-instellingen
Broud
@digibaro29 maart 2023 16:27
Helaas is daar niet altijd toestemming voor nodig. Zeker tevredenheidsonderzoek wordt vaak gedaan onder het gerechtvaardigd belang.
R4gnax
@Broud29 maart 2023 19:30
Helaas is daar niet altijd toestemming voor nodig. Zeker tevredenheidsonderzoek wordt vaak gedaan onder het gerechtvaardigd belang.
Als ze dat doen hebben ze alsnog een wettelijke meldplicht de betrokkene op de hoogte te stellen van het feit dat hun gegevens verwerkt worden; welke gegevens dat zijn; het feit waarvoor deze verwerkt worden; welke mogelijk derde partijen hier als verwerker bij betrokken zijn; hoe lang die verwerking zal voortduren; onder welke wettelijke grondslag die verwerking plaats zou moeten vinden; etc. En ze zijn verplicht je daarbij te wijzen op je wettelijke recht van bezwaar.
Broud
@R4gnax30 maart 2023 09:12
Behalve dat de derde partijen niet bij naam genoemd hoeven te worden heb je gelijk, en dat doen ze dan ook veelal via het privacy statement.
R4gnax
@Broud30 maart 2023 23:03
Behalve dat de derde partijen niet bij naam genoemd hoeven te worden heb je gelijk, en dat doen ze dan ook veelal via het privacy statement.
Men is inderdaad enkel verplicht de catogorieën van ontvangers te specificeren en is niet verplicht alle individuele ontvangers bij naam te specificeren. Betrokkenen enkel op de hoogte stellen via een algemeen privacy statement is echter ontoereikend. De wetgeving vereist concreet dat de verwerkingsverantwoordelijke deze gegevens bij verkrijging van de persoonsgegevens verstrekt, behalve in die gevallen waar de betrokkene reeds over deze informatie beschikt.

Uit richtsnoeren van de EU Commissie blijkt dat de term 'verstrekken' geinterpreteerd dient te worden als een veel hardere term dan 'beschikbaar stellen.' De verwerkingsverantwoordelijke moet concreet kunnen bewijzen dat de betrokkene deze gegevens gezien en gelezen heeft.

Aangezien ze niet kunnen bewijzen dat een betrokkene daadwerkelijk een losse privacy statement pagina gelezen heeft; of de moeite genomen heeft om een linkje te openen wat naar het privacy statement gaat ('beschikbaar stellen' vs. 'verstrekken' ) - is men de facto verplicht de verwerkers of categorieën van verwerkers bij overeenkomst tot verstrekken van de gegevens expliciet te vernoemen.

Tot nu toe is nog niemand hiervoor op de vingers getikt, maar dat zal voornamelijk komen omdat er eerst nog heel wat laaghangender fruit met meer impactvolle gevolgen af te handelen is.

[Reactie gewijzigd door R4gnax op 30 maart 2023 23:05]

Broud
@R4gnax31 maart 2023 13:45
Heb je een link naar deze richtsnoeren? Informeren d.m.v. een privacy statement wordt gezien als de industry standard, en bovendien geeft de Autoriteit Persoonsgegevens zelf ook aan dat dit voldoende is.
R4gnax
@Broud31 maart 2023 19:42
https://eur-lex.europa.eu...uri=CELEX:52021XC1229(04)

Zie onderdeel 3.1.2 wat expliciet stelt dat bij het sluiten van overeenkomsten op afstand het de bedoeling is om situationeel relevante informatie te tonen bij de stap in het sluiten voor de overeenkomst waar de consument op dat moment bezig is.

En daarnaast onderdeel 3.1.4 wat stelt dat de richtlijn voor consumenten rechten een transversaal karakter heeft met name in zake de verplichtingen voor het voldoen aan informatievereisten naar de consument toe. De richtlijn vormt daarin een aanvulling op andere richtlijnen en verordeningen. En in deze passage wordt ook expliciet de Algemene Verordening Gegevensbescherming (AVG) genoemd.

In onderdeel 4.2.4 komt een gedeelte van 3.1.2 weer terug met de zaak Walbusch Walter Busch en concludeert men dat er bij digitale overeenkomsten niet zoiets bestaat als beperkt beschikbare ruimte omdat men contextueel tekst uit kan vouwen en met hyperlinks naar extra pagina's die toegespitst zijn op de relevante informatie kan doorverwijzen. (Dus niet één algemeen linkje naar een pagina met privacy-beleid-en-zoek-het-maar-uit.)


Ik had een tijd terug ergens ook nog een passage die glashard de tegenstelling tussen het verstrekken en beschikbaar stellen van informatie afkaderde als zijnde dat de eerste een actieve handeling moet vereisen waarbij partij A ook echt bewezen iets aan partij B geeft. Terwijl in geval van het tweede partij A enkel partij B hoeft te hebben gewezen op haar mogelijkheden om de informatie in te kunnen zien.
Helaas moet ik je die referentie - de smoking gun - schuldig blijven; ik kan deze niet meer terugvinden.

[Reactie gewijzigd door R4gnax op 31 maart 2023 20:11]

Broud
@R4gnax1 april 2023 14:08
Ik vind dat je een hele brede interpretatie hebt van bovenstaande richtlijn, waarbij je voor het gemak ook vergeet onderscheid te maken tussen contractuele overeenkomsten en gegevensverwerkingen. Ik kan je in ieder geval vertellen dat er geen enkele organisatie is die op basis van deze richtlijn een risico zou erkennen in het gebruik van een privacy statement, want zoals ik al aangaf, dat is momenteel de norm die onderstreept wordt door de autoriteiten.
R4gnax
@Broud1 april 2023 19:01
Ik vind dat je een hele brede interpretatie hebt van bovenstaande richtlijn, waarbij je voor het gemak ook vergeet onderscheid te maken tussen contractuele overeenkomsten en gegevensverwerkingen. Ik kan je in ieder geval vertellen dat er geen enkele organisatie is die op basis van deze richtlijn een risico zou erkennen in het gebruik van een privacy statement, want zoals ik al aangaf, dat is momenteel de norm die onderstreept wordt door de autoriteiten.
Bovenstaande is een richtsnoer van de EU commissie over hoe zij vinden dat een bepaald lichaam aan wetgeving geinterpreteerd zou moeten worden, cq. bedoeld was. Niet een richtlijn, dwz wetstekst die lidstaten concreet moeten implementerne.

Ik geef je een citaat naar de passages die aangeven dat de principes voor informatievereisten breed geldend gezien moeten worden, ook voor overeenkomsten waar de AVG op van toepassing is. (Overigens; ook het feit dat je bijv. hier op Tweakers een website aan het bekijken bent, is gewoon een overeenkomst voor een dienst die je aangegaan bent.) Dat is alles.

Verder:
Dat de EU van mening is dat de wetgeving op een bepaalde manier geinterpreteerd zou moeten worden; wil niet zeggen dat de samenleving als geheel zich ook dezelfde mening is toebedaan. En zeker de zakelijke sector niet, waar zaken als kosten/baten afwegingen een belangrijke rol spelen. Er wordt immers ook niet sterk op zulke aspecten gehandhaafd; dus het risico dat je met iets erger dan een "foei! doe dit eens niet zo, maar op manier <..>" aanschrijving van de autoriteit te maken krijgt is vrij laag.

En verder is de enige instantie die hier ultiem een knoop over kan doorhakken het hooggerechtshof van de EU.

[Reactie gewijzigd door R4gnax op 1 april 2023 19:04]

Broud
@R4gnax1 april 2023 21:26
Mijn punt is dat organisaties inderdaad risicoafwegingen maken, maar dat jouw standpunt niet wordt gezien als een risico. En dat is niet omdat er een lage pakkans is, maar omdat ze jouw interpretatie nooit zullen overwegen. Ik ben het in ieder geval nog nooit tegengekomen.
michaelkamen
@digibaro29 maart 2023 16:33
Edit:
Het Privacy statement gaat in op wat er allemaal wordt verzameld, en op welke grond.
Over klanttevredenheid staat er dit:
Wij kunnen soms contact met jou opnemen om
te vragen wat jij van onze producten en
dienstverlening vindt. Dit doen wij bijvoorbeeld
per e-mail of telefoon, waarbij wij jou vragen
naar jouw persoonlijke ervaringen met onze
producten en diensten. Jouw antwoorden
gebruiken wij om onze producten en diensten te
verbeteren, zodat wij jou en onze klanten nog
beter kunnen bedienen. Als je hiervoor niet
benaderd wilt worden, kan je je hiervoor
afmelden. Check onder 14 (Jouw Rechten) hoe je
dat doet.

Gegevens:
Accountgegevens
Financiële gegevens
Gebruiksgegevens
Alle gegevens en informatie die jij zelf via
contact met ons deelt (inclusief alle
klantcontactinformatie uit systemen van
VodafoneZiggo).

[Reactie gewijzigd door michaelkamen op 29 maart 2023 16:38]

Qwilo
@michaelkamen29 maart 2023 18:35
Daar staat dat Wij contact opnemen. Dus als klant ga je ermee akkoord dat Ziggo, (of hollandsenieuwe, Vodafone etc.) zelf een mailtje stuurt of belt.

Dat is heel iets anders dat ze toestemming hebben van alle klanten om data aan derden door te geven zodat een wildvreemd bedrijf contact met ze op gaat nemen.

Maar het gaat om "slechts" 700.000 gedupeerden op +/- vier miljoen klanten. Dus gelukkig deelt Ziggo niet zomaar data. (Of in ieder geval niet met Blauw)
digibaro
@michaelkamen29 maart 2023 16:42
Natuurlijk, dank je wel !
haam
@digibaro29 maart 2023 16:18
Wat misschien nog interessanter is, kun je het vinkje ergens weer uitzetten? Ik zit al zeker >10 jaar bij UPC/Ziggo. Misschien heb ik in het verleden ooit ergens mee ingestemd, maar zou niet weten of ik dat ergens kan zien, of zelfs kan terugdraaien
jochem4207
@haam29 maart 2023 16:21
Misschien gaat het wel alleen om klanten die iets hier of daar hebben ingevuld in enquetes. Wie weet staat het vinkje wel niet aan bij je ;)
ucsdcom
@digibaro29 maart 2023 16:27
Heeft Ziggo toestemming voor het doorgeven van de NAW en/of email gegevens voor het uitvoeren van marketing en/of tevredenheidsonderzoek. Was er in het verleden een vinkje wat ik wel/niet heb gemist?
Je wordt gevraagd om deel te nemen aan deze panels. Bijvoorbeeld als je actief bent op de forums of een keer mee doet aan een vragenlijst. Dan stem je zelf in.

[Reactie gewijzigd door ucsdcom op 29 maart 2023 16:27]

HakanX
@digibaro29 maart 2023 18:03
In het verleden stond die optie iig standaard aan en bij papieren contracten is dat ook het geval.
CPV
29 maart 2023 16:16
Volgens het AD: "VodafoneZiggo waarschuwt klanten woensdag dat ..."
Nog niks gezien.
WillySis
@CPV29 maart 2023 16:27
Heb je de enquête van het tevredenheidsonderzoek ingevuld?
Nee? Dan krijg je ook geen bericht.
AnonymousWP
@WillySis29 maart 2023 16:30
Een publieke blog of statement was wel netjes geweest. :)
WillySis
@AnonymousWP29 maart 2023 16:39
Er is een (kort) persbericht uitgegaan. Verder onderzoekt men nog om hoeveel mensen getroffen zijn en welke data precies is buitgemaakt.
AnonymousWP
@WillySis29 maart 2023 16:51
Link dan meteen naar het persbericht als je dat weet, net zo handig.
WillySis
@AnonymousWP30 maart 2023 21:38
Ik heb het niet, maar een krantenartikel (geen idee meer welke krant) verwees daarnaar.
HakanX
@WillySis29 maart 2023 18:04
Ook als je het niet hebt ingevuld, heb je via het bedrijf wel een uitnodiging gehad om het te doen en daarmee hebben ze dus jouw gegevens al in hun systemen.
WillySis
@HakanX30 maart 2023 21:45
Niet noodzakelijk.
Vaak is het juist aan de opdrachtgever om de enquêtes te versturen. Volgens de privacywet mogen zij je e-mail adres niet zomaar met derden delen.
Vrienden van Amstel heeft de enquête bijvoorbeeld zelf verzonden naar iedereen die een kaartje heeft gekocht. In hun mail staat dat ook. Mensen die de enquête niet ingestuurd hebben, worden (volgens de Vrienden..) niet getroffen door het datalek.
HakanX
@WillySis30 maart 2023 22:36
Zie bericht van Blauw:
Het gaat dan om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan het onderzoek (namen, emailadressen en telefoonnummers) en de gegeven antwoorden in het onderzoek.
Hoewel het technisch niet noodzakelijk is, is het wel gebeurd in dit geval. Of ze dat wettelijk hebben afgebakend zal nog wel blijken. Amstel kan hierin wel een uitzondering zijn als zij dit zelf stellen.
jorismathijssen
29 maart 2023 16:40
Kun je als slachtoffer hier verdere stappen meet zetten? Als ik nu potentieel meer spam en oplichting ervaar, zouden er toch meer rechten moeten zijn?

Bij wie moet ik trouwens zijn om een verzoek tot data verwijderen in te dienen? NS/Vodafone/Ziggo, Blauw of de getroffen partij Nebu?
Wasabi!
@jorismathijssen29 maart 2023 16:56
Telefonische verkopers belden vroeger het hele telefoonboek af. Laatst kreeg ik een vrouw met een rookstem aan de lijn die luchtzuiveraars wilde verkopen..... Of gewoon random nummers bellen, neemt vanzelf iemand een keer op.
Groningerkoek
@jorismathijssen29 maart 2023 16:51
Jij moet zijn bij de partij met wie jij een overeenkomst hebt en dat is in deze Vodafone/Ziggo, dat die partij besluit om bepaalde dingen af te laten handelen door een ander is niet jouw probleem.
WillySis
@jorismathijssen30 maart 2023 21:50
Als je meer spam en oplichting ervaart, zal je moeten aantonen dat dat het gevolg is van dit datalek en ook welke kosten je daardoor hebt gemaakt. Voor de oplichting zelf is men niet eens verantwoordelijk.

NS en Vodafone/Ziggo kunnen jouw gegevens niet wissen (die hebben ze nodig voor de klanten administratie). Je zult je verzoek dus moeten richten naar zowel Blauw als Nebu. Vraag dan eerst een gedetailleerd overzicht van je data op.
jonatw
29 maart 2023 17:58
Inmiddels de eerste phishing mail ontvangen. Weet zeker dat het uit het lek vanwege deze gouden tip als je Gmail gebruikt: zet de naam van de instantie in je eigen email adres, voorbeeld:
Mijnemailadres+ziggo@gmail.com

Alles achter de + wordt genegeerd door Gmail en dus komt in dit voorbeeld de email aan bij mijnemailadres@gmail.com. maar jij ziet als ontvanger wel waar het emailtje vandaan komt. In dit geval dus het lek...
R4gnax
@jonatw29 maart 2023 19:48
Alleen complete amateur phishers zijn heden ten dage niet meer op de hoogte van die tagging suffix.
Competente criminelen die van wanten weten, slopen die er gewoon af of gebruiken geautomatiseerde tooling die dat doet.

[Reactie gewijzigd door R4gnax op 29 maart 2023 20:35]

CPV
@R4gnax29 maart 2023 20:21
Nou nou, ik wist het ook niet, maar om mezelf meteen een complete amateur te noemen gaat iets te ver na 40 jaar IT.
Maar; waar vind ik meer info over dit soort zaken? Ik wist bijv wel, dat "." in emailadressen ook genegeerd worden.
R4gnax
@CPV29 maart 2023 20:35
Ik doelde op amateur phishers vs door de wol geverfden.
The Ghost
29 maart 2023 16:25
Toch best fijn dat VodafoneZiggo hun klanten ook informeert.

Helaas heb ook ik dit uit de media moeten vernemen, ik dacht dat er een meld plicht gold voor ondernemeningen, maar vanuit VodafoneZiggo blijft het verdacht stil
brammetje1994
@The Ghost29 maart 2023 17:32
Meldplicht is naar proportie. Wellicht gebruikte zij dit enkel bij 0.5% van hun klanten en is een fractie hiervan getroffen. Wellicht kunnen ze dit aandeel niet volledig vaststellen. Dan bericht je voor een fractie niet al je klanten, maar is een publiekelijk toegankelijke melding ook valide.

Ik verwacht dat VodafoneZiggo na vaststellen van getroffene en de verkregen gegevens dit kenbaar zullen maken.
The Ghost
@brammetje199429 maart 2023 17:38
VodafoneZiggo: Persoonsgegevens van ongeveer 700.000 klanten gelekt is nu bekend, dat is in mijn optiek toch een beduidend aantal dat je daar zeker wel een actie van informeren tegenover mag zetten.

Maar ze zijn nooit erg vlot met informeren, behalve als het om de prijs verhoging gaat, die heb je altijd ruim op tijd binnen.
Ook met storingen zijn ze altijd erg traag om dit op de website of andere social media te melden.

Ik heb liever een waarschuwing in mijn mailbox dat er een mogelijkheid is dat ik getroffen ben en dat later blijkt dat het niet het geval is, dan deze stilte van hun kant terwijl er wel degelijk risico's zijn

[Reactie gewijzigd door The Ghost op 29 maart 2023 17:40]

brammetje1994
@The Ghost29 maart 2023 17:45
Ik heb geen mening of VodafoneZiggo het goed aanpakt, maar reageer puur op de meldplicht opmerking.
rob12424
@The Ghost29 maart 2023 17:42
Ja, er is inderdaad een meldplicht. Als de hack bij Vodafone/Ziggo was. De hack is alleen bij Blauw.

En daar wordt het ingewikkeld. Immers officieel mag Blauw bijvoorbeeld niet de persoonsgegevens zomaar hebben of gebruiken. Ze hebben immers alleen een overeenkomst voor het marktonderzoek.

Theoretisch gezien kan Vodafone/Ziggo ze zelfs aanklagen voor het schenden van de overeenkomst als Blauw de klanten van Vodafone/Ziggo gaat inlichten. (Het is helemaal ingewikkeld als Blauw met een front-end van Vodafone/Ziggo werkt.)

Het kan bijvoorbeeld lijden tot reputatieschade van Vodafone/Ziggo terwijl Blauw de boosdoener is.

Dus de klant moet volgens mij wettelijk geïnformeerd worden als het datalek werkelijk bij Vodafone/Ziggo was.

Maar als het via een derde partij is/was is dit discutabel volgens mij.

Ik denk dat een jurist zoals Arnoud Engelfriet hier beter antwoord op kan geven?
R4gnax
@rob1242429 maart 2023 19:45
Er is een meldplicht van data-lekken voor de verwerkingsverantwoordelijke naar de toezichthoudende autoriteit en, op overweging of dat proportioneel gezien nodig is, richting de betrokkenen.
Deze plicht geldt voor de verwerkingsverantwoordelijke ongeacht waar in de verwerkingsketen het lek heeft plaatsgevonden. Of dat nou bij de verantwoordelijke zelf is, of bij één van de onderverwerkers die zij in de arm genomen hebben. Daar maakt de wetgeving geen onderscheid in.
rob12424
@R4gnax29 maart 2023 21:14
Ja, maar Vodafone Ziggo is geen verwerkings verantwoordelijke hier. ;) Best Kans dat deze alleen de uitslag hebben gehad. Jo je doet het goed. Of dit en dit kan beter. Dat het hun klanten zijn wil nog niet zeggen dat zij het ook verwerkt hebben.
R4gnax
@rob1242429 maart 2023 21:16
Ja, maar Vodafone Ziggo is geen verwerkings verantwoordelijke hier. ;)
In dat geval hebben ze de gegevens van hun klanten overgedragen aan een onafhankelijke derde partij zonder verwerkingsovereenkomst en hebben ze daar ook de AVG/GDPR al mee overtreden.

Potaeto, Potahto.
rob12424
@R4gnax29 maart 2023 21:21
Dat ben ik met je eens. ;)

Maar stel bij de NS. Die geeft tegen Translink: geef ff het klantenbestand van iedereen die met de trein reist aan blauw voor een tevredenheidsonderzoek. En Translink doet dat.

Is NS dan een verwerkingsverantwoordelijke?

En als Blauw Vodafone Ziggo of de NS niet inlicht. Of onjuist inlicht.

En aan het AP melden is iets anders dan de (mogelijke) slachtoffers inlichten.
R4gnax
@rob1242430 maart 2023 23:08
En als Blauw Vodafone Ziggo of de NS niet inlicht. Of onjuist inlicht.
Dan zou Blauw aansprakelijk zijn, voor zover zij hen bewust onjuist inlichten.
Maar het lijkt er op dat zij ook door de hele situatie ontdaan zijn, want volgens berichtgeving van de NOS gaan ze niet de kat uit de boom kijken maar gaan ze proactief nu al een rechtszaak starten en Nebu aansprakelijk stellen.
xzaz
@The Ghost29 maart 2023 17:42
Prijsverhogingen van Ziggo vernam ik ook altijd via Tweakers.
citegrene
29 maart 2023 16:17
Ben benieuwd of er nog meer naar buiten komt, de klantenlijst bevat behoorlijk wat grote bedrijven en overheden: https://www.blauw.com/nl/over-ons
PTish
@citegrene29 maart 2023 23:53
Veel marktonderzoeksbureaus maken gebruik van verschillende tools en oplossingen. Het is daarom eigenlijk veel interessanter om te zien wie nog meer Nebu gebruikt.

Over het algemeen wordt er vaak ook een subdomein van de software oplossing gebruikt. Een snelle scan op subdomeinen van nebu.com brengt al snel URLs met bijv daarin "gemeente maastricht" naar boven....
crzyhiphopazn
29 maart 2023 16:21
Hoewel ik bijna nooit mee doe met onderzoeken heb ik voor de zekerheid mijn wachtwoord direct aangepas na het lezen van de datalek bij Blauw.
Wraldpyk
@crzyhiphopazn29 maart 2023 16:53
Hoewel het natuurlijk altijd gezond is om je wachtwoord te "verversen" om de zoveel tijd, is er natuurlijk nooit een wachtwoord doorgespeeld aan deze 3e partij vanuit Ziggo of NS. Dus in dit geval was dit niet echt nodig geweest.

Mocht je gebruik maken van een password manager, een 20+ character lang wachtwoord zou sowieso behoorlijk veilig moeten zijn, zelfs bij niet top-notch versleuteling
crzyhiphopazn
@Wraldpyk30 maart 2023 09:46
better safe than sorry.
Ik weet in ieder geval dat ik nu een totaal nieuw wachtwoord heb gebruikt.
Bij vodafone of ziggo kan men dat niet zomaar diensten aanzetten op mijn account.

Ik gebruik inderdaad een WW wat richting de 16 a 20 chars gaat met speciale tekens er in.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee