Gegevens van twee miljoen Terravision-klanten zijn buitgemaakt bij datalek

Er zijn gegevens van twee miljoen Terravision-klanten buitgemaakt bij een datalek. Dat meldt datalekdatabase Have I Been Pwned op Twitter. Het bedrijf heeft zelf nog niets bekendgemaakt over het lek.

Have I Been Pwned schrijft dat de gegevens van twee miljoen accounts in februari zijn buitgemaakt. Het betreft onder meer e-mailadressen, telefoonnummers, namen, geboortedata en 'salted' wachtwoordhashes. Het bedrijf reageerde niet op diverse verzoeken van Have I Been Pwned. Volgens de website stond 84 procent van de buitgemaakte gegevens al in zijn database. Terravision is een Italiaans bedrijf dat bustransfers regelt van luchthavens naar de centra van steden in verschillende Europese landen.

Wat een kort bericht, wat is dit?

Tweakers experimenteert tijdelijk met korte nieuwsberichten zoals deze, die nét niet lang genoeg zijn voor een volledig artikel. Wil je meer informatie over dit experiment of wil je feedback geven over de vorm, dan willen we je vragen dat in deze post op Geachte Redactie te doen.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 24-04-2023 11:59
104 • submitter: Anonymoussaurus

24-04-2023 • 11:59

104

Submitter: Anonymoussaurus

Lees meer

Interview: Troy Hunt - Have I Been Pwned

29 jan 2021

Interview: Troy Hunt - Have I Been Pwned

'De Adobe-breach kwam precies goed uit'

124
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset Nieuws van 18 januari 2024
Datalekzoekmachine Have I Been Pwned is tien jaar oud
Datalekzoekmachine Have I Been Pwned is tien jaar oud .Geek van 4 december 2023
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt Nieuws van 15 augustus 2023
Wachtwoordendatabase Have I Been Pwned bevat twaalf miljard records
Wachtwoordendatabase Have I Been Pwned bevat twaalf miljard records Nieuws van 2 januari 2023
Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden
Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden Nieuws van 20 december 2021
Meer producten en artikelen
Bedrijfsnieuws Privacy Datalek

Reacties (104)

-Moderatie-faq
104
104
32
1
0
54
Wijzig sortering
Oeroeg 24 april 2023 12:30
Bingo! Ik ben één van de gelukkigen omdat ik in 2014 een busticket vanaf het vliegveld van Bergamo naar Milaan geboekt heb. Ik ben blij dat ze dit al die tijd voor mij bewaard hebben, dat is pas service. /s

[Reactie gewijzigd door Oeroeg op 24 juli 2024 04:51]

budjepaul @Oeroeg24 april 2023 13:14
Same here, ook rond die periode. Krankzinnig dat ze zo lang dit soort data bij eenmalige transacties bewaren. Heb opgevraagd welke gegevens ze allemaal van me hebben, benieuwd of ik reactie krijg.
hackerhater @budjepaul24 april 2023 13:26
Dit wordt voor hen dus een flinke boete onder de GDPR. Ik neem tenminste aan dat je de gegevens in Italië niet langer moet bewaren voor de overheid dan hier in NL.
En hier in NL is het 7 jaar voor de belastingdienst. Even aangenomen dat dat hetzelfde is in Italië had alles eerder dan april 2018 2016 weg moeten zijn.

[Reactie gewijzigd door hackerhater op 24 juli 2024 04:51]

turbojet80s @hackerhater24 april 2023 18:47
In de GDPR wordt niet bepaald voor welke termijn je data mag bewaren. De regel is eigenlijk als volgt: De organisatie bepaalt met welk doel gegevens worden opgeslagen. Zodra dit doel is behaald dan dient de
organisatie de gegevens te verwijderen.
TheVivaldi @hackerhater24 april 2023 14:06
Bedoel je niet april 2021? Oeroeg had het over 2014, dus 2014+7=2021.
hackerhater @TheVivaldi24 april 2023 14:55
Nee maximaal 7 jaar bewaren ;) april 2023 - 7 jaar = april 2016 als oudste records die ze nog mochten hebben. Alles ervoor (dus ook Oeroeg's records) had in het ronde archief moeten verdwijnen.
Robbierut4 @Oeroeg24 april 2023 12:39
Waarom hebben ze jou gegevens uit 2014 nog?
The Zep Man
@Robbierut424 april 2023 12:51
Waarom hebben ze jou [sic] gegevens uit 2014 nog?
Omdat het woord 'dataretentieperiode' hen onbekend is. Verwijderen is maar lastig als niemand je daarop actief controleert. ;)

[Reactie gewijzigd door The Zep Man op 24 juli 2024 04:51]

alexvanniel @The Zep Man24 april 2023 13:14
Ik heb er een account uit 2009... Afgezien van het feit dat ik dat niet wist, is het ook niet mogelijk om dat account aan te passen en/of te verwijderen.
The Zep Man
@alexvanniel24 april 2023 14:37
Je kan 'gewoon' een AVG-verzoek indienen.
alexvanniel @The Zep Man24 april 2023 14:39
Dat heb ik dan ook uiteraard geprobeerd. Dat kan eigenlijk nergens helemaal goed maar via de Helpdesk functie heb ik een Administratief ticket aangemaakt en een verzoek ingediend inderdaad.
The Zep Man
@alexvanniel24 april 2023 14:44
Dat kan eigenlijk nergens helemaal goed
Italië zal wel een variant van de KvK hebben. Een aangetekende brief is altijd een optie.
Tintel
@The Zep Man24 april 2023 17:33
€ 8,75 extra betalen vanwege een buskaartje....met minime zekerheid dat het effect heeft... niet echt een aantrekkelijk plan.
The Zep Man
@Tintel24 april 2023 18:06
€ 8,75 extra betalen vanwege een buskaartje....
Het kost een organisatie exponentieel meer als je volhoudt. :+
Tintel
@The Zep Man25 april 2023 08:57
ja, da's waar... }>
oef! @alexvanniel24 april 2023 15:13
Zie hun Privacy and Cookie Policy

You may exercise your rights, such as accessing, receiving indications on the source of the personal data, on the purposes and methods of processing, on the logic applied in the event electronic tools are employed for processing, on the identification data concerning the data controller and individuals or categories of individuals to whom or which the personal data may be communicated and who or which may get to know said data, the update, rectification, integration, cancellation, transformation and block of illicitly processed data – contacting the data controller at the addresses listed below:
The Data controller is Terravision London Finance, contactable via e-mail at: customerservices@terravision.eu – registered offices: Park View 183 -189 ,The Vale London, W37RW.
FrankHe @Oeroeg24 april 2023 20:22
Klantinformatie van negen jaar geleden is na al die tijd nog reuze relevant en het bewaren ervan is ook volledig compliant. NOT!
Blaise 24 april 2023 12:38
Het bedrijf heeft zelf nog niets bekendgemaakt over het lek.

Mag een bedrijf in de EU wachten met het melden van een datalek?
equit1986 @Blaise24 april 2023 12:40
Houdt het lek een ernstig risico in voor de rechten en vrijheden van de betrokkenen? Dan moet de melding van het datalek binnen de 72 uur plaatsvinden nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt.
PageFault @equit198624 april 2023 12:56
Dus gewoon nooit vaststellen dat er een datalek is, zouden die Ilatianen wellicht denken in de toekomst...
equit1986 @PageFault24 april 2023 13:03
als ze er dan achter komen ben je echt de sjaak als bedrijf.
PageFault @equit198624 april 2023 13:15
Ik vraag me af of die Italianen zich door laten afschrikken, die hebben er meestal niet zo'n boodschap aan. Zolang er geen enkele club is met het juiste mandaat om de verantwoordelijke adequaat te straffen, doen zij gewoon alsof hun neus bloedt, ben ik bang.
equit1986 @PageFault24 april 2023 14:18
op AVG gebied zijn ze anders behoorlijk streng heb ik gemerkt.
oef! @PageFault24 april 2023 15:07
Vooroordelen. Alleen hier zie ik al 250 AVG gerelateerde boetes geregistreerd staan binnen Italië.
Gunneh @equit198624 april 2023 23:48
Binnen 72u bij een DPA (in NL Autoriteit Persoonsgevevens), niet perse naar de klanten toe :)
SunnieNL @Gunneh25 april 2023 00:43
In dat formulier van de dpa staat echter ook de vraag of je de betrokkenen al hebt geïnformeerd. Er is wel opgenomen dat dit zo snel mogelijk moet worden gedaan.
Als je dat te langzaam doet in de ogen van dpa heb je alsnog kans op een boete.
Gunneh @SunnieNL25 april 2023 09:07
Absoluut, maar dat kan nogsteeds dagen/weken zijn. Zit veel werk in!
Jason X @Blaise24 april 2023 12:42
Er zit een verschil tussen het melden bij de juiste instanties en het 'bekendmaken', wat ik zie als een persbericht de deur uit doen.
Gunneh @Blaise24 april 2023 23:47
Melding maken bij de DPA en melding maken bij klanten zijn twee totaal verschillende zaken.
Bij een DPA moet binnen 72u melding worden gemaakt indien er PII bij gebaat is. Melding naar klanten moet ook maar dat hoeft NIET binnen de 72u.

Dit omdat er onderzoeken gedaan moeten worden naar welke info er gelekt is en van wie. Dit kan soms dagen of weken duren. Dan moet er de infrastructuur worden gemaakt om klanten op de hoogte te stellen. Is het puur een datalek? Easy, dan heb je nog een klantenbestand. Is het ransomware? Dan mag je eerst kijken of je nog backups hebt. Daarna notificaties aanmaken en versturen etcetc. Zit heel veel werk in!
ari2asem 24 april 2023 12:31
waarom is een naam nodig als je de bus pakt? of geboortedatum? of telefoonnumm ?
XephireUK @ari2asem24 april 2023 12:34
Online reservering op naam, geboortedatum voor het checken van korting voor leeftijd (kinderkorting/65+), telefoon nummer om bevestiging/updates te sturen.
Tintel
@XephireUK24 april 2023 17:58
Dus...

Naam is onnodig. Je krijgt een uniek reserveringsnummer en dat is voldoende.
geboortedatum is onnodig. Een vraag of persoon waarvoor kaartje is bestemd, in aanmerking komt voor korting is voldoende.
Telefoonnummer: beter is een e-mail adres maar ook niet ideaal. Misschien een QR-code op scherm die je met je telefoon kan overnemen via de camera (en dan wellicht naar een wallet app).

Met een beetje herstructurering (en wat moeite) kan het allemaal zonder privacy gevoelige informatie aan te leveren.
WillySis
@Tintel24 april 2023 23:32
De bustickets staan op naam. Naam en geboortedatum staan ook op het ticket. Het telefoonnummer kan gebruikt worden om wijzigingen in vertrek tijden of plaatsen door te geven per sms.
Kortingen voor 65+ geeft het bedrijf niet.

Daar TerraVision niet wil reageren en Have I been Powned de bewijzen voor het datalek heeft en de meldplicht voor datalekken gelijk is aan die in Nederland (Europese regel) mat TerraVision binnenkort een dwangbevel van de Italiaanse AP ontvangen om alle gegevens omtrent het datalek te overhandigen. Een hele fikse boete zal uiteraard nog volgen. Grote kans dat TerraVision voor die tijd failliet gaat en onder een andere naam een doorstart maakt. Met een beetje pech zijn alle klanten die een ticket gekocht hebben dan hun geld kwijt.
Gunneh @WillySis24 april 2023 23:50
Dat Terravision niets publiek zegt betekent niet dat ze niets aan de Italiaanse AP hebben gezegd.
WillySis
@Gunneh25 april 2023 10:00
Terravision is ook verplicht om klanten te informeren. Dat hebben ze niet gedaan, zelfs niet na vragen van Have I been Powned. Zakelijk hebben wij wel een aantal keer gebruik gemaakt van de TerraVision service. Van twee van onze medewerkers geeft Have I been powned aan dat onze gegevens gestolen zijn. Van TerraVision hebben we niets gehoord. Een email naar TerraVision sturen is inmiddels nutteloos, tenzij je het leuk vind om een berichtje te krijgen dat je mail niet verzonden kan worden.
Gunneh @WillySis25 april 2023 10:27
Ja ze zijn het verplicht, maar niet in dezelfde tijdsperiode als de DPA.

Daar kan dagen/weken tussen zitten
WillySis
@Gunneh26 april 2023 09:33
De betrokken klanten moeten zo "snel mogelijk" worden ingelicht. De lokale AP moet binnen 72 uur ingelicht worden.

Betrokken klanten hoeven niet altijd ingelicht te worden, alleen als het risico "hoog" is. De definitie "hoog risico" is zo ruim dat alleen het email adres al voldoende is om onder die definitie te vallen.

TerraVision is zeker op de hoogte van de hack en kan gemakkelijk nagaan wie daardoor getroffen zijn (eventueel via Have I been powned). De reactie van TerraVision is echter het uitschakelen van alle communicatie mogelijkheden.
Gunneh @WillySis28 april 2023 14:04
De betrokken klanten moeten zo "snel mogelijk" worden ingelicht. De lokale AP moet binnen 72 uur ingelicht worden.

Betrokken klanten hoeven niet altijd ingelicht te worden, alleen als het risico "hoog" is. De definitie "hoog risico" is zo ruim dat alleen het email adres al voldoende is om onder die definitie te vallen.
Correct
TerraVision is zeker op de hoogte van de hack en kan gemakkelijk nagaan wie daardoor getroffen zijn (eventueel via Have I been powned). De reactie van TerraVision is echter het uitschakelen van alle communicatie mogelijkheden.
'Gemakkelijk' zou ik niet zeggen. De datalijst van HIBP is ook niet 100% zeker. Daarbuiten moet er nogsteeds onderzoek worden gedaan, brieven worden opgesteld, juridisch advies, verzekeringen etc. Zit allemaal veel tijd in.

Source: dit is mijn werk ;)

Ik zeg niet dat TerraVision alles juist doet, enkel dat beschuldigen na een paar dagen niet juist is en ik wilde uitleg geven waarom
WillySis
@Gunneh28 april 2023 18:13
Wij hebben inmiddels bij de Italiaanse justitie aangifte gedaan tegen TerraVission omdat ze nog steeds geen uitleg hebben gegeven en nog steeds van de aardbodem verdwenen lijken te zijn.
Gunneh @WillySis28 april 2023 23:56
Hoop dat ze sneller zijn dan het AP. Die hebben iets van 6 maand achterstand :(

Good luck though!
WillySis
@Gunneh29 april 2023 15:56
Dit gaat om de Italiaanse AP. Geen idee wat hun achterstand is.
Wij hebben aangifte gedaan bij de Italiaanse justitie, wat neerkomt op een soort kortgeding. Dit hebben we niet alleen gedaan, maar gezamenlijk met een groot aantal (zakelijke) klanten, verspreid over heel Europa. Als het goed is, moet de rechtszaak binnen twee weken voor de rechter komen. Have I been powned heeft al de medewerking toegezegd, maar (uiteraard) alleen op bevel van een rechter.
Tintel
@WillySis25 april 2023 08:59
Maar waarom moeten bustickets op naam worden gezet? Het is een vervoersbewijs voor 1 persoon, meer niet. En wijzigingen doorgeven kan via het unieke nummer op de ticket.
Of bedoel je "zo doen ze het en daarom willen ze de gegevens" ? Want ik begrijp wel wat ze doen maar tegelijkertijd is het totaal niet nodig.

[Reactie gewijzigd door Tintel op 24 juli 2024 04:51]

XephireUK @Tintel25 april 2023 12:09
Ben het helemaal met je eens. Voorbeeld, ik woon in UK en als ik NL ben en een NS-kaartje in de app will kopen, willen ze ook mijn initiaal en achternaam hebben voor het kaartje. Is ook niet nodig om voor de conducteur de QR-code te scannen. Al zou het kaartje op naam van "Joep Meloen" staan, zolang ik ervoor betaald heb zouden ze me moeten vervoeren. Hetzelfde als ik een papieren ticket met cash aan het loket zou hebben gekocht (als dat nog kan, en de opslag die ze daar voor vragen/vroegen is eigenlijk de misgelopen opbrengst van mijn niet gekregen data, en extra handelingen om iemand achter het loket het kaartje te printen). Ze krijgen al mijn creditcard details omdat de enige manier is om als "buitenlander" te betalen. Maar bedrijven/managers/sales willen data, zoveel mogelijk data... Als ik niet via de app het kaartje koop, moet het via de machine. Daar kon vroeger alleen op schiphol met CC betaald worden. Dus ik moet dan of €25 in contanten invoeren, of naar het loket of naar de app. Misschien kan ik met Apple pay betalen met een niet-Nederlandse bank kaart eraan gekoppeld, maar sommige winkels accepteren het wel en andere weer niet
Tintel
@XephireUK25 april 2023 15:24
Ja, aan de ene kant zijn we (terecht) boos als bedrijven hun klant-data (onze data) kwijtraken maar ondertussen blijven bedrijven deze data vragen (en eisen). De AVG zou dat ook tegen moeten gaan; die overdreven data-honger naar prive-data. Want nu lijkt het dweilen met de kraan open. Als nu eens geen basin [aan data] achter die kraan hing...?
WillySis
@XephireUK26 april 2023 09:14
Als je een ticket online koopt staat dat ook op naam en de conducteur heeft het recht om dat te controleren aan de hand van een identificatiebewijs. Dat mag overigens elk "officieel" pasje zijn waar je naam en pasfoto op staan. Je studentenkaart of spelerskaart van de sportbond is ook goed.Met een kaartje op de naam "Joep Meloen" mag de NS jouw dus weigeren.
André van Duin vertelde laatst dat de conducteur hem ooit een boete wilde geven omdat hij "André Kyvon" op zijn kaartje had staan.

Kaartjes op naam zijn een manier om fraude tegen te gaan. Het is immers maar een printje en dat is gemakkelijk een X maal te kopiëren. Een code in de app kan gemakkelijk gekopieerd worden door een screenprint te maken en door te sturen.

De QR code scannen is weer iets anders. Daar staat ook jouw begin en eindstation en dag van geldigheid in.
WillySis
@Tintel26 april 2023 08:54
Lijkt inderdaad onnodig, maar het is niet ongewoon. Zeker bij een luchthaven service is het zelfs gebruikelijk.
Koop overigens eens een treinkaartje (NS) online, ook dat staat (stond) op naam.
jaenster @XephireUK24 april 2023 13:07
Dit is dus exact waar ik op tegen ben met dit soort dingen. Dingen worden te "slim" gemaakt. Automatisch word de senioren korting geregelt. Waarom?

Iedereen zou een 65+ korting, of kinder korting, kunnen moeten kopen. Bij controle krijg je dan een boete als het onterrecht zou zijn. Daar zijn die controles voor.
Tintel
@jaenster24 april 2023 17:54
Zo slim is het niet...

"geef uw geboortedatum" => berekening of je 65+ bent => korting

of "Bent u ouder dan 65" => ja => korting

De gegevens zelf [de geboortedatum in dit voorbeeld] totaal onnodig en oncontroleerbaar bij de invoer.
telenut @jaenster24 april 2023 13:38
ik geef ook nooit mijn correcte geboortedatum, enkel het jaar.
TheVivaldi @jaenster24 april 2023 14:03
En hoe controleer je dat, door iemands id-kaart te vragen? Dat mogen buschauffeurs niet zomaar. En jonge kinderen hebben geen id-kaart, dus als er staat “korting voor kinderen t/m 4 jaar oud”, ga dan maar eens bewijzen dat een kind geen 4 is maar 5.

Trouwens, in dit geval stond 84% van de gegevens toch al in de HaveIBeenPwned-databank, dus bijna iedereen hier was hoe dan ook slachtoffer, of ze nu Terravision hadden gebruikt of niet.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 04:51]

cascer1 @TheVivaldi24 april 2023 14:41
Volgens mij mogen buschauffeurs wel om je ID vragen om bijvoorbeeld die korting te controleren. Ze mogen alleen de gegevens niet opschrijven.
jaenster @cascer124 april 2023 14:50
Er zijn in de bus gewoon steek proeven, zoals in de trein waar je kaart(je) word gecheckt.

In de trein is het niet de taak van de machinist om te controleren of mensen betaald hebben. In de bus is dit niet anders.
TheVivaldi @jaenster24 april 2023 16:50
Precies.
Byron010 @TheVivaldi24 april 2023 16:22
84% van 2 miljoen.. dan blijft er natuurlijk nog steeds een gigantisch aantal over (320k)
TheVivaldi @Byron01024 april 2023 16:51
Ik zeg ook niet dat het restant niks is.
xoniq @ari2asem24 april 2023 12:34
Niet, maar data is cash.
CivLord @ari2asem25 april 2023 08:43
Omdat een transactie controleerbaar moet zijn.
Wanneer ik zeg dat ik € 100.000 heb verdiend aan transacties over internet, moet o.a. de Belastingdienst, maar ook justitie, kunnen controleren of ik inderdaad voor € 100.000 aan puppy-foto's heb verkocht, of dat het om andere, wellicht illegale producten ging. Dat kunnen ze doen door steekproefsgewijs aan mijn klanten te vragen wat ze bij me hebben gekocht. Natuurlijk zijn sommige mensen niet meer te benaderen omdat ze verkeerde gegevens hebben doorgegeven, maar de meerderheid zal echte gegevens hebben doorgegeven.

In eerste instantie zou je denken dat criminelen zo veel mogelijk buiten de boeken willen houden, waardoor er dus niets te controleren valt, maar het wordt in Nederland steeds moeilijker om grote bedragen uit te geven (denk aan een huis of een auto) met geld dat je niet kunt verklaren. Zwart verdiend geld moet dus worden witgewassen om het uit te kunnen geven. Eén van de manieren om dat te doen is om te laten lijken dat je het verdient met legale activiteiten. Dat kan je doen door bv de inkomsten van een gram coke in de boeken te zetten als de verkoop van puppy-foto's. (Uiteraard is het nog knap lastig om dat helemaal correct te 'faken', inclusief betalingsverkeer, maar een standaardcontrole is niet zo diepgaand.)

Nu is de kans dat een internationaal opererend busbedrijf transacties fingeert door nep-transacties te administreren niet zo groot, maar ze moeten zich wel aan dezelfde regels houden als kleinere bedrijven waar dat mogelijk wel zou kunnen spelen.
S.McDuck 24 april 2023 13:15
Misschien wordt het eens tijd dat je als privé persoon de schade kan verhalen:
  • Omdat dit soort bedrijven mijn data kwijt raakt ben wordt er op mijn naam gekocht, gehandeld en aankopen gedaan.
  • Ik ben een gericht doelwit omdat alle persoonlijke data beschikbaar is voor georganiseerde misdaad.
  • Ben ik gericht doelwit voor spam en phishing aanvallen.
Ik heb er niks aan als de overheid miljoenen krijgt om controlerende instanties die niks anders doen als boetes opleggen en die gebruiken voor de eigen organisatie. Waar ik wel iets aan heb is als mijn gestolen BSN aangepast kan worden. Persoonsgegevens aanpassen, veranderen of dynamisch maken (zoals mailadres per dienst). Bij diefstal mijn paspoort aanpassen op kosten van de veroorzaker etc..
Nu zijn al mijn gegevens overal bekend buiten mijn fout om en wordt ik op ontelbaar verschillende manier bestookt en ben ik genoodzaakt om tijd, technische middelen en andere oplossingen te gebruiken zodat ik en mijn gezin geen slachtoffer wordt van oplichting mogelijk gemaakt door bedrijven die mij verplichten gegevens aan te leveren.

[Reactie gewijzigd door S.McDuck op 24 juli 2024 04:51]

Djordjo @S.McDuck24 april 2023 14:08
Dat kan ook en het gebeurt ook. Echter, de hoogte van de schade is moeilijk te onderbouwen dan wel te laag om zelf een zaak aan te spannen. Bij bijzondere persoonsgegevens (bv medisch) en financiële gegevens zijn er wel schadevergoedingen aan individuen toegekend: https://blog.iusmentis.co...goeding-van-500-euro-aan/
fps @Djordjo24 april 2023 14:52
Het hoeft niet altijd moeilijk te zijn. Bij lekken van kopie paspoort/rijbewijs/id-kaart een vergoeding gelijk aan de kosten voor een nieuwe.

Andere zaken zijn wellicht lastiger, maar kan je ondervangen door standaardvergoedingen per gelekte zaak. Worden je adresgegevens gelekt, krijg je bedrag X, bij geboortedatum bedrag Y. Wellicht dat dat bedrijven ook aanspoort om niet iedere keer klakkeloos geboortedatum of telefoonnummer te vragen wanneer dit niet nodig is.
Tintel
@fps24 april 2023 17:51
om niet iedere keer klakkeloos geboortedatum of telefoonnummer te vragen wanneer dit niet nodig is.
Het 'mooie' hierbij is dat ze vaak 0% moeite doen om te dit te controleren of zelfs niet eens kunnen controleren (want dan hebben ze een ID-bewijs nodig). Dus wat gaat er in die invoervelden.....onzin... :Y)
CivLord @S.McDuck25 april 2023 08:53
Misschien wordt het eens tijd dat je als privé persoon de schade kan verhalen:
Dat kan ook gewoon. Je moet alleen aan kunnen tonen wat de werkelijke schade is.
bmwgozer 24 april 2023 13:50
Ik wacht nog steeds tot de dag dat tweakers met haar bereik en connecties een petitie gaat beginnen zo dat inactieve klanten automatisch uit databases verwijderd moeten worden. Bij wet.

Dit is het zoveelste artikel dit jaar. En het houd niet op. Tot mensen eens automatisch data gaan verwijderen die ze niet meer nodig hebben.
veltnet 24 april 2023 14:17
Hoe lang moet je als bedrijf klantdata bewaren als daar geen expliciete afspraken over zijn gemaakt?
En is er een maximale termijn aan het bewaren van data?
hackerhater @veltnet24 april 2023 16:58
Hangt van het type data af. In principe moet je het verwijderen zodra het niet meer relevant is.
Gewone transactie-gegevens moet een bedrijf in NL 7 jaar bewaren voor de belastingdienst.
Je klantgegevens zouden ze in principe niet meer mogen bewaren wanneer deze tijd om is.

Uiteraard zijn er uitzonderingen. Informatie van bijvoorbeeld hypotheken wordt meer dan 30 jaar bewaard.
https://nl.wikipedia.org/...ening_gegevensbescherming

[Reactie gewijzigd door hackerhater op 24 juli 2024 04:51]

adje123 24 april 2023 12:37
Ik ben nu iedereen aan het bijhouden qua dataleks.
Ik ga gewoon facturen sturen voor de mailtjes die ik telkens krijg en daardoor een grote taak heb om mijn mail schoon te houden.
Lagonas @adje12324 april 2023 12:42
Goed idee. Echter ben je per mail dat je ontvangt misschien wel een uur kwijt om alle informatie te vinden om een factuur te sturen die zij sowieso helemaal niet hoeven en zullen betalen.
Anoniem: 221563 @Lagonas24 april 2023 13:59
Dit dus. adje heeft alleen zichzelf ermee.
joppybt @adje12324 april 2023 13:25
Goed idee. Het bedrijf dat blijkbaar onzorgvuldig met je gegevens omgaat nog meer (factuur)gegevens sturen.
adje123 @joppybt24 april 2023 13:26
Uiteraard, eerst factuur sturen en daarna verzoek indienen tot verwijdering van gegevens.
hexeye @adje12324 april 2023 17:31
en toen hadden ze een verwerkingsgrondslag want “de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust” omdat ze je factuur moesten verwerken 🤣

Je kunt je toestemming wel intrekken, als je die al had gegeven, er zijn echter nog 5 andere grondslagen op basis waarvan jouw data verwerkt kan blijven worden.
Frank-NB 24 april 2023 12:57
Het is echt schering en inslag tegenwoordig!! Misschien eens een keer een proefproces starten... Als je voor elke hack 1 Euro aan de nederlandse staat moet aftikken, dan gaat men misschien beter om met onze gegevens. Of besluit je dat het opslaan van al die gegevens het risico niet meer waard is.
oef! @Frank-NB24 april 2023 13:14
Het is een private kwestie, de overheid heeft er weinig mee te maken. Daarnaast zou dit vervolgens niet zo uitpakken als je wil (faillissement, Nederlandse markt mijden, stagnatie van innovatie, etc).
TheVivaldi @oef!24 april 2023 14:12
Het is een private kwestie, de overheid heeft er weinig mee te maken.
Je hebt gelijk: de wet wordt door bedrijven bepaald, niet door de overheid. O, wacht…
mjtdevries @TheVivaldi24 april 2023 14:29
privaatrecht vs strafrecht

Een rechtzaak van een burger vs een bedrijf valt onder privaatrecht.
TheVivaldi @mjtdevries24 april 2023 16:50
Maar het ging hier om het aftikken aan de overheid, dus dat valt niet onder privaatrecht. Of vallen overheidsboetes tegenwoordig onder privaatrecht?
mjtdevries @TheVivaldi24 april 2023 18:42
Dan moet je eerst de wet aanpassen zodat er automatisch van die boetes komen.
Met de huidige wet valt het onder privaat recht. De persoon die het over een proefproces had zal dan als privaat persoon een proces moeten starten tegenover het bedrijf dat gelekt heeft.
De overheid gaat zo'n proefprocess niet starten want die heeft daar geen rol in.

Alleen als de AP vaststelt dat je nalatig bent geweest dan kunnen ze (na onderzoek) een bedrijf een boete opleggen. Maar dat is wat anders dan wat de OP voor ogen heeft.
TheVivaldi @mjtdevries24 april 2023 19:50
Dan moet je eerst de wet aanpassen zodat er automatisch van die boetes komen.
Oké, dus de overheid kan geen boetes uitdelen, dat is de eerste keer dat ik dat hoor. 8)7

Ik geloof dat we langs elkaar heen praten.
mjtdevries @TheVivaldi25 april 2023 14:59
Nee, een overheid kan inderdaad geen boetes uitdelen als daar geen wettelijke basis voor is.
Een politie agent kan ook niet willekeurig boetes uitdelen omdat hij/zij vind dat iets niet in de haak is. Dat kan alleen als er een wettelijke basis voor is.

Waarom je denkt dat een 8)7 emoticon daarop van toepassing is, is mij een compleet raadsel. In een rechtstaat heeft de overheid nou eenmaal geen onbeperkte macht.
TheVivaldi @mjtdevries25 april 2023 16:32
Maar de AP kan toch boetes uitdelen omtrent datalekken? Laatste keer dat ik keek was AP een overheidsbedrijf. Of deelt de AP “boetes zonder wettelijke basis” uit?

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 04:51]

mjtdevries @TheVivaldi26 april 2023 15:07
Dat had ik in mijn eerdere reactie al aangegeven:
Alleen als de AP vaststelt dat je nalatig bent geweest dan kunnen ze (na onderzoek) een bedrijf een boete opleggen. Maar dat is wat anders dan wat de OP voor ogen heeft.
CivLord @TheVivaldi25 april 2023 08:46
Overheidsboetes vallen onder bestuursrecht, wat een aparte afdeling is van het civielrecht.
PageFault @Frank-NB24 april 2023 13:16
Misschien was het vroeger ook al, alleen was er toen nog geen plicht om datalekken te melden (of niet de kennis en/of technieken in handen om het te constateren).
batjes 24 april 2023 12:57
Frappant dat bedrijven die Terra in de naam hebben, nooit wat van doen hebben met aarde, grond of de godin.
Met een naam als Terravision denk ik niet in eerste instantie aan een busmaatschappij.
croc @batjes24 april 2023 13:17
Eerder aan https://www.imdb.com/title/tt15392100/
casd18 @batjes24 april 2023 13:29
Ik dacht ook eerder aan een bedrijf dat iets deed met grondradar of iets soortgelijks.
TheVivaldi @batjes24 april 2023 14:11
En bij Tweakers denk ik aan drugs en bij Hoogvliet aan Rotterdam. Tja, zo zijn er altijd wel bedrijven die een naam dragen die niks met een bepaalde betekenis te maken hebben.

Maar in dit geval rijden bussen over de grond, in tegenstelling tot bijvoorbeeld vliegtuigen en boten, dus de link is er wel. Maar geheel duidelijk is het niet, dat ben ik met je eens. Het klinkt mijns inziens eerder als een mediabedrijf of techfabrikant (door dat ‘vision’).

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 04:51]

tijgetje57 24 april 2023 13:22
Je kan toch gewoon een moeilijk wachtwoord instellen met een password manager. Dan is dat het enige account dat ze van je hebben.

Niet overal hetzelfde wachtwoord gebruiken.
locke960 @tijgetje5724 april 2023 13:48
Dat lost maar 1 van de problemen op. Een ander probleem is dat dit soort datalekken ondertussen een datawaterval zijn geworden. Ergens is er iemand bezig om al de gestolen databases aan elkaar te knopen en zo profielen van ons op te bouwen.
Dat gaat weer op allerlei creatieve manieren misbruikt worden.
TheVivaldi @tijgetje5724 april 2023 14:13
En als Terravision je betaalgegevens heeft bewaard en hackers kunnen die door het uitgeleke wachtwoord nu stelen, welk voordeel heb je dan gehad aan niet hetzelfde wachtwoord gebruiken?
DigitalImplant @tijgetje5724 april 2023 14:21
Als het alleen om het wachtwoord ging is het nog te overzien, maar je e-mailadressen, telefoonnummers, namen en geboortedata verander je niet meer zomaar.
croc @DigitalImplant24 april 2023 14:37
Vaak kan je wel inschatten wanneer een geboortedatum en/of telnr écht nuttig is. Indien niet dan geef ik iets random in, maar wel juiste geboortejaar. Naam probeer ik zo kort mogelijk te houden, bvb enkel initialen.
fps @DigitalImplant24 april 2023 17:32
Telefoonnummer en mailadressen heb ik weer geen moeite mee. Een mailadres is zo veranderd en een telefoonnummer ook. Jaarlijks haal ik voor diensten een prepaidkaart. Bij echt belangrijke accounts verander ik dan mijn telefoonnummer.
Wanneer ik een telefoonnummer overbodig vind, vul ik een onzinnummer in. Geboortedatum is vaak ook niet echt nodig, dus ook dat is vaak een willekeurige invoer.
croc @tijgetje5724 april 2023 14:25
En overal een ander mailadres gebruiken! Eigen domein + catchall (min the usual spam suspects als info@) en het wordt al veel moeilijker om de data te verrijken met die van andere hacks. Vaak is de unieke sleutel toch het mailadres.
tijgetje57 @croc24 april 2023 14:31
Je kan toch via je eigen domein een mail adres instellen, werkt subliem. Je ziet dan ook precies wie wat heeft gelekt. Even wat administratie, maarhet werkt. Ik geef nooit mijn geb dat zo maar op aan een site.... Is bij mij in veel gevallen niet correct. Of als het niet nodig is, vul ik het niet eens in. Betaal gegevens laat ik niet eens achter zonder 2-way auth.....
croc @tijgetje5724 april 2023 14:35
Met een catchall werkt ineens alles voor de @ ipv steeds een aparte alias aan te maken (als dat is wat je bedoelt) en het geeft eigenlijk geen extra spam (of mijn spam filter werkt naar behoren, kan ook).
oef! @tijgetje5724 april 2023 15:20
Zo werken dit soort dingen niet. Hackers hebben toegang tot database(s) gehad. Die staan volledig los van je logingegevens.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq