Belgische provider DIGI stuurde 'door fout' persoonsgegevens naar Witte Gids

De nieuwe Belgische provider DIGI stuurde door 'een menselijke fout' namen en adresgegevens door naar de Witte Gids. Normaliter horen klanten daar eerst toestemming voor te geven, maar die konden dat vooraf niet doen.

Verschillende gebruikers melden op platforms zoals Userbase en Reddit dat hun namen, adresgegevens en telefoonnummers in de Witte Gids zijn gepubliceerd, zonder dat ze hiervoor toestemming gaven. Het gaat om gegevens die ze deelden met DIGI en voordat zij een DIGI-abonnement afsloten niet in de Witte Gids stonden. De Witte Gids is vergelijkbaar met de Nederlandse Telefoongids.

Providers mogen deze data pas delen met de Witte Gids als de klanten hier vooraf toestemming voor hebben gegeven. Abonnees geven aan dat toestemming geven niet mogelijk was bij het aanmeldproces. Deze klanten geven ook aan in contact te zijn geweest met de klantenservice van DIGI, waarna de gegevens worden verwijderd.

DIGI erkent tegenover Tweakers dat de gegevens 'door een menselijke fout' zijn gepubliceerd. De provider zegt ook dat deze fout inmiddels is gecorrigeerd en dat er verder geen actie nodig is van klanten. De gepubliceerde gegevens worden dus offline gehaald. "Wij verontschuldigen ons voor dit incident en nemen dit voorval uiteraard serieus", schrijft DIGI. "Ondertussen zijn we bezig met de evaluatie en optimalisatie van een aantal interne en externe processen om dergelijke situaties in de toekomst te voorkomen. Klanten die hierover nog vragen hebben, kunnen altijd contact met ons opnemen via privacy@digi-belgium.be."

IT-banen

Reacties (19)

wildhagen

Privacy

7 januari 2025 16:18

Op zich voor verreweg de meeste mensen niet zo'n groot probleem, ook al is het uiteraard een slordige fout. Waar gewerkt wordt, worden nu eenmaal wel eens foutjes gemaakt.

Voor mensen die echter bewust een geheim nummer genomen hebben (vanwege bijvoorbeeld stalking, of omdat ze een bekende persoon zijn) kan dit wel vervelende gevolgen hebben natuurlijk, als mensen in die telefoongids staan kunnen ze weer worden gestalked (fysiek en/of telefonisch), of er staan paparazzi voor hun voordeur.

Goed dat het offline gehaald is, maar ik hoop dat het geen grote gevolgen voor mensen met een geheim nummer gaat hebben.

CAPSLOCK2000

Privacy
België

@wildhagen • 7 januari 2025 16:42

Waar gewerkt wordt, worden nu eenmaal wel eens foutjes gemaakt.

Dat klopt maar het is geen excuus. Fouten worden overal gemaakt dus daar hoor je rekening mee te houden. Je processen zouden zo ingericht moeten zijn dat een enkele menselijke fout geen gevolgen heeft maar er (bv) altijd meerdere mensen de data moeten controleren.

Dat is natuurlijk makkelijk gezegd, zeker omdat wij niet weten wat er hier precies gebeurd is, maar in het algemeen gaan we iets te vaak uit van onfeilbare mensen die altijd alert zijn, netjes procedures volgen en nooit per ongeluk op de verkeerde knop drukken.

In dit geval vraag ik me af waarom een medewerker opdracht kan geven om gegevens te publiceren zonder dat er toestemming van de klant is. Het systeem zou die mogelijkheid niet moeten bieden*. Dat klinkt alsof er twee fouten zijn.

Overigens blijft het daar niet bij. De Witte Gids lijkt dus gegevens van de providers over te nemen zonder zelf te controleren of er toestemming is gegeven. Historisch gezien snap ik dat wel, vroeger kon het niet anders, maar tegenwoordig zou je ieder stuk data van een persoonlijke digitale handtekening kunnen voorzien.

Het is niet mijn bedoeling om negatief te doen over DIGI of de Witte Gids maar om er op te wijzen dat we nog veel te verbeteren hebben en dat we tegenwoordig mogelijkheden hebben die er 50 jaar geleden niet waren. Te vaak digitaliseren we oude processen op een ouderwetse manier en wordt (bv) een stuk papier vervangen door een digitaal formulier zonder extra intelligentie. We verzamelen veel meer data maar we kunnen die ook veel beter controleren en beveiligen, maar dat moeten we wel doen. Dat is nog niet echt tot ons denken doorgedrongen.

* in ieder geval niet zonder op laag niveau de database aan te passen of zo iets. Gewone medewerkers zouden dat op geen enkele manier moeten kunnen.

Nibelnoya2 @CAPSLOCK2000 • 7 januari 2025 17:35

Op userbase.be staat het verhaal iets beter uitgelegd.

Digi is (als iedere andere provider) verplicht om alle gegevens door te sturen naar de CNDB echter de vlag voor geen publicatie werd of niet gezet of werd verkeerd gezet waardoor de nummers zichtbaar werden. Inmiddels hebben FCR-media (uitgever van de witte gids) en Digi de nodige stappen genomen. Bij telefonische inschrijving werd mij overigens wel gevraagd of zij mijn gegevens mochten publiceren. Deze zijn in het geheel niet op de witte gids vermeldt geweest. Mogelijk dat er specifiek een probleem was met de inschrijvingen via het web.

kodak

Privacy

@Nibelnoya2 • 7 januari 2025 18:57

Dan is het dus niet een enkele fout maar meerdere. Er lijkt namelijk ook een gebrek aan nodige en tijdige controle te zijn, zowel organisatorisch als technisch.

De redenen zijn daarbij eerder meerdere overtredingen te noemen, aangezien men de wettelijke plicht heeft de persoonlijke gegevens behoorlijk te beschermen. Ongeacht of men dat door fouten niet doet of omdat men onwetend de wet niet behoorlijk kon uitvoeren. Op tal van manieren je niet aan de wet houden is dan juist niet af te doen als menselijke fouten. De strengere richtlijnen zijn er niet voor niets gekomen en nog negeert men het kennelijk op tal van manieren.

sebastienbo @kodak • 7 januari 2025 19:10

Normal gezien moeten ze een dummy record maken die niet gepubliceerd mag worden, als monitoring plotseling de dummy ziet tijdens testing, dan moet er alerting gebeuren En de change annuleren. Je moet data lekken zelf monitoren of aantonen dat je dat gedaan hebt. (Of geprobeerd)

Je hebt dus gelijk, ze horen dit soort monitoring op te zetten om de gegevens te beschermen. De dpo hoort de techniekers hier wel in te begeleiden door de staff en opleiding te geven en elk project in changement af te toetsen op mogelijke privacy problemen.

[Reactie gewijzigd door sebastienbo op 7 januari 2025 19:12]

TimToady @CAPSLOCK2000 • 7 januari 2025 21:51

Dat kan ik bevestigen
Wij hebben zon systeem waar identiteit verificatie van klant uit nodig is voordat een mutatie kan worden doorgevoerd
Een medewerker kan dat dus niet zonder de klant aan de telefoon te hebben en de verificatie uitvte voeren

sensory @CAPSLOCK2000 • 8 januari 2025 09:00

Aangezien het hier over een volledig nieuw deel van het bedrijf gaat denk ik niet dat hier een oud proces verkeerd is geautomatiseerd.

Waarschijnlijk is er gekeken naar wat absoluut nodig was om in België te kunnen opereren en wat later nog kan aangepast worden. Deze integratie is alleen voor België en zal waarschijnlijk momenteel manueel draaien.

Typisch geval van we zullen wel een rapportje draaien en de lijst manueel doorsturen.

sprankel

België

@wildhagen • 7 januari 2025 17:21

Ik heb een bijberoep waarbij het excuus continu is, je bent een onderneming dus we moeten ons van niets aantrekken.

Ze halen mijn gegevens illegaal uit het KBO (= KVK) hoewel het KBO niet toestaat dat je gegevens scraped voor marketing doeleinden. Ze komen aan mijn deur staan (al 3 keer gebeurd), catalogussen en post allerlei en spam mails zijn ze ook niet vies van.

Als ik ze vraag om te stoppen, zelfs duidelijk kan aantonen dat ze gegevens uit de KBO hebben gehaald (uniek mail adres) krijg ik als antwoord dat ik als onderneming niet moet klagen en dat ik geen recht heb op privacy/gdpr want onderneming. En als ik de gebruikersverklaring van de KBO doorstuur, dan worden ze stil.

Maar denk je dat ze stoppen met mails en post te sturen? Bijlange niet. Voor de duidelijkheid mijn privé adres is uiteraard hetzelfde als mijn bijberoep. Dus defacto kom het erop neer dat als je een bijberoep hebt je u prive persoon niet meer kan afschermen.

Waar ik toe wil komen, dit zijn geen kleine onbekende bedrijven waar ik mee lig te discussiëren. Elk excuus blijkt goed genoeg te zijn om te roepen dat ik geen recht heb op privacy. Ook al heb jij niets te verbergen en zit je niet met een bijberoep, dan krijg je al die kleinere lokale spelers op je dak die het concept privacy nog niet verstaan hebben. Zo had ik een café eigenaar die alle bewoners in de omgeving een vriend verzoek op Facebook had gestuurd zodat hij gratis reclame kon maken met zijn Facebook vrienden.

[Reactie gewijzigd door sprankel op 7 januari 2025 17:23]

CivLord

@sprankel • 8 januari 2025 08:44

Dat is het gevolg van ondernemer worden waar nooit iemand bij stil staat.
Voor ondernemers gelden andere regels dan voor privépersonen. Als ondernemer heb je bijvoorbeeld geen recht op anonimiteit, omdat je altijd te achterhalen zou moeten moet zijn voor klanten. (Ook voor potentiële klanten, want wanneer je niet bereikbaar bent voor willekeurige potentiële klanten onttrek je je voor een deel uit het economische verkeer en staat je ondernemerschap op losse schroeven.)

Ondernemersschap is veel meer dan enkel als eigen baas een paar centen (bij) verdienen, maar veel ondernemers schijnen dat niet te (willen) begrijpen.

sprankel

België

@CivLord • 8 januari 2025 22:07

Het probleem is dat je er een zwart wit verhaal van maakt waarbij je ofwel meteen een volwaardige onderneming bent ofwel ben je niets.

Potentiele klanten hoeven mij niet op te zoeken want als die mij vinden stuur ik ze integraal naar de concurrentie. De reden daarvoor is het concept bijberoep, ik heb geen tijd voor bijkomende klanten of ik zou ofwel mijn hoofdberoep moeten opzeggen ofwel personeel moeten aannemen, beide zouden het concept bijberoep ongedaan maken.

De klanten die ik wel aanneem en bedien zijn uit mijn dichte omgeving die perfect begrijpen dat ik dit als bijberoep doe en dus overdag niet beschikbaar ben, iets wat heel moeilijk zou worden met wilkeurige klanten.

Los daarvan is mijn onderneming uiteraard opzoekbaar, ik heb daar geen enkel probleem mee. Echter als je mij opzoekt dan is het ook meteen duidelijk dat je te maken hebt met een bijberoep alsook dat je niet terecht komt in een bedrijfspand met een secretaresse.

Waar mijn post vooral om draait is dat hoewel men perfect weet dat men eigenlijk aan een prive woning staat men zich hier niets van aantrekt , dat bij het minste excuus dat ze kunnen vinden heel agressief optreden en zelfs niet willen ingaan op een verzoek om mij niet meer te contacteren zelfs al hebben ze mijn gegevens gescraped uit een platform die hun verbied dit te doen los of ik nu al dan niet een onderneming ben. En gelet ik spreek over grote en bekende bedrijven, mag je u inbeelden wat kleinere spelers doen met gegevens die wel onder GDPR / privacy vallen.

Uiteraard kan ik dat oplossen zoals een 'echte' onderneming door een bedrijfspand te huren en alles daar te registreren. Maar dan kom ik terug op je zwart/wit verhaal, als ik dat moet gaan doen is het geen bijberoep meer, dat ligt buiten mijn financiële draagkracht als bijberoep onderneming.

Defacto zeg jij nu tegen mij wat die bedrijven zeggen, je bent ondernemer dus wij mogen alles en ik moet maar slikken.

roeleboel @wildhagen • 7 januari 2025 16:22

Een geheim nummer is/was geen optie tijdens het aanmeldproces
(voor zover ik gezien heb, maar ook niet specifiek op gelet aangezien dat voor mij niet direct van toepassing is)

Oon

@wildhagen • 7 januari 2025 16:25

Dit is het anti-privacy 'ik heb toch niks te verbergen' excuus. Dat het voor 9/10 mensen weinig impact heeft betekent niet dat het mag of dat het acceptabel is. De gevolgen zijn niet zo relevant, er is onbedoeld data bij de verkeerde partij terecht gekomen, dat is een datalek en moet zo behandeld worden. Privacy zou prioriteit nummer één moeten zijn bij het verwerken van persoonsgegevens.

HenkEisDS @wildhagen • 7 januari 2025 16:38

Naam en adres aan elkaar gekoppeld online te vinden lijkt me een heel, heel erg groot probleem.

locke960 @wildhagen • 7 januari 2025 17:34

Op zich voor verreweg de meeste mensen niet zo'n groot probleem,

Dat geld voor zo goed als elk datalek dat hier voorbijkomt.

Probleem is dat er bijna dagelijks datalekken voorbij komen. En nog veel meer komen niet voorbij. Samen met de groeiende databerg die sowieso al publiekelijk beschikbaar is, maar wat niet als datalek wordt geclassificeerd, is dit een aanzwellende datalek-tsunami.
En net als bij elke tsunami merk je pas hoe groot het probleem is als die aan land komt.

kuurtjes 7 januari 2025 16:55

Wow. Mijn adres is nu voor eeuwig online vindbaar.

EDIT: contact gegevens van DIGI en Witte Gids verwijderd

[Reactie gewijzigd door kuurtjes op 7 januari 2025 17:01]

kpro @kuurtjes • 7 januari 2025 23:27

Mijn gegevens staan nog steeds online. Niet op de witte gids maar wel op infobel.com. Best daar ook even checken onder particulieren.
Mijn gegevens zijn effectief door Digi gelekt aangezien het telefoonnummer dat daar zichtbaar is (samen met mijn adresgegevens) het tijdelijke telefoonnummer is dat ik had tijdens overzetten effectieve nummer. Alleen Digi had dit nummer.
Persoonlijk vind ik dit een grove fout van Digi. Ik overweeg juridische stappen te zetten indien ze er niet voor zorgen dat mijn gegevens van die website gehaald worden.

kuurtjes @kpro • 8 januari 2025 10:23

Ik sta op dit moment alleen nog in de Google index.

Daar heb ik via deze form contact genomen: https://support.google.co...tact/content_removal_form

[Reactie gewijzigd door kuurtjes op 8 januari 2025 10:26]