Bij een bedrijf dat ICT-diensten aan autogarages aanbiedt, zijn mogelijk persoonsgegevens van miljoenen Nederlanders gestolen. Er zou sprake zijn van 7,3 miljoen gestolen datapunten, hoewel daar nog onduidelijkheid over bestaat. Onder de gestolen gegevens bevinden zich NAW-gegevens, kentekens, telefoonnummers, geboortedata en mailadressen. Op basis van deze informatie kunnen criminelen bijvoorbeeld zien wie dure auto’s heeft en waar deze mensen wonen, maar ook identiteitsfraude, WhatsApp-fraude en spoofing loeren om de hoek. Het zou een van de grootste Nederlandse datalekken ooit zijn.
Gegevensverwerker doet meteen melding
Het lek is ontstaan bij het informaticabedrijf RDC. Dit bedrijf biedt garages de mogelijkheid aan om klanten automatisch te mailen wanneer het tijd is voor hun apk-keuring. Het is nog niet duidelijk hoe de data is gestolen, maar volgens RDC is er geen sprake geweest van een hack. Het is de NOS die het datalek op het spoor kwam nadat de gegevens op een hackersforum voor 35.000 dollar werden aangeboden. Nadat de NOS het bedrijf had ingelicht, heeft het meteen melding gemaakt bij de Autoriteit Persoonsgegevens. Zo’n formele melding is bij een datalek verplicht, zelfs wanneer de informatie al via de pers publiekelijk bekend is.
In de tussentijd lijkt het er wel op dat RDC het lek serieus neemt. Zo heeft het Fox-IT, een expert op het gebied van netwerkbeveiliging, in huis gehaald om op zoek te gaan naar hoe de gegevens zijn gelekt. Daarnaast moet het ook toekomstige lekken helpen te voorkomen.
Getroffen autobedrijven moeten zelf actie ondernemen
Alle getroffen autobedrijven werden op de hoogte gebracht. Zij dienen eveneens melding te maken bij de Autoriteit Persoonsgegevens. Een collectieve melding is namelijk niet mogelijk. RDC mag getroffen consumenten bovendien niet zelf op de hoogte brengen. Het is namelijk het autobedrijf dat verwerkingsverantwoordelijke is en dat een contractuele relatie heeft met de consument. RDC is daarbij een derde die via een verwerkersovereenkomst deze gegevens voor het autobedrijf mag verwerken, maar ten opzichte van de consument ligt de verantwoordelijkheid dus bij de autobedrijven.
Autobedrijven kunnen inderdaad maar beter hun klanten op de hoogte brengen. De Autoriteit Persoonsgegevens heeft eerder al aangegeven dat wanneer een inbreuk een hoog risico inhoudt, de verwerkingsverantwoordelijke de betrokkenen onverwijld op de hoogte moet brengen. Of er al dan niet sprake is van een hoog risico is een feitenkwestie. Hierbij wordt onder meer rekening gehouden met het aantal getroffen personen, het gemak waarmee personen kunnen worden geïdentificeerd, de ernst van de gevolgen en de omvang en gevoeligheid van de gelekte persoonsgegevens. In deze specifieke situatie is het inderdaad aangeraden om klanten formeel op de hoogte te brengen van het datalek. RDC zou in hun digitale omgeving alvast een bericht voor de autobedrijven hebben klaargezet. Uiteraard kunnen verwerkingsverantwoordelijken ook een ander bericht gebruiken.
Verantwoordelijkheid voor datalekken
Hoewel het onderzoek nog volop loopt, is er toch iets waar we alvast vraagtekens achter kunnen plaatsen. Zo zouden er zelfs gegevens zijn gelekt over auto’s die meer dan tien jaar geleden bij een garage zijn geweest. En dit terwijl het gaat om gegevens die eind 2018 en begin 2019 zijn verzameld. Nochtans is het met de komst van de AVG nog belangrijker geworden om persoonsgegevens tijdig te verwijderen. Als uiteindelijk blijkt dat er fouten zijn gemaakt, wat nu nog niet duidelijk is, kan de Autoriteit Persoonsgegevens ingrijpen en boetes opleggen.
