Bunq en Unicef lekken gebruikersgegevens door e-mailfout
De Nederlandse bank Bunq en Unicef hebben door een fout met e-mail de gegevens van gebruikers gelekt. In het geval van Bunq ging het om de gegevens van meer dan tachtig gebruikers die feedback naar de bank hadden gestuurd.
De bank liet in een e-mail aan deze gebruikers weten dat het ging stoppen met het e-mailadres in kwestie, maar had de e-mailadressen in het To-veld geplaatst. Daardoor waren de e-mailadressen van 82 gebruikers voor iedereen zichtbaar, zo meldt Iwan Verrips van BNR op Twitter. In een excuusmail meldt Bunq dat het de interne procedures gaat aanpassen om herhaling te voorkomen en vraagt de gebruikers in kwestie om de e-mail te verwijderen.
De bank verklaart tegenover BNR dat het geen melding bij de Autoriteit Persoonsgegevens hoeft te doen omdat het alleen om e-mailadressen gaat. In mei van dit jaar verstuurde de privacytoezichthouder zelf een e-mail waarbij het per ongeluk via het CC-veld de e-mailadressen van tientallen journalisten en redacties lekte. De Autoriteit Persoonsgegevens meldde het datalek vervolgens bij zichzelf.
Tegenover Het Parool liet de toezichthouder destijds weten dat een soortgelijk lek niet altijd reden is om melding te maken. "Over of dit een datalek is waarbij een meldplicht geldt, valt nog te discussiëren. Omdat wij hierin zo transparant mogelijk wilden zijn hebben we de fout wel gewoon gemeld", aldus Sandra Loois, woordvoerder van de Autoriteit Persoonsgegevens.
Unicef
In het geval van Unicef werden de persoonlijke gegevens van meer dan 8200 gebruikers van een online leerportaal naar bijna 20.000 gebruikers van hetzelfde portaal gestuurd. Unicef biedt via het Agora-portaal allerlei trainingen over kinderrechten, humanitaire acties, onderzoek en andere zaken. Via het portaal is mogelijk voor Unicef-medewerkers om rapportages over gebruikers te maken en die via e-mail te versturen.
Door een fout van een medewerker werd een spreadsheet met informatie van 8253 Agora-gebruikers, waaronder namen, e-mailadressen, standplaatsen, geslacht, organisatie, manager, contractvorm en andere profielgegevens, naar bijna 20.000 andere gebruikers gestuurd. Na ontdekking van het datalek heeft Unicef de mogelijkheid om rapportages via Agora te versturen geblokkeerd, zo laat het tegenover Devex weten.
Gebruikers zijn in een vervolgmail gevraagd om de e-mail en het bestand met persoonsgegevens te verwijderen. Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.
Tenzij het een partij betreft die een vorm van immuniteit geniet, zoals het geval is bij de Verenigde Naties.
Zie "Verdrag nopens de voorrechten en immuniteiten van de Verenigde Naties, Londen, 13-02-1946, Artikel 2, Sectie 2.
Nee, internationale organisaties, dus ook hun lokale vestigingen in de EU, vallen niet onder de AVG.
Zie art. 2(2)(a) AVG. Zie ook: https://www.ica.org/sites/default/files/09-2018-05-25_-_44th_sio_meeting-_gdpr_and_international_organisations.pdf
Dit kan beschouwd worden als een RFC ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
