Waarom mag RDC Nederlandse autobezitters niet over het recente datalek informeren?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik las dat de RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, getroffen personen niet over het datalek mag informeren. Kun je uitleggen waarom dat juridisch niet mag?
Antwoord: Het datalek is enorm: het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk.
De RDC biedt het product CaRe-Mail aan. Dat maakt de klantendatabase van een dealermanagementsysteem interactief waardoor klanten individueel door het garagebedrijf benaderd kunnen worden. "CaRe-Mail verzamelt dagelijks de nieuwe gegevens uit je systeem. We plaatsen een kastje in jouw eigen lokale netwerk dat nieuwe en gewijzigde gegevens verzamelt en een kopie daarvan verzendt naar CaRe-Mail."
Kennelijk is de constructie dat RDC daarbij optreedt als verwerker in opdracht van de verwerkingsverantwoordelijke, de garagebedrijven.
En nee, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de garagebedrijven. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de beslissing van de garagebedrijven.
Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. Het garagebedrijf meldt het aan jou, en als je dan claims hebt dan dien je die bij het garagebedrijf in. Die lost het intern maar op met RDC.
In een eerste versie van deze juridische vraag stond de RDW als verwerkingsverantwoordelijke vermeld, dat had garagebedrijven moeten zijn. Dit is aangepast.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dwz je geeft je informatie aan je garage (logisch natuurlijk, je wilt dat ze je bellen als je auto klaar is, dat je ze kunt mailen met een vraag, enz) en die levert die info weer aan RDC die het opslaan in hun database.
Wat precies het belang van de garage daarbij is ontgaat me een beetje, dit zou toch hooguit een concurrent bevoordelen zou ik denken.
Maar als het niet zo werkt, hoe dan wel? RDW heeft bij mijn weten niet eens mijn telefoonnummer of e-mail adres. Hoe zouden ze daar aan moeten komen?
Als het nou zo was dat bijv. door dit lek jouw auto op andermans naam was gezet en die hem verkocht heeft en jij daar 20.000 euro schade door hebt, DAN was je in de positie om schadevergoeding te eisen.
Maar "hullie hebben mijn adres" dat is geen schade waar je een bonnetje van kunt overleggen en die krijg je dus niet gecompenseerd.
Ik denk dat dit gewoon even een fase is waar we doorheen moeten. Als alle gegevens van alle Nederlanders op straat liggen dan is er geen incrementele schade meer en geen specifieke situatie voor bepaalde mensen. Dan hoeven we ook niet meer iedere keer dat er een bedrijf gehacked is te gaan jammeren dat er gegevens gelekt waren, want die waren toch al elders gelekt.
Ondertussen maar de autosleutels in een melkbus ;)
Dwz je wordt slachtoffer van een dergelijke data diefstal en je doet daar je claim (onderbouwd met je werkelijke schade) en krijgt die dan uitgekeerd.
Immers het zal (zeker op den duur) onmogelijk zijn om te bewijzen van WELKE datadiefstal jij het slachtoffer bent geworden, dus als er op de een of andere manier een traject is van datadiefstal->verzekeraar->claim waarbij jij bij je claim bij DIE specifieke verzekeraar moet aantonen dat jij slachtoffer bent van een datalek wat DAAR is ondergebracht ter verzekering, dan wordt dat een kansloze zaak.
Precies. Of emigreren naar een ander land.. oh nee daar is het ook niet op orde.
Helaas werkt het wel zo in de praktijk. Niets is 100% te beveiligen. Uiteraard valt wel iets te zeggen over de nalatigheid en wijze van beveiliging, maar toeleveranciers en tussenschakels blijken toch altijd de zwakste schakel letterlijk en figuurlijk in de chainlink. Nalatigheid is iets wat moeilijk te bewijzen valt, want uiteraard kan iemand aansprakelijk worden gesteld voor schade, maar dat is nu net het probleem. Wat zou voor jou een redelijke compensatie zijn om uit te keren voor de gelekte persoonsgegevens?
En tja, als jouw gegevens hier al niet tussen zaten, zitten ze wel in een eerdere datalek (die de mainstream media is ontgaan).
Overigens @Anoniem 31/3 13:03, wanneer je een keyless entry systeem op je auto hebt, is dit altijd aan te raden. Of iets vergelijkbaars natuurlijk. Anders is je auto soms ook "spontaan" weggereden.
Op de website van RDC staat dat zij verwerker zijn voor garagebedrijven dus het lijkt mij dat je het garagebedrijf aan moet spreken als verwerkingsverantwoordelijke.
Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.
Geen idee op basis waarvan Arnoud in het artikel concludeert dat de RDW verwerkingsverantwoordelijke zou zijn?
Geachte ****,
Zeer waarschijnlijk heeft u al uit de media vernomen dat door een datalek de voertuig- en persoonsgegevens van miljoenen klanten van autobedrijven gelekt zijn.
Langs deze weg willen wij u informeren dat wij gebruik hebben gemaakt van de software die mogelijk geraakt is. De kans is dan ook aanwezig dat de voertuig- en persoonsgegevens die u bij ons heeft achtergelaten, gelekt zijn. Net als u zijn wij zeer geschokt over dit voorval.
Wij zijn in nauw overleg met softwareleverancier RDC over de te nemen stappen. RDC heeft direct Fox-IT, experts op het gebied van cybersecurity, in huis gehaald om te achterhalen hoe de gegevens buiten ons beheer terecht zijn gekomen. Ook heeft RDC direct een melding bij de Autoriteit Persoonsgegevens gedaan.
Indien u hier aanvullende vragen over heeft verwijzen we u daarvoor naar de Servicedesk van RDC: 020-6445553.
Wij begrijpen het als u inzage wilt in de gegevens die wij in onze database hebben en op basis waarvan wij u benaderen. In uw eigen klantomgeving ziet u welke gegevens dat zijn en kunt u zelf uw voorkeuren aangeven. Deze gegevens kunt u aanpassen naar wens.
Uiteraard heeft u als consument ook de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dat kunt u doen op hun website: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap
Indien u per mail of telefoon benaderd wordt door partijen die werkzaamheden aan uw auto willen uitvoeren en daarvoor willen langskomen op uw huisadres of u vragen de auto ergens langs te brengen, gaat u daar niet op in! Wij zullen u nooit op deze manier benaderen over technische updates.
Met vriendelijke groet,
****
aannemelijk kunnen maken, laat staan bewijzen, dat dit het gevolg is van een datalek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
