Tientallen bedrijven informeerden AP niet over datalek bij Ticketcounter
Tientallen bedrijven en organisaties, waaronder musea, theaters, dierentuinen, evenementenbureaus en circussen, hebben een datalek bij Ticketcounter niet aan de Autoriteit Persoonsgegevens gemeld, terwijl dit wel verplicht was. Ook klanten en bezoekers werden niet gewaarschuwd dat hun gegevens op straat lagen. Voor het niet melden van een datalek kan de privacytoezichthouder hoge boetes opleggen.
Ticketcounter verzorgt online kaartverkoop voor allerlei evenementen, musea, pretparken en dierentuinen. Een back-up van het bedrijf was door een fout voor iedereen op internet toegankelijk en werd in februari gedownload. De data uit de back-up werd in maart openbaar gemaakt. Het ging om bankrekeningnummers, geboortedata, e-mailadressen, geslacht, ip-adressen, namen, betaalgeschiedenis, telefoonnummers en adresgegevens. De back-up bevatte in totaal 1,9 miljoen unieke e-mailadressen.
Dierentuinen Apenheul, Blijdorp en Dierenpark Amersfoort waarschuwden hun bezoekers voor het datalek, maar tientallen organisaties hebben dat niet gedaan, zo laat de Autoriteit Persoonsgegevens aan NU.nl weten. De organisaties waren door Ticketcounter gewaarschuwd dat ze het datalek bij de AP moesten melden, maar hebben dit niet gedaan. De toezichthouder heeft nu naar 46 organisaties uit met name de cultuur- en entertainmentsector een brief gestuurd. Om welke bedrijven het gaat wil de AP niet zeggen.
In maart kreeg Booking.com een boete van 475.000 euro opgelegd wegens het te laat melden van een datalek aan de Autoriteit Persoonsgegevens.
Reacties (13)
Goed dat de AP hier achteraan gaat. Er was geregeld kritiek op het feit dat bedrijven alleen op de vingers werden getikt als zij een datalek te laat meldde. Maar dat als je niks meldde, je hier ook niet op aangesproken kon worden. Dit laat zien dat ook als je niet meld, je alsnog een tik op de vingers krijgt.
11-06-2021, 14:00 door
Briolet
De organisaties waren door Ticketcounter gewaarschuwd dat ze het datalek bij de AP moesten melden, maar hebben dit niet gedaan.
Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
Door Briolet:
Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
De organisaties waren door Ticketcounter gewaarschuwd dat ze het datalek bij de AP moesten melden, maar hebben dit niet gedaan.
Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
Formeel kan het bedrijf met het datalek dit alleen melden aan haar klanten. Daarvoor zijn ze de verwerker en niet de verwerkingsverantwoordelijke. Deze laatste moet haar klanten weer waarschuwen, want verantwoordelijk voor de data. De mensen vullen de gegevens in op of via hun site, de gegevens worden doorgegeven aan of er wordt doorgelinkt naar Ticketcounter.
Door Briolet: Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke kan dingen uitbesteden aan verwerkers, maar blijft verantwoordelijk voor het resultaat. Als een museum of een dierentuin online ticketverkoop uitbesteedt aan Ticketcounter dan is Ticketcounter de verwerker, de verwerkingsverantwoordelijke is nog steeds dat museum of die dierentuin, en die blijven eindverantwoordelijk voor de verwerking.Artikelen 33 en 34 van de AVG beschrijven hoe de meldingen verlopen: de verwerker meldt het aan de verwerkingsverantwoordelijke, en die doet de meldingen aan de toezichthoudende autoriteit en aan de betrokkenen.
Bedenk dat een melding aan de betrokkenen zelf ook weer een verwerking van persoonsgegevens is. Die mag niet gedaan worden zonder wettelijke grondslag. Die wettelijke grondslag heeft de verwerkingsverantwoordelijke wel, die is namelijk verplicht die melding aan de betrokkenen te doen, die verplichting is een geldige grondslag. Een verwerker aan wie een verwerking is uitbesteed heeft die grondslag niet, die mag met persoonsgegevens doen wat is afgesproken, maar niet meer dan dat.
Als je beseft dat een melding aan de betrokkene zelf een verwerking van persoonsgegevens is en de AVG-logica ook daarop loslaat dan is de logische uitkomst daarvan dat het zo werkt als in de AVG staat.
Ik kan me voorstellen dat voor het doen van meldingen aan de betrokkenen ook weer een verwerkingsovereenkomst met dezelfde verwerker kan worden gesloten. Of dat in één keer vooraf voor alle toekomstige datalekken te regelen is betwijfel ik. De AVG blijft de verantwoordelijkheid namelijk bij de ververkingsverantwoordelijke leggen, en dan moet die dus de situatie beoordelen en besluiten of er gecommuniceerd wordt en wat precies. Als de verwerker dat op eigen houtje gaat invullen doet die een verwerking van persoonsgegevens zonder geldige grondslag. Dat de feitelijke mailing erover wordt uitbesteed aan de verwerker waar het fout ging zal vermoedelijk kunnen, maar ook dat moet dan dus met een geldige verwerkersovereenkomst zijn geregeld.
Dit is dus geen kwestie van afschuiven maar van handelen volgens de wettelijk geregelde verantwoordelijkheden. Het bedrijf waar het datalek plaatsvindt heeft absoluut de verantwoordelijkheid om dat te melden, maar als dat bedrijf alleen een verwerker is en niet de verwerkingsverantwoordelijke dan houdt die verantwoordelijkheid in om het te melden aan de verwerkingsverantwoordelijke. Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
11-06-2021, 18:48 door
karma4
Door Anoniem:
Formeel kan het bedrijf met het datalek dit alleen melden aan haar klanten. Daarvoor zijn ze de verwerker en niet de verwerkingsverantwoordelijke. Deze laatste moet haar klanten weer waarschuwen, want verantwoordelijk voor de data. De mensen vullen de gegevens in op of via hun site, de gegevens worden doorgegeven aan of er wordt doorgelinkt naar Ticketcounter.
Als de verwermingsverantwoordijke geen gegevens heeft kunnen ze het niet melden. Een verplichting om persoonsgegevens te gaan verwerken wegens een melding lijkt me tegen de GDPR in te gaan.Formeel kan het bedrijf met het datalek dit alleen melden aan haar klanten. Daarvoor zijn ze de verwerker en niet de verwerkingsverantwoordelijke. Deze laatste moet haar klanten weer waarschuwen, want verantwoordelijk voor de data. De mensen vullen de gegevens in op of via hun site, de gegevens worden doorgegeven aan of er wordt doorgelinkt naar Ticketcounter.
Als men het nu eens anders bekijkt.
Bedrijf x aan ticketcouter verkoop voor mij mijn toegangsbewijzen, tegen 10% provisie. Hier heb je een stapel toegangsbewijzen. Dan bepaalt bedrijf x dus helemaal niet hoe ticketcounter de verkoop organiseert.
Het is ticketcounter die besluit NAW gegeven te verwerken van de mensen die toegangsbewijzen kopen.
Dan is tickectcounter dus de verantwoordelijke, en niet bedrijf x
Kortom, het is misschien helemaal niet zo simpel....
Bedrijf x aan ticketcouter verkoop voor mij mijn toegangsbewijzen, tegen 10% provisie. Hier heb je een stapel toegangsbewijzen. Dan bepaalt bedrijf x dus helemaal niet hoe ticketcounter de verkoop organiseert.
Het is ticketcounter die besluit NAW gegeven te verwerken van de mensen die toegangsbewijzen kopen.
Dan is tickectcounter dus de verantwoordelijke, en niet bedrijf x
Kortom, het is misschien helemaal niet zo simpel....
Door karma4:
De verwerkingsverantwoordelijke moet er juist voor zorgen dat zij relevante informatie krijgen. Dat is juist de essentie van die "verantwoordelijkheid". Door Anoniem:
Formeel kan het bedrijf met het datalek dit alleen melden aan haar klanten. Daarvoor zijn ze de verwerker en niet de verwerkingsverantwoordelijke. Deze laatste moet haar klanten weer waarschuwen, want verantwoordelijk voor de data. De mensen vullen de gegevens in op of via hun site, de gegevens worden doorgegeven aan of er wordt doorgelinkt naar Ticketcounter.
Als de verwermingsverantwoordijke geen gegevens heeft kunnen ze het niet melden. Een verplichting om persoonsgegevens te gaan verwerken wegens een melding lijkt me tegen de GDPR in te gaan.Formeel kan het bedrijf met het datalek dit alleen melden aan haar klanten. Daarvoor zijn ze de verwerker en niet de verwerkingsverantwoordelijke. Deze laatste moet haar klanten weer waarschuwen, want verantwoordelijk voor de data. De mensen vullen de gegevens in op of via hun site, de gegevens worden doorgegeven aan of er wordt doorgelinkt naar Ticketcounter.
Normaal gesproken geven ze zelf tickets uit. Nu besluiten ze het niet zelf te doen (lekker makkelijk en goedkoop), maar dat betekent dus niet dat ze daarmee ook hun verantwoordelijkheid kwijt zijn.
Daarom moeten ze er in de verwerkingsovereenkomst goede afspraken over opnemen. Doe je dat niet, of controleer je niets, dan neem je je verantwoordelijkheid niet...
12-06-2021, 16:26 door
karma4
Door Anoniem:
De verwerkingsverantwoordelijke moet er juist voor zorgen dat zij relevante informatie krijgen. Dat is juist de essentie van die "verantwoordelijkheid".
Normaal gesproken geven ze zelf tickets uit. Nu besluiten ze het niet zelf te doen (lekker makkelijk en goedkoop), maar dat betekent dus niet dat ze daarmee ook hun verantwoordelijkheid kwijt zijn.
Daarom moeten ze er in de verwerkingsovereenkomst goede afspraken over opnemen. Doe je dat niet, of controleer je niets, dan neem je je verantwoordelijkheid niet...
Zover ik het in de GDPR kan zien is er nergens een verplichting voor de verwerkingsverantwoordelijke zelf een administratie te moeten voeren met persoonsgegevens om klanten met een eigen administratie voir een datalek te kunnen informeren. Die taak ligt bij de uitbesteding bij de verwerker omdat die de gegevens heeft. Aangezien de verwerker zelf de fout in is gegaan is het raar om dat te proberen af te schuiven.De verwerkingsverantwoordelijke moet er juist voor zorgen dat zij relevante informatie krijgen. Dat is juist de essentie van die "verantwoordelijkheid".
Normaal gesproken geven ze zelf tickets uit. Nu besluiten ze het niet zelf te doen (lekker makkelijk en goedkoop), maar dat betekent dus niet dat ze daarmee ook hun verantwoordelijkheid kwijt zijn.
Daarom moeten ze er in de verwerkingsovereenkomst goede afspraken over opnemen. Doe je dat niet, of controleer je niets, dan neem je je verantwoordelijkheid niet...
De AP speelt hierbij de kwalijke rol om de weg van afpersing voor niet verwijtbaar handelen open te zetten.
12-06-2021, 17:20 door
Briolet
Door Anoniem:
[knip]
Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Door Briolet: Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke kan dingen uitbesteden aan verwerkers, maar blijft verantwoordelijk voor het resultaat. Als een museum of een dierentuin online ticketverkoop uitbesteedt aan Ticketcounter dan is Ticketcounter de verwerker, de verwerkingsverantwoordelijke is nog steeds dat museum of die dierentuin, en die blijven eindverantwoordelijk voor de verwerking.[knip]
Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Duidelijke uitleg waarom de dierentuinen etc zelf de melding naar de klanten moeten doen. Dat zal liggen hoe de adressen verwerkt worden. Ik had verwacht dat de dierentuinen helemaal geen adressen van de bezoekers hadden. Dat hebben ze ook niet nodig want je komt met een geldig ticket bij de ingang. Als ik rechtstreeks bij een dierentuin een ticket bestelde, stond er ook nooit een naam op het ticket. (Kon ook niet, want dat waren tickets om onder per personeel te verdelen)
Alleen de melding richting AP vind ik nog steeds onlogisch. Ticketcounter geeft aan dat zij zelf een melding richting AP gedaan hebben. Het datalek is dan al bekend bij AP. Waarom zou je datzelfde datalek dan tientallen keren moeten melden via de klanten van Ticketcounter? Het AP gaat er echt geen tientallen onderzoeken naar doen, maar zal dit ook als één case gaan verwerken.
In de laatste zin hierboven wordt nog een boete voor booking.com genoemd. Ook daar heeft het boekingskantoor de boete gekregen en niet de hotels waar de bezoekers naar toe gingen.
Door Briolet:
Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
nee, TicketCounter is verwerker en hoort überhaupt geen melding bij het AP te doen, zijn klanten moeten dat doen. Dus dat het AP daar achteraan zit is absoluut correct.De organisaties waren door Ticketcounter gewaarschuwd dat ze het datalek bij de AP moesten melden, maar hebben dit niet gedaan.
Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
Overigens heeft TicketCounter zelf ook een melding gedaan, wat ze niet mogen, en hun klanten als betrokkene (personen waar persoonsgegevens van gelekt zijn) aangemerkt. Dat is incorrect.
Daarnaast wijgeren ze gegevens van hun klanten te verwijderen en claimen ze een financiële instelling te zijn. Ze staan niet onder toezicht van het AFM noch DNB.
Oftewijl, als het AP achter de klanten van TicketCounter aan gaat, zou ik ook deze partij even scherp meenemen.
Het datalek heeft maande voortgeduurd en ze hebben een "hacker" ingezet om de data terug te krijgen (althans van het dark web af), ben benieuwd of ze daarvoor betaalt hebben aan die z.g "hacker".
Die organisatie was in blinde paniek, dat merkte je aan alles.
Ik zal er maar niet bij zeggen door wie ze geadviseerd zijn, althans dat claimde ze, want dan heeft die partij ook een imago probleem.
Door Anoniem:
Artikelen 33 en 34 van de AVG beschrijven hoe de meldingen verlopen: de verwerker meldt het aan de verwerkingsverantwoordelijke, en die doet de meldingen aan de toezichthoudende autoriteit en aan de betrokkenen.
Bedenk dat een melding aan de betrokkenen zelf ook weer een verwerking van persoonsgegevens is. Die mag niet gedaan worden zonder wettelijke grondslag. Die wettelijke grondslag heeft de verwerkingsverantwoordelijke wel, die is namelijk verplicht die melding aan de betrokkenen te doen, die verplichting is een geldige grondslag. Een verwerker aan wie een verwerking is uitbesteed heeft die grondslag niet, die mag met persoonsgegevens doen wat is afgesproken, maar niet meer dan dat.
Als je beseft dat een melding aan de betrokkene zelf een verwerking van persoonsgegevens is en de AVG-logica ook daarop loslaat dan is de logische uitkomst daarvan dat het zo werkt als in de AVG staat.
Ik kan me voorstellen dat voor het doen van meldingen aan de betrokkenen ook weer een verwerkingsovereenkomst met dezelfde verwerker kan worden gesloten. Of dat in één keer vooraf voor alle toekomstige datalekken te regelen is betwijfel ik. De AVG blijft de verantwoordelijkheid namelijk bij de ververkingsverantwoordelijke leggen, en dan moet die dus de situatie beoordelen en besluiten of er gecommuniceerd wordt en wat precies. Als de verwerker dat op eigen houtje gaat invullen doet die een verwerking van persoonsgegevens zonder geldige grondslag. Dat de feitelijke mailing erover wordt uitbesteed aan de verwerker waar het fout ging zal vermoedelijk kunnen, maar ook dat moet dan dus met een geldige verwerkersovereenkomst zijn geregeld.
Dit is dus geen kwestie van afschuiven maar van handelen volgens de wettelijk geregelde verantwoordelijkheden. Het bedrijf waar het datalek plaatsvindt heeft absoluut de verantwoordelijkheid om dat te melden, maar als dat bedrijf alleen een verwerker is en niet de verwerkingsverantwoordelijke dan houdt die verantwoordelijkheid in om het te melden aan de verwerkingsverantwoordelijke. Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Dat is wel interessant in dit geval, de verwerker raadde de verwerkingsverantwoordelijke aan dat de betrokkene met TicketCounter contact op konden nemen voor verdere informatie, eventueel verwijdering van gegevens etc.Door Briolet: Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke kan dingen uitbesteden aan verwerkers, maar blijft verantwoordelijk voor het resultaat. Als een museum of een dierentuin online ticketverkoop uitbesteedt aan Ticketcounter dan is Ticketcounter de verwerker, de verwerkingsverantwoordelijke is nog steeds dat museum of die dierentuin, en die blijven eindverantwoordelijk voor de verwerking.Artikelen 33 en 34 van de AVG beschrijven hoe de meldingen verlopen: de verwerker meldt het aan de verwerkingsverantwoordelijke, en die doet de meldingen aan de toezichthoudende autoriteit en aan de betrokkenen.
Bedenk dat een melding aan de betrokkenen zelf ook weer een verwerking van persoonsgegevens is. Die mag niet gedaan worden zonder wettelijke grondslag. Die wettelijke grondslag heeft de verwerkingsverantwoordelijke wel, die is namelijk verplicht die melding aan de betrokkenen te doen, die verplichting is een geldige grondslag. Een verwerker aan wie een verwerking is uitbesteed heeft die grondslag niet, die mag met persoonsgegevens doen wat is afgesproken, maar niet meer dan dat.
Als je beseft dat een melding aan de betrokkene zelf een verwerking van persoonsgegevens is en de AVG-logica ook daarop loslaat dan is de logische uitkomst daarvan dat het zo werkt als in de AVG staat.
Ik kan me voorstellen dat voor het doen van meldingen aan de betrokkenen ook weer een verwerkingsovereenkomst met dezelfde verwerker kan worden gesloten. Of dat in één keer vooraf voor alle toekomstige datalekken te regelen is betwijfel ik. De AVG blijft de verantwoordelijkheid namelijk bij de ververkingsverantwoordelijke leggen, en dan moet die dus de situatie beoordelen en besluiten of er gecommuniceerd wordt en wat precies. Als de verwerker dat op eigen houtje gaat invullen doet die een verwerking van persoonsgegevens zonder geldige grondslag. Dat de feitelijke mailing erover wordt uitbesteed aan de verwerker waar het fout ging zal vermoedelijk kunnen, maar ook dat moet dan dus met een geldige verwerkersovereenkomst zijn geregeld.
Dit is dus geen kwestie van afschuiven maar van handelen volgens de wettelijk geregelde verantwoordelijkheden. Het bedrijf waar het datalek plaatsvindt heeft absoluut de verantwoordelijkheid om dat te melden, maar als dat bedrijf alleen een verwerker is en niet de verwerkingsverantwoordelijke dan houdt die verantwoordelijkheid in om het te melden aan de verwerkingsverantwoordelijke. Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Dit zonder overeenkomst noch duidelijke afspraken hierover.
TicketCounter gedroeg zich daarin dus als verwerkingsverantwoordelijke, naast dat ze haar 150 klanten (bedrijven) als betrokkene vermelde in de melding bij het AP.
LIjkt Lijkt mij overtreding van art. 28 10e lid AVG.
Door Briolet:
Duidelijke uitleg waarom de dierentuinen etc zelf de melding naar de klanten moeten doen. Dat zal liggen hoe de adressen verwerkt worden. Ik had verwacht dat de dierentuinen helemaal geen adressen van de bezoekers hadden. Dat hebben ze ook niet nodig want je komt met een geldig ticket bij de ingang. Als ik rechtstreeks bij een dierentuin een ticket bestelde, stond er ook nooit een naam op het ticket. (Kon ook niet, want dat waren tickets om onder per personeel te verdelen)
Alleen de melding richting AP vind ik nog steeds onlogisch. Ticketcounter geeft aan dat zij zelf een melding richting AP gedaan hebben. Het datalek is dan al bekend bij AP. Waarom zou je datzelfde datalek dan tientallen keren moeten melden via de klanten van Ticketcounter? Het AP gaat er echt geen tientallen onderzoeken naar doen, maar zal dit ook als één case gaan verwerken.
In de laatste zin hierboven wordt nog een boete voor booking.com genoemd. Ook daar heeft het boekingskantoor de boete gekregen en niet de hotels waar de bezoekers naar toe gingen.
TicketCounter had helemaal geen melding bij het AP mogen doen, daarmee hebben ze hun rol als verwerker overtreden.Door Anoniem:
[knip]
Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Door Briolet: Klinkt als afschuiven. Voor mij lijkt het logisch dat het bedrijf waar het datalek plaats heeft, dit meldt.
De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke kan dingen uitbesteden aan verwerkers, maar blijft verantwoordelijk voor het resultaat. Als een museum of een dierentuin online ticketverkoop uitbesteedt aan Ticketcounter dan is Ticketcounter de verwerker, de verwerkingsverantwoordelijke is nog steeds dat museum of die dierentuin, en die blijven eindverantwoordelijk voor de verwerking.[knip]
Als zo'n verwerker zelf betrokkenen gaat inlichten overtreedt hij zelf de AVG, omdat ook dat een verwerking van persoonsgegevens is die zonder geldige grondslag niet mag.
Duidelijke uitleg waarom de dierentuinen etc zelf de melding naar de klanten moeten doen. Dat zal liggen hoe de adressen verwerkt worden. Ik had verwacht dat de dierentuinen helemaal geen adressen van de bezoekers hadden. Dat hebben ze ook niet nodig want je komt met een geldig ticket bij de ingang. Als ik rechtstreeks bij een dierentuin een ticket bestelde, stond er ook nooit een naam op het ticket. (Kon ook niet, want dat waren tickets om onder per personeel te verdelen)
Alleen de melding richting AP vind ik nog steeds onlogisch. Ticketcounter geeft aan dat zij zelf een melding richting AP gedaan hebben. Het datalek is dan al bekend bij AP. Waarom zou je datzelfde datalek dan tientallen keren moeten melden via de klanten van Ticketcounter? Het AP gaat er echt geen tientallen onderzoeken naar doen, maar zal dit ook als één case gaan verwerken.
In de laatste zin hierboven wordt nog een boete voor booking.com genoemd. Ook daar heeft het boekingskantoor de boete gekregen en niet de hotels waar de bezoekers naar toe gingen.
Het enigste wat ze hadden moeten doen is hun klanten informeren. En daarbij ook nog eens niet de wijze waarop die klant moet melden voorkauwen, ofwel aangeven als je een melding doet gebruik onze melding maar als template.
TicketCounter zit hier echt fout.
En ja, het AP hoort inderdaad 150 meldingen binnen te krijgen, namelijk alle klanten van TicketCounter afzonderlijk. Dat een deel van de informatie daarbij hetzelfde is is prima.
maar de meeste informatie, welke data is er gelekt, wat zijn de vervolg acties die je genomen hebt etc. zijn organisatie specifiek.
Doordat TicketCounter dit heeft proberen voor te kauwen, hebben ze geprobeerd het beeld bij het AP te beïnvloeden en net alsof te doen of het allemaal wel mee viel.
ALs je vanaf begin augustus 2020 t/m eind februari 2021 een kopie van je gehele productie database online hebt staan, kun je niet bepaald claimen dat met het verwijderen daarvan (waaronder van het dark web) de het datalek is opgelost. En zeker niet dat de schade nihil is.
Door Anoniem:
TicketCounter had helemaal geen melding bij het AP mogen doen, daarmee hebben ze hun rol als verwerker overtreden.
Het enigste wat ze hadden moeten doen is hun klanten informeren. En daarbij ook nog eens niet de wijze waarop die klant moet melden voorkauwen, ofwel aangeven als je een melding doet gebruik onze melding maar als template.
TicketCounter zit hier echt fout.
En ja, het AP hoort inderdaad 150 meldingen binnen te krijgen, namelijk alle klanten van TicketCounter afzonderlijk. Dat een deel van de informatie daarbij hetzelfde is is prima.
maar de meeste informatie, welke data is er gelekt, wat zijn de vervolg acties die je genomen hebt etc. zijn organisatie specifiek.
Doordat TicketCounter dit heeft proberen voor te kauwen, hebben ze geprobeerd het beeld bij het AP te beïnvloeden en net alsof te doen of het allemaal wel mee viel.
ALs je vanaf begin augustus 2020 t/m eind februari 2021 een kopie van je gehele productie database online hebt staan, kun je niet bepaald claimen dat met het verwijderen daarvan (waaronder van het dark web) de het datalek is opgelost. En zeker niet dat de schade nihil is.
TicketCounter had helemaal geen melding bij het AP mogen doen, daarmee hebben ze hun rol als verwerker overtreden.
Het enigste wat ze hadden moeten doen is hun klanten informeren. En daarbij ook nog eens niet de wijze waarop die klant moet melden voorkauwen, ofwel aangeven als je een melding doet gebruik onze melding maar als template.
TicketCounter zit hier echt fout.
En ja, het AP hoort inderdaad 150 meldingen binnen te krijgen, namelijk alle klanten van TicketCounter afzonderlijk. Dat een deel van de informatie daarbij hetzelfde is is prima.
maar de meeste informatie, welke data is er gelekt, wat zijn de vervolg acties die je genomen hebt etc. zijn organisatie specifiek.
Doordat TicketCounter dit heeft proberen voor te kauwen, hebben ze geprobeerd het beeld bij het AP te beïnvloeden en net alsof te doen of het allemaal wel mee viel.
ALs je vanaf begin augustus 2020 t/m eind februari 2021 een kopie van je gehele productie database online hebt staan, kun je niet bepaald claimen dat met het verwijderen daarvan (waaronder van het dark web) de het datalek is opgelost. En zeker niet dat de schade nihil is.
Mmm je maakt hier een denkfoutje.
TicketCounter, daar vond het datalek plaats, daar verdwenen de gegevens.. Die moeten een melding doen aan de AP.
Maar verder:
TicketCounter levert een dienst aan de musea. namelijk het verkopen van de tickets die van de musea zijn. Dus de musea zijn de klanten van TicketCounter. De ticket-ontvangers zijn de klanten van de musea. Die kopen een ticket dat eigendom is van de musea.
Ergo TicketCounter mag (en moet) alleen het AP en zijn klanten inlichten. Dat zijn de musea. De musea mogen en moeten het AP en alleen hun klanten inlichten. Dat zijn de ticket ontvangers/de personen die met een ticket bij hun voor de poort staan om met het ticket van het museum het museum te betreden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
