Technische Unie kan ook bij het lijstje

Het datalek wordt groter en groter. Persoonsgegevens van klanten van CZ zijn op straat komen te liggen en ook woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) zeggen dat hun huurders mogelijk ook getroffen zijn.

Het hele verhaal is hier te lezen in het AD (met tips van de Consumentenbond):
https://www.ad.nl/tech/mogelijk-miljoenen-nederlanders-slachtoffer-van-datalek-probleem-groter-dan-wij-denken~a095beda/

Hier blijkt wel weer hoe er met je gegevens omgegaan wordt.

1) Je geeft je data aan je golfclub
2) Deze geeft je data weer door aan de federatie
3) Deze geeft ze aan een 'externe partij'
4) Deze geeft ze aan blauw
5) En Blauw tenslotte geeft ze aan Nebu

Hmm....als het raak is, dan is het meteen goed raak in de digitale wereld...

Opmerkelijk vind ik hoe de primair verantwoordelijke partijen onder hun verantwoordelijkheid uit proberen te komen door derden de schuld te geven van hun eigen fout: onvoldoende onderzoek doen naar de betrouwbaarheid van die derde partijen, en de vinger aan de pols blijven houden (zoals eisen en verifiëren dat klantgegevens, na verwerking, onmiddelijk worden verwijderd door die derde partijen - een eis die hoogstwaarschijnlijk de prijs flink verhoogt, want deze derde partijen verdienen aan zoveel mogelijk data van zoveel mogelijk mensen met kruisverbanden in zoveel mogelijk onderzoeken; u bent de koopwaar).

Dit zie je keer op keer, ook bij bulkmailers zoals MailChimp, SendGrid etcetera.

Uitbesteden is een keuze, maar je blijft eindverantwoordelijk.

Sterker, uit https://www.ngf.nl/over-de-ngf/nieuws/2023/mrt/ngf-q-and-a:
Nee, de leden zijn slachtoffer. De bedoeling van dit gezwets is dat de lezer medelijden krijgt met de NGF en dat het gevoel "het kan iedereen overkomen" ontstaat.

Laat u niets wijsmaken; de NGF, VodafoneZiggo, de NS en al die andere partijen wilden met uw gegevens voor een kwartje op de eerste rang zitten. Ongetwijfeld onder de AVG-escape (en blamage) "gerechtvaardigd belang" (https://security.nl/posting/791350) zodat klanten niet om toestemming gevraagd hoeven te worden.

Tot de leden van de NGF behoren vast wel wat advocaten die door deze flutexcuses heenprikken. Rechters hadden het al druk, dat gaat niet minder worden verwacht ik.

Daar zit een groot probleem. De data wordt na afloop van de mailcampagne gewoon nog op de servers bewaard. Ik had de mailtjes van Blauw al lang gewist, maar heb net even in het logboek van de mailserver gekeken:


Hun laatste mailing richting mij was dus eind augustus vorig jaar en mijn mailadres stond blijkbaar nog steeds bij Nebu.

Ongetwijfeld heeft dat geen donder met gerechtvaardigd belang te maken, want verwerking uitbesteden mag los van de verwerkingsgrondslagen. Er moet wel een verwerkersovereenkomst zijn.

Maar zo'n keten waarin de ene verwerker verwerking en dus gegevens uitbesteedt aan de volgende is zeker een risico. Een ketting is niet sterker dan de zwakste schakel, en je ziet hier duidelijk dat hoe dieper je komt in de keten hoe meer ketens langs die schakel lopen. De zwakste schakel zat hier helemaal aan het einde van al die ketens en de impact is daardoor enorm.

Dat hele patroon van afhankelijkheden is daarmee organisatorisch zwak. En organisatorische maatregelen om juist te voorkomen dat het misgaat horen tot de verplichtingen die de AVG oplegt. Ik denk dat je kan verdedigen dat alle betrokken verwerkingsverantwoordelijken (NS, NGF etc.) die plicht hebben verzaakt.

Ik voel aankomen dat "marktonderzoeksbureau Blauw" straks een andere naam krijgt...

Niet alleen dat, maar die verwerkersovereenkomsten zijn ook een wassen neus. Er wordt een hoop beloofd wat men niet
zal doen, maar als er wat fout gaat en er gebeurt iets vervelends dan zitten er geen consequenties aan. In ieder geval niet
van zodanige aard dat men meer doet dan allerlei papieren maatregelen nemen.
Als een leverancier van een leverancier van een dienstverlener de mist in gaat dan heeft het uiteindelijke slachtoffer het
nakijken, omdat er op het gebied van herstel en schadevergoeding helemaal niks geregeld wordt.

Hopelijk doet de AP hier zijn werk door al deze organisaties flink te beboeten. Niet alleen de partijen die geen of slechte verwerkingsafspraken hadden gemaakt, maar ook Blauw en zeer zeker Nebu voor het ongelooflijk dom omgaan met gegevens van anderen.

Bij de Golf Federatie zitten vast een aantal advocaten die nu ook getroffen zijn. Hopelijk maken zij korte metten met dit soort organisaties die zo ontzettend laks met onze gegevens omgaan.

"beperk en verwijder data. voer bij het maken van accounts geen onnodige gegevens in. en ga je weg bij een bedrijf of website? verwijder dan je account."
Consumentenbond heeft blijkbaar nog niet door dat verwijderen van gegevens of account extreem lastig is. Veel bedrijven vragen doodleuk en kopie van jouw ID hiervoor.

Ja maar een verwerkingsovereenkomst gaat nooit verder dan "partij B zal de data van partij A confidentieel behandelen"
en eventueel zijn er allerlei "audits" en "certificeringen" in het spel.
Er staat nooit in dat partij B aan partij A een schadevergoeding zal betalen per data item dat door het handelen, nalaten
van handelen, of niet naleven van acceptabele bewaartermijnen en verwijdermethoden in handen van onbevoegde
partijen gevallen is. Het is dan gewoon "jammer, kan gebeuren, we gaan het beter doen". Omdat de data ook niet van
partij A is maar die het ook weer van een ander gekregen heeft (vaak in meerdere lagen), is er ook geen drive om betere
verwerkingsovereenkomsten af te sluiten. Men zal vaak denken "wij zouden zelf ook niet staan te springen om hoge
vergoedingen uit te gaan betalen als het bij ons zelf mis gaat, dus dat vragen we ook niet aan onze concullega's".

Nog steeds is onduidelijk welke gegevens er op straat zijn beland door een datalek bij softwareleverancier Nebu. Volgens Blauw Research geeft Nebu onvoldoende duidelijkheid over welke gegevens gelekt zijn. Het onderzoeksbureau hoopt dat de rechter Nebu dwingt om meer informatie te geven. Daarom diende op dinsdag 4 april in Rotterdam een kort geding.

https://www.trouw.nl/binnenland/marktonderzoeker-blauw-research-eist-meer-duidelijkheid-over-datalek~bc0a52a3/