image

EasyPark: bij cyberaanval gestolen persoonsgegevens niet gevoelig

maandag 15 januari 2024, 10:59 door Redactie, 9 reacties

De persoonsgegevens die eind vorig jaar bij EasyPark werden gestolen zijn niet gevoelig, zo stelt het bedrijf in een recente update over het incident. PvdA-parlementariër Paul Tang hekelt de reactie van de parkeerapp. "Het bedrijf probeert dit zo klein mogelijk te maken. 'Het stelt niet zoveel voor, maakt u zich geen zorgen, loopt u rustig door'. Dat is eigenlijk de reactie van het bedrijf", aldus Tang tegenover tv-programma Kassa.

Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. De gegevens werden buitgemaakt uit het EasyPark selfservice-webportaal voor klanten. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd. We begrijpen dat een datalek zorgen baart", aldus EasyPark in een update over het incident.

"Dat is een wetstechnische term", voegt Tang toe. "Het klopt wat EasyPark zegt. Bij gevoelige gegevens wordt bedoeld gegevens waarmee mensen kunnen worden uitgesloten of gediscrimineerd. Denk aan geaardheid, gezondheid, afkomst. Dat is dit niet. Maar het zijn wel gevoelige gegevens in de zin dat het gegevens zijn die geld opleveren en door criminelen gebruikt kunnen worden. In die zin zijn ze wel gevoelig."

De PvdA-Europarlementariër legt verder uit dat de verantwoordelijkheid voor dit soort datalekken ligt bij de bedrijven die de data verzamelen en beheren. "In dit geval ligt dit bij EasyPark. En dat bedrijf is ook verantwoordelijk voor de bescherming van onze gegevens. Hier kunnen we nog zo vaak ons wachtwoord veranderen, maar als het de tweede keer in korte tijd is dat EasyPark de gegevens laat lekken is daar het probleem en ligt dat niet bij ons." EasyPark stelt in een update over het incident dat de andere aanval was gericht tegen Parkmobile in de Verenigde Staten.

Volgens Tang houdt de bescherming van persoonsgegevens geen gelijk tred met het steeds groter wordende belang van gegevens. "Een bedrijf als EasyPark verzamelt die gegevens, beheert die gegevens, maar let niet goed op en dat gebeurt eigenlijk nog veel te vaak." Tang pleit voor strenger toezicht en het meer inzetten op handhaving en boetes. "Er zijn veel datalekken, maar zoveel boetes worden niet uitgedeeld." Hoe criminelen toegang tot de gegevens bij EasyPark konden krijgen is niet bekendgemaakt.

Reacties (9)
100% eens met Dhr. Tang.
Het zijn wél gevoelige gegevens.
Ze kunnen misbruikt worden door criminelen in phishing-aanvallen op de betrokkenen.
Dit is precies hoe het werkt: Een phishing e-mail naar alle betrokkenen die af lijkt te komen van Easypark, waarin bepaalde persoonlijke gegevens worden genoemd lijkt voor veel mensen al snel echt te zijn.
15-01-2024, 11:29 door Anoniem
Is meneer Tang ook nog bezig om alle criminelen die daar misbruik van zouden maken op te sporen en te vervolgen. Althans, dat kan hij zelf niet maar kan wel in de vorm van wetten en regels en Europese samenwerkingsverbanden ijzer smeden om dat mogelijk te maken.

Of was het alweer lunstijd.

Gaat het nog over besturen of enkel nog maar over gelijk hebben.
15-01-2024, 11:44 door Anoniem
Hoezo niets gestolen. Ik denk dat alles is gestolen of versleuteld werd door de aanvaller.
Ze hebben namelijk een backup teruggezet die minimaal 2 jaar oud is. Mijn bedrijf is 2 jaar geleden van adres gewisseld en heb alle facturen op het juiste adres gekregen, tot deze aanval. Vanaf dat moment staat er heel verdacht onze 2 jaar oude adres….
Ook zijn ze vlak daarvoor van payment provider verandert… Dus of er is iets misgegaan bij de overschakeling tussen de oude en de nieuwe provider, of ze zijn van payment provider gewisseld vanwege dit incident….
Klinkt allemaal wel heel verdacht…
15-01-2024, 16:04 door Anoniem
EasyPark liegt dat ze barst. Nog nooit problemen gehad met mijn creditcard en ineens kort na hun hack zijn mijn creditcard gegevens uitgelekt. En om het weerwoord te zijn, dit was een nieuwe creditcard (toevallig november verlopen) en EasyPark was het enige bedrijf waar deze aan gekoppeld / voor gebruikt is. Het kan niet naders dan daar vandaan komen.
15-01-2024, 16:45 door Anoniem
We begrijpen dat een datalek zorgen baart", aldus EasyPark
Eh... nee, dat begrijpt easypark niet. Immers, anders hadden ze wel voor adequate beveiliging gezorgd. Samengevat: het interesseert ze geen moer.
15-01-2024, 17:43 door Anoniem
Wettechnisch gezien ben ik het deels met EasyPark eens. Het zijn persoonsgegevens, maar niet gegevens die vallen onder artikel 9 betreffende bijzondere categorieën van persoonsgegevens. In de volksmond worden deze ook wel gevoelige gegevens genoemd, maar dat is niet de juiste juridische term hoewel duidelijkis wat ze bedoelen.

Aldus de AVG zijn er drie typen data:
- Persoonsgegevens (artikel 4.1)
- Bijzondere categorieën van persoonsgevens (artikel 9)
- Gegevens die niet onder de AVG vallen (lees: ze vallen niet binnen artikelen 4, laat staan onder 9)

Door een niet-juridsche term "gevoelige gegevens" te gebruiken ontstaat alleen maar spraakverwarring. Waar vooral naar gekeken moet worden bij een datalek is de impact die het heeft op de betrokkenen (artikel 4.1 -> De natuurlijke persoon over wie de data gaat).


Ik snap uiteraard de onderbuikgevoelens, de irritatie enz enz en keur het gedrag van EasyPark niet goed, maar laten we aub wel bij de juiste termen blijven om de impact van een dergelijk datalek goed te kunnen overzien. Er zijn persoonsgegevens gelekt waarvan het lek een grote impact heeft op de privesfeer van de betrokkennen. Daarmee zijn het echter nog geen gegevens die voldoen aan artikel 9, het zijn "gewoon" persoonsgegevens. En dat die gelekt zijn is ernstig.
15-01-2024, 17:50 door Anoniem
Door Anoniem: EasyPark liegt dat ze barst. Nog nooit problemen gehad met mijn creditcard en ineens kort na hun hack zijn mijn creditcard gegevens uitgelekt. En om het weerwoord te zijn, dit was een nieuwe creditcard (toevallig november verlopen) en EasyPark was het enige bedrijf waar deze aan gekoppeld / voor gebruikt is. Het kan niet naders dan daar vandaan komen.
Misschien moet je het artikel eens goed lezen?
Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer.
16-01-2024, 04:06 door Anoniem
Door Anoniem:
Door Anoniem: EasyPark liegt dat ze barst. Nog nooit problemen gehad met mijn creditcard en ineens kort na hun hack zijn mijn creditcard gegevens uitgelekt. En om het weerwoord te zijn, dit was een nieuwe creditcard (toevallig november verlopen) en EasyPark was het enige bedrijf waar deze aan gekoppeld / voor gebruikt is. Het kan niet naders dan daar vandaan komen.
Misschien moet je het artikel eens goed lezen?
Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer.

Wat aan een gestolen credit cardnummer met bijbehorende naam zou niet gevoelig zijn? Uiteraard is het dat wel. EasyPark schat de ernst opzettelijk te laag in. Duidelijk een poging deze nieuwe lek te downplayen en spinnen. Dat mogen ze niet doen en daarmee toon je wel aan dat je schijt hebt aan beveiliging van persoonsgegevens.

Ik wil geen tip geven aan een slecht functionerend bedrijf met aantoonbare slechte beveiliging, maar de juridische term is "bijzondere persoonsgegevens" en niet "gevoelige persoonsgegevens".

AP mag ze een flinke boete voorschotelen. 10 euro per gelekt gegeven bijvoorbeeld is nog laag.
16-01-2024, 09:03 door Anoniem
Door Anoniem:
Door Anoniem: EasyPark liegt dat ze barst. Nog nooit problemen gehad met mijn creditcard en ineens kort na hun hack zijn mijn creditcard gegevens uitgelekt. En om het weerwoord te zijn, dit was een nieuwe creditcard (toevallig november verlopen) en EasyPark was het enige bedrijf waar deze aan gekoppeld / voor gebruikt is. Het kan niet naders dan daar vandaan komen.
Misschien moet je het artikel eens goed lezen?
Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer.

dan de hele context graag. Belangrijk voor *begrijpend* lezen.

Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. De gegevens werden buitgemaakt uit het EasyPark selfservice-webportaal voor klanten. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd. We begrijpen dat een datalek zorgen baart", aldus EasyPark in een update over het incident.

De constatering dat persoonsgegevens waren gestolen is in bovenstaand artikel een redactionele beschrijving van wat er gebeurd is.

De mededeling dat de gegevens waartoe toegang is verkregen is een al dan niet geparafraseerde quote van de organisatie EasyPark. Als dit letterlijk is gezegd, dan praten we, zoals Anoniem 17:43 ook al zegt, over een niet juridische definitie zoals in de AVG artikel 4 lid 1 en artikel 9 bedoeld. EasyPark kan onschuld proberen te spelen door als ze betrapt worden door te stellen dat ze aan artikel 9 refereerden, maar de AVG bestaat niet voor niets; óók data zoals bedoeld in 4.1 is zondermeer gevoelig en daarmee mag worden gesteld dat EasyPark hierbij idd gewoon keihard probeert te liegen. Stelling van Anoniem 16:04 is dus gewoon waar.

Dat of EasyPark kent de wet niet, wat betekent dat ze ondanks alle reuring rondom AVG haar DPIA niet correct heeft uitgevoerd - en ik kan niet kiezen wat ik in deze kwalijker vind: Volstrekt incompetent zijn, of liegen dat je er scheel van ziet. - maar hoe dan ook verliest een organisatie op zo'n moment haar bestaansrecht. Ze verdienen hier wat mij betreft absoluut de hoogst mogelijke boete voor, en mogen wat mij betreft ook meteen aansprakelijk gesteld worden voor alle gerelateerde financiele schade die bij de mensen van wie de creditcard gegevens misbruikt zijn.

Samengevat: Stelling redactie is dat er persoonsgegevens (nl persoonlijke betaalgegevens) zijn gestolen, Anoniem 1604 zegt hier uit persoonlijke sfeer bewijs voor te hebben. Stelling van EasyPark is dat er geen gevoelige data gestolen is, waar de AVG dat wel zo - in andere juridische termen welliswaar - beschouwt. -> Ergo EasyPark liegt. #AP, kom d'r maar in.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.