EasyPark: bij cyberaanval gestolen persoonsgegevens niet gevoelig
De persoonsgegevens die eind vorig jaar bij EasyPark werden gestolen zijn niet gevoelig, zo stelt het bedrijf in een recente update over het incident. PvdA-parlementariër Paul Tang hekelt de reactie van de parkeerapp. "Het bedrijf probeert dit zo klein mogelijk te maken. 'Het stelt niet zoveel voor, maakt u zich geen zorgen, loopt u rustig door'. Dat is eigenlijk de reactie van het bedrijf", aldus Tang tegenover tv-programma Kassa.
Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. De gegevens werden buitgemaakt uit het EasyPark selfservice-webportaal voor klanten. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd. We begrijpen dat een datalek zorgen baart", aldus EasyPark in een update over het incident.
"Dat is een wetstechnische term", voegt Tang toe. "Het klopt wat EasyPark zegt. Bij gevoelige gegevens wordt bedoeld gegevens waarmee mensen kunnen worden uitgesloten of gediscrimineerd. Denk aan geaardheid, gezondheid, afkomst. Dat is dit niet. Maar het zijn wel gevoelige gegevens in de zin dat het gegevens zijn die geld opleveren en door criminelen gebruikt kunnen worden. In die zin zijn ze wel gevoelig."
De PvdA-Europarlementariër legt verder uit dat de verantwoordelijkheid voor dit soort datalekken ligt bij de bedrijven die de data verzamelen en beheren. "In dit geval ligt dit bij EasyPark. En dat bedrijf is ook verantwoordelijk voor de bescherming van onze gegevens. Hier kunnen we nog zo vaak ons wachtwoord veranderen, maar als het de tweede keer in korte tijd is dat EasyPark de gegevens laat lekken is daar het probleem en ligt dat niet bij ons." EasyPark stelt in een update over het incident dat de andere aanval was gericht tegen Parkmobile in de Verenigde Staten.
Volgens Tang houdt de bescherming van persoonsgegevens geen gelijk tred met het steeds groter wordende belang van gegevens. "Een bedrijf als EasyPark verzamelt die gegevens, beheert die gegevens, maar let niet goed op en dat gebeurt eigenlijk nog veel te vaak." Tang pleit voor strenger toezicht en het meer inzetten op handhaving en boetes. "Er zijn veel datalekken, maar zoveel boetes worden niet uitgedeeld." Hoe criminelen toegang tot de gegevens bij EasyPark konden krijgen is niet bekendgemaakt.
Het zijn wél gevoelige gegevens.
Ze kunnen misbruikt worden door criminelen in phishing-aanvallen op de betrokkenen.
Dit is precies hoe het werkt: Een phishing e-mail naar alle betrokkenen die af lijkt te komen van Easypark, waarin bepaalde persoonlijke gegevens worden genoemd lijkt voor veel mensen al snel echt te zijn.
Of was het alweer lunstijd.
Gaat het nog over besturen of enkel nog maar over gelijk hebben.
Ze hebben namelijk een backup teruggezet die minimaal 2 jaar oud is. Mijn bedrijf is 2 jaar geleden van adres gewisseld en heb alle facturen op het juiste adres gekregen, tot deze aanval. Vanaf dat moment staat er heel verdacht onze 2 jaar oude adres….
Ook zijn ze vlak daarvoor van payment provider verandert… Dus of er is iets misgegaan bij de overschakeling tussen de oude en de nieuwe provider, of ze zijn van payment provider gewisseld vanwege dit incident….
Klinkt allemaal wel heel verdacht…
Aldus de AVG zijn er drie typen data:
- Persoonsgegevens (artikel 4.1)
- Bijzondere categorieën van persoonsgevens (artikel 9)
- Gegevens die niet onder de AVG vallen (lees: ze vallen niet binnen artikelen 4, laat staan onder 9)
Door een niet-juridsche term "gevoelige gegevens" te gebruiken ontstaat alleen maar spraakverwarring. Waar vooral naar gekeken moet worden bij een datalek is de impact die het heeft op de betrokkenen (artikel 4.1 -> De natuurlijke persoon over wie de data gaat).
Ik snap uiteraard de onderbuikgevoelens, de irritatie enz enz en keur het gedrag van EasyPark niet goed, maar laten we aub wel bij de juiste termen blijven om de impact van een dergelijk datalek goed te kunnen overzien. Er zijn persoonsgegevens gelekt waarvan het lek een grote impact heeft op de privesfeer van de betrokkennen. Daarmee zijn het echter nog geen gegevens die voldoen aan artikel 9, het zijn "gewoon" persoonsgegevens. En dat die gelekt zijn is ernstig.
Wat aan een gestolen credit cardnummer met bijbehorende naam zou niet gevoelig zijn? Uiteraard is het dat wel. EasyPark schat de ernst opzettelijk te laag in. Duidelijk een poging deze nieuwe lek te downplayen en spinnen. Dat mogen ze niet doen en daarmee toon je wel aan dat je schijt hebt aan beveiliging van persoonsgegevens.
Ik wil geen tip geven aan een slecht functionerend bedrijf met aantoonbare slechte beveiliging, maar de juridische term is "bijzondere persoonsgegevens" en niet "gevoelige persoonsgegevens".
AP mag ze een flinke boete voorschotelen. 10 euro per gelekt gegeven bijvoorbeeld is nog laag.
dan de hele context graag. Belangrijk voor *begrijpend* lezen.
Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. De gegevens werden buitgemaakt uit het EasyPark selfservice-webportaal voor klanten. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd. We begrijpen dat een datalek zorgen baart", aldus EasyPark in een update over het incident.
De constatering dat persoonsgegevens waren gestolen is in bovenstaand artikel een redactionele beschrijving van wat er gebeurd is.
De mededeling dat de gegevens waartoe toegang is verkregen is een al dan niet geparafraseerde quote van de organisatie EasyPark. Als dit letterlijk is gezegd, dan praten we, zoals Anoniem 17:43 ook al zegt, over een niet juridische definitie zoals in de AVG artikel 4 lid 1 en artikel 9 bedoeld. EasyPark kan onschuld proberen te spelen door als ze betrapt worden door te stellen dat ze aan artikel 9 refereerden, maar de AVG bestaat niet voor niets; óók data zoals bedoeld in 4.1 is zondermeer gevoelig en daarmee mag worden gesteld dat EasyPark hierbij idd gewoon keihard probeert te liegen. Stelling van Anoniem 16:04 is dus gewoon waar.
Dat of EasyPark kent de wet niet, wat betekent dat ze ondanks alle reuring rondom AVG haar DPIA niet correct heeft uitgevoerd - en ik kan niet kiezen wat ik in deze kwalijker vind: Volstrekt incompetent zijn, of liegen dat je er scheel van ziet. - maar hoe dan ook verliest een organisatie op zo'n moment haar bestaansrecht. Ze verdienen hier wat mij betreft absoluut de hoogst mogelijke boete voor, en mogen wat mij betreft ook meteen aansprakelijk gesteld worden voor alle gerelateerde financiele schade die bij de mensen van wie de creditcard gegevens misbruikt zijn.
Samengevat: Stelling redactie is dat er persoonsgegevens (nl persoonlijke betaalgegevens) zijn gestolen, Anoniem 1604 zegt hier uit persoonlijke sfeer bewijs voor te hebben. Stelling van EasyPark is dat er geen gevoelige data gestolen is, waar de AVG dat wel zo - in andere juridische termen welliswaar - beschouwt. -> Ergo EasyPark liegt. #AP, kom d'r maar in.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
