Toon posts:

GDPR - is dit wel of geen datalek

Pagina: 1
Acties:

Onderwerpen

Privacy

Vraag

dinsdag 11 december 2018 14:17

Acties:
  • 0 Henk 'm!
  • LankHoar
  • Registratie: April 2013
  • Laatst online: 11-09 13:03

LankHoar

Langharig tuig

Topicstarter
Zojuist kreeg ik een promotie e-mail van een zakelijke partner. Los van dat ik nooit toestemming heb gegeven om marketing mails te ontvangen, en enkel een korte mailwisseling heb gehad over het eventueel afnemen van hun service waarna besloten is dit niet te doen, valt me op dat ze hun hele (potentiële) klantenbestand in het "To" field hebben gezet. Dit betekent dat ik nu van 100en mensen hun e-mail adres hebben, zij het mijne, en we van elkaar weten dat we klant waren/zijn of interesse daartoe hadden (staat letterlijk zo genoemd in de e-mail).

Ongepast is het zeker, maar is dit wel of geen datalek, denkende aan de GDPR? Het is mij een beetje onduidelijk. Alvast bedankt!

When life throws you a curve, lean into it and have faith!

Alle reacties

dinsdag 11 december 2018 14:22

Acties:
  • 0 Henk 'm!
  • Mike78
  • Registratie: September 2000
  • Laatst online: 08:32

Mike78

Always

Ja volgen mij wel. Zie bijvoorbeeld : https://www.timdehoog.nl/...-e-mail-via-het-bcc-veld/

24 uur per dag, 24 biertjes in een krat. Toeval?

dinsdag 11 december 2018 14:31

Acties:
  • 0 Henk 'm!

Verwijderd

Yup:
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens.
Bron: https://autoriteitpersoon...-een-datalek-precies-5916

dinsdag 11 december 2018 14:32

Acties:
  • 0 Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 09:18

eric.1

Indien die e-mail adressen herleidbaar zijn naar een persoon, dan lijkt het me wel (ala voorletter.achternaam@iets.iets).

Maar wanneer het allemaal info@bedrijf . nl adressen zijn dan lijkt me dit niet direct een datalek - aangezien dat geen persoonsgegeven hoeft te zijn.

dinsdag 11 december 2018 14:45

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ja. Wel kan je afvragen of men er iets mee moet doen (anders dan intern zorgen dat het niet vaker gebeurt).
eric.1 schreef op dinsdag 11 december 2018 @ 14:32:
Indien die e-mail adressen herleidbaar zijn naar een persoon, dan lijkt het me wel (ala voorletter.achternaam@iets.iets).

Maar wanneer het allemaal info@bedrijf . nl adressen zijn dan lijkt me dit niet direct een datalek - aangezien dat geen persoonsgegeven hoeft te zijn.
nadruk op hoeft. info@zzp'er of directie@kleinbedrijf ook. Maar de kans is klein dat het alleen info@ is, men probeert als het even kan persoonlijke adressen te gebruiken.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 december 2018 14:51

Acties:
  • 0 Henk 'm!
  • LankHoar
  • Registratie: April 2013
  • Laatst online: 11-09 13:03

LankHoar

Langharig tuig

Topicstarter
Het zijn nagenoeg allemaal naam.voornaam@bedrijf adressen, of variaties daarop. Zeker herleidbaar naar bedrijf en persoon. Bovendien heb ik nooit mijn consent gegeven voor marketing (geeft ook geen professionele indruk van het bedrijf dit overigens).

@F_J_K wat ze er mee moeten doen? Elk datalek moet dan toch bij de betreffende autoriteit gemeld worden, op straffe van een boete? Lijkt me dan nu ook op zijn plaats. En hun personeel beter opleiden om 1. Marketing consent te vragen en 2. Uit te leggen wat BCC is :+

When life throws you a curve, lean into it and have faith!

dinsdag 11 december 2018 15:01

Acties:
  • 0 Henk 'm!
  • Mx. Alba
  • Registratie: Augustus 2001
  • Laatst online: 09:32

Mx. Alba

hen/hun/die/diens

Ja, dit is een datalek. En dat moet dus binnen 72 uur gemeld worden bij de autoriteiten. Zo niet dan zijn ze nogmaals in overtreding.

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.

dinsdag 11 december 2018 15:13

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Nee hoor niet elk datalek hoeft te worden gemeld. Dat hangt af van de potentiele impact voor de betrokkenen. Bij zoiets zal die laag zijn.

Deze casus is expliciet als voorbeeld opgenomen in de richtsnoeren: https://autoriteitpersoon...meldplicht_datalekken.pdf blz 39. Waar natuurlijk geen zwart-wit antwoord staat, dat hangt af van de details.


Edit: en inderdaad zeker personeel nog eens wijzen op de BCC-knop. (Of het technisch afvangen als het vaker gebeurt). En ze moeten zelf wel goed bijhouden waarom het lek wel/niet is gemeld.

[ Voor 19% gewijzigd door F_J_K op 11-12-2018 15:15 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 december 2018 15:23

Acties:
  • +3 Henk 'm!
  • NiGeLaToR
  • Registratie: Maart 2000
  • Laatst online: 08:40

NiGeLaToR

Een reply-all met 'dank voor het klantenbestand' volstaat dan toch wel? :+

Maargoed, ene kant: mensenwerk maakt dat er foutjes gemaakt worden, andere kant, het is ook wel een keer klaar met de To:-foutjes en pauzeloos gebruik van e-mailadressen die je toevallig hebt verkregen.

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!

dinsdag 11 december 2018 15:31

Acties:
  • 0 Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

F_J_K schreef op dinsdag 11 december 2018 @ 15:13:
Nee hoor niet elk datalek hoeft te worden gemeld. Dat hangt af van de potentiele impact voor de betrokkenen. Bij zoiets zal die laag zijn.

Deze casus is expliciet als voorbeeld opgenomen in de richtsnoeren: https://autoriteitpersoon...meldplicht_datalekken.pdf blz 39. Waar natuurlijk geen zwart-wit antwoord staat, dat hangt af van de details.


Edit: en inderdaad zeker personeel nog eens wijzen op de BCC-knop. (Of het technisch afvangen als het vaker gebeurt). En ze moeten zelf wel goed bijhouden waarom het lek wel/niet is gemeld.
Ik vind het helemaal niet laag in impact. Hier worden gewoon e-mail gegevens van personen gedeeld met anderen zonder dat er enige controle is op de verwerking. Er hoeft maar 1 totte appel tussen te zitten en het adres wordt zonder overleg verder verwerkt.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 11 december 2018 15:45

Acties:
  • 0 Henk 'm!
  • Mx. Alba
  • Registratie: Augustus 2001
  • Laatst online: 09:32

Mx. Alba

hen/hun/die/diens

Wim-Bart schreef op dinsdag 11 december 2018 @ 15:31:
[...]

Ik vind het helemaal niet laag in impact. Hier worden gewoon e-mail gegevens van personen gedeeld met anderen zonder dat er enige controle is op de verwerking. Er hoeft maar 1 totte appel tussen te zitten en het adres wordt zonder overleg verder verwerkt.
Ligt er natuurlijk ook aan of het tien adressen of tienduizend zijn...

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.

dinsdag 11 december 2018 15:52

Acties:
  • +1 Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Mx. Alba schreef op dinsdag 11 december 2018 @ 15:45:
[...]


Ligt er natuurlijk ook aan of het tien adressen of tienduizend zijn...
Is dat de nuance? Wanneer mijn e-mail er tussen zou zitten maakt het totaal niet uit of er 9 of 9999 anderen er last van hebben. E-Mail adressen zijn heilige items, die verstrek je niet zo maar, zeker zakelijke niet. De implicaties van het veranderen van een e-mail adres omdat deze op straat ligt kunnen heel erg groot zijn. Zeker nu e-mail adressen veelal gebruikt worden bij authenticatie.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 11 december 2018 16:00

Acties:
  • 0 Henk 'm!
  • Freee!!
  • Registratie: December 2002
  • Laatst online: 11-09 17:47

Freee!!

Trotse papa van Toon en Len!

Gewoon even melden bij de betreffende authoriteiten, hangt dat bedrijf gelijk als ze het niet vlot genoeg zelf melden.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

dinsdag 11 december 2018 16:13

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Wim-Bart schreef op dinsdag 11 december 2018 @ 15:52:
[...]
Is dat de nuance?
Dat, het soort nieuwsbrief (kantoorartikelen, HIV-remmers of bijbels: het onderwerp kan het bijzondere PG maken), etc. 1 mail kan te veel zijn om niet te melden, maar bij 100 hoeft er IMHO geen noodzaak te zijn om te melden aan de AP.
Wanneer mijn e-mail er tussen zou zitten maakt het totaal niet uit of er 9 of 9999 anderen er last van hebben. E-Mail adressen zijn heilige items, die verstrek je niet zo maar, zeker zakelijke niet. De implicaties van het veranderen van een e-mail adres omdat deze op straat ligt kunnen heel erg groot zijn. Zeker nu e-mail adressen veelal gebruikt worden bij authenticatie.
Dat zijn wet en autoriteit niet per se met je eens. Zie de link die ik gaf, het is geen absolutisme. Mailadres, zeker een werkadres, zie ik minder 'spannend' als pak-em-beet een verloren kopie van je medisch dossier.

Ik zou het ook jammer vinden als de AP geen tijd heeft om achter de grote boeven aan te gaan omdat alle tijd op gaat aan hele simpele gevallen.
offtopic:
Als het eng is als men je mailadres kent, dan wil je een ander mailadres gebruiken voor die authenticatie. Dat je adres gaat rondslingeren is haast een zekerheid.


Maar nogmaals: ongeacht of het lek moet worden gemeld, moet de verwerkingsverantwoordelijke het lek etc. netjes documenteren.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 december 2018 16:19

Acties:
  • 0 Henk 'm!
  • Killjoy
  • Registratie: November 2000
  • Laatst online: 11-09 20:39

Killjoy

Klingon lawn products

Wim-Bart schreef op dinsdag 11 december 2018 @ 15:31:
[...]

Ik vind het helemaal niet laag in impact. Hier worden gewoon e-mail gegevens van personen gedeeld met anderen zonder dat er enige controle is op de verwerking. Er hoeft maar 1 totte appel tussen te zitten en het adres wordt zonder overleg verder verwerkt.
Is het een datalek?
Jazeker. Het betreft persoonsgegevens die toegankelijk zijn geworden voor daartoe niet bevoegde personen. Dan is er altijd sprake van een datalek.

Is het een meldingsplichtig datalek?
Een datalek is niet meldingsplichtig wanneer je redelijkerwijs uit kan sluiten dat het lek ernstige nadelige gevolgen heeft voor de betrokkene.

In mijn optiek kun je dat niet uitsluiten. Zakelijke emailadressen zijn vaak ook gebruikersnaam voor bedrijfsapplicaties. En de adressen zijn prima te gebruiken voor spam, phishing of voor identiteitsfraude.

Er is dus sprake van een meldingsplichtig datalek. De verzender van de emails moet binnen 72 uur na constateren een melding doen bij de Autoriteit Persoonsgegevens en de betrokkenen.

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.

dinsdag 11 december 2018 16:41

Acties:
  • 0 Henk 'm!
  • Freee!!
  • Registratie: December 2002
  • Laatst online: 11-09 17:47

Freee!!

Trotse papa van Toon en Len!

Killjoy schreef op dinsdag 11 december 2018 @ 16:19:
[...]
De verzender van de emails moet binnen 72 uur na constateren een melding doen bij de Autoriteit Persoonsgegevens en de betrokkenen.
En hoe gaat de verzender dit zelf constateren :?

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

dinsdag 11 december 2018 16:45

Acties:
  • 0 Henk 'm!
  • LankHoar
  • Registratie: April 2013
  • Laatst online: 11-09 13:03

LankHoar

Langharig tuig

Topicstarter
Freee!! schreef op dinsdag 11 december 2018 @ 16:41:
[...]

En hoe gaat de verzender dit zelf constateren :?
Ik heb ze al gemaild en kort op de GDPR gewezen. Ben benieuwd of ik een reactie krijg. Helaas (nja, helaas?) heb ik vanaf vrijdag vakantie, maar zal in januari zeker kijken of ze er iets mee gedaan hebben.

Houd er sowieso niet van om ongewenst reclame te krijgen, helemaal de wijze waarop. Vind het erg ongepast voor een bedrijf.

When life throws you a curve, lean into it and have faith!

dinsdag 11 december 2018 16:49

Acties:
  • 0 Henk 'm!
  • Dynazap
  • Registratie: September 2011
  • Laatst online: 23:31

Dynazap

Go Hard Or Go Home

Zakelijke relaties mag je altijd mailen mits je een factuurrelatie hebt met die klant. Of het gewenst / netjes is valt te betwijfelen :-).

dinsdag 11 december 2018 16:49

Acties:
  • 0 Henk 'm!
  • unezra
  • Registratie: Maart 2001
  • Laatst online: 11-09 20:15

unezra

Ceci n'est pas un sous-titre.

@LankHoar Hoe dan ook is het aan *hun* security officer dit te behandelen. Het enige dat jij volgens mij kunt doen, is hen op de hoogte stellen van en vragen of ze dit via hun eigen interne security officer willen oppakken.

Ná Scaoll. - Don’t Panic.

dinsdag 11 december 2018 16:50

Acties:
  • +1 Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

LankHoar schreef op dinsdag 11 december 2018 @ 14:17:
Zojuist kreeg ik een promotie e-mail van een zakelijke partner. Los van dat ik nooit toestemming heb gegeven om marketing mails te ontvangen, en enkel een korte mailwisseling heb gehad over het eventueel afnemen van hun service waarna besloten is dit niet te doen, valt me op dat ze hun hele (potentiële) klantenbestand in het "To" field hebben gezet.
http://www.ejure.nl/2011/05/zakelijke-spam/
Een ieder die elektronische contactgegevens voor elektronische berichten heeft verkregen in het kader van de verkoop van zijn product of dienst mag deze gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten, mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens, en, indien de klant hiervan geen gebruik heeft gemaakt, hem bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens. Artikel 12, derde lid, van de Algemene verordening gegevensbescherming is van overeenkomstige toepassing.
Als niet aan deze eisen is voldaan: https://www.acm.nl/nl/spamklacht

dinsdag 11 december 2018 17:59

Acties:
  • +1 Henk 'm!
  • Killjoy
  • Registratie: November 2000
  • Laatst online: 11-09 20:39

Killjoy

Klingon lawn products

Freee!! schreef op dinsdag 11 december 2018 @ 16:41:
[...]

En hoe gaat de verzender dit zelf constateren :?
Doordat iemand, zoals TS dat heeft gedaan, hen erop wijst. Vandaar dat de Autoriteit Persoonsgegevens na een klacht bij hen ingediende klacht altijd zal vragen of je al contact hebt gehad met de betreffende partij.

Er zit namelijk een rare vertaling in de AVG. Waar gesproken wordt over een klacht bij de toezichthouder, wordt bedoeld het doen van een handhavingsverzoek.

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq