The online retail company datalek? - Privacy en beveiliging

maandag 6 juli 2020 16:06

Acties:

0 Henk 'm!

Topicstarter

Ruim een jaar geleden voor het laatst besteld via tuinmestwinkel.com, een van de brands van The Online Retail Company. Dit weekend ineens een phishing mail op basis van unieke klantgegevens uit mijn account. (D.w.z. keurig op mijn voor én achternaam en op een uniek emailadres.) Ik zou een geschenk krijgen van Bol.com - maar Bol.com heeft deze gegevens niet en alle links gaan naar een andere site - of ik maar even mijn gegevens in wil vullen en een kleine betaling wil doen, voor de verzendkosten. (Vermoedelijk zal ik op dat moment naar het echte doel geleid worden: een slinkse toegang tot mijn bankrekening?)

Het bedrijf reageert bizar op mijn melding + verzoek door te geven wat er wanneer gelekt is, zoals wettelijk verplicht. (Moet ik maar bij Bol.com vragen..) Lijkt me de incompetentie van eerstelijns klantenservice, maar ja, dat is natuurlijk de ingang die ik als klant heb.

Daarom hier de nieuwsgierige vraag: wie heeft dit nog meer / al eerder opgemerkt? Weet iemand wat er op straat ligt en sinds wanneer? Is er wellicht toch ergens een minuscule melding van gemaakt?

En in z'n algemeenheid: kun je tot dit soort bedrijven hiermee op een eenvoudige wijze doordringen of bel je beter gelijk de AP? Door mijn veelvuldig gebruik van unieke kenmerken in accountgegevens, kan ik dit makkelijk spotten. Maar ik heb nou niet echt de tijd / behoefte om elke onzorgvuldige partij van Nederland tegen z'n eigen wil in op te voeden.. En eerlijk gezegd reageren partijen de laatste jaren steeds slechter op een melding - wat dat betreft kwam de wettelijke verplichting tot zorgvuldigheid niets te vroeg.

maandag 6 juli 2020 16:11

Acties:

0 Henk 'm!

ShitHappens

En in z'n algemeenheid: kun je tot dit soort bedrijven hiermee op een eenvoudige wijze doordringen

Kijken in de dataverwerkingsovereenkomst, daarin zou moeten staan wie de functionaris gegevensbescherming is en dus primair aanspreekpunt hiervoor is. Pas als dat niet werkt, is de stap naar de AP de volgende.

[ Voor 9% gewijzigd door ShitHappens op 06-07-2020 16:12 ]

maandag 6 juli 2020 16:33

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

@ShitHappens Het is mij niet bekend dat bedrijven dat document publiceren en ook niet dat er contactgegevens van die persoon in zouden (moeten) staan. Hoe / waar doe jij dat erin kijken?

maandag 6 juli 2020 17:52

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

ShitHappens schreef op maandag 6 juli 2020 @ 16:11:
[...]
Kijken in de dataverwerkingsovereenkomst

? Die is er alleen als jij de verantwoordelijke bent (of juist de verwerker). Hier dus niet aan de orde. Wel zou ergens op de site kunnen / moeten staan wie de FG is natuurlijk.

Gwaihir schreef op maandag 6 juli 2020 @ 16:33:
@ShitHappens Het is mij niet bekend dat bedrijven dat document publiceren en ook niet dat er contactgegevens van die persoon in zouden (moeten) staan. Hoe / waar doe jij dat erin kijken?

. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
d) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
e) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

Maar check dus het privacy policy oid.

offtopic:
Ik maak de topictitel iets minder stellig.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 6 juli 2020 18:06

Acties:

+1 Henk 'm!

ShitHappens

F_J_K schreef op maandag 6 juli 2020 @ 17:52:
[...]

? Die is er alleen als jij de verantwoordelijke bent (of juist de verwerker). Hier dus niet aan de orde. Wel zou ergens op de site kunnen / moeten staan wie de FG is natuurlijk.

Yes thanks, maakt meteen maar weer duidelijk dat ik juist aan die kant van 't verhaal sta

Mea culpa.

Gwaihir schreef op maandag 6 juli 2020 @ 16:33:
@ShitHappens Het is mij niet bekend dat bedrijven dat document publiceren en ook niet dat er contactgegevens van die persoon in zouden (moeten) staan. Hoe / waar doe jij dat erin kijken?

Zoals @F_J_K dus omschrijft, staat 'ie waarschijnlijk als Privacy Policy op de site. Of Privacyverklaring, AVG verklaring, privacybeleid, databeleid etc. Als er een aangewezen persoon voor is, dan staat 't daarbij.

[ Voor 3% gewijzigd door ShitHappens op 06-07-2020 18:07 ]

maandag 6 juli 2020 19:32

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

Niet kunnen vinden. Eerlijk gezegd nog slechts bij hoge uitzondering ergens losse contactgegevens voor gezien (zoals privacy@ ).

[ Voor 138% gewijzigd door Gwaihir op 07-07-2020 13:48 ]

maandag 6 juli 2020 19:42

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

ShitHappens schreef op maandag 6 juli 2020 @ 18:06:
[...]
Yes thanks, maakt meteen maar weer duidelijk dat ik juist aan die kant van 't verhaal sta Mea culpa.

Lol! Ik herken de term gelukkig wel. (Heb als ZZP-er ook de regels een keertje doorgelezen vanuit die kant bekeken.)

maandag 6 juli 2020 19:45

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Gwaihir schreef op maandag 6 juli 2020 @ 19:32:
Niet kunnen vinden. Eerlijk gezegd nog slechts bij hoge uitzondering ergens losse contactgegevens voor gezien (zoals privacy@ ).

https://www.tuinmestwinkel.com/service/privacy-policy/ onderaan

Ze hanteren zelf inderdaad het algemene adres. Dan dienen ze zelf te zorgen dat het binnen korte termijn bij de juiste persoon ligt en er antwoord komt.

*knip* offtopic discussie die nu weg is *

Kansje dat het geen datalek is, ook als het 'TOR-specifieke' data is:
Misschien hebben ze het wel zelf bewust aan derden verkocht, bijvoorbeeld. Fout, maar geen lek. (Of heb je zelf een lek, maar dat lijkt me stug).

[ Voor 23% gewijzigd door F_J_K op 07-07-2020 17:11 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 6 juli 2020 19:47

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

F_J_K schreef op maandag 6 juli 2020 @ 19:45:
Misschien hebben ze het wel zelf bewust aan derden verkocht, bijvoorbeeld. Fout, maar geen lek.

Dat kan! (Nog triester natuurlijk en de vraag of je dat niet als een 'lek' kan bestempelen, maar ok.)

Maar eh.. het maakt natuurlijk wel effe wat uit of je een 'vaag vermoeden' hebt, of iets hebt kunnen vaststellen..

[ Voor 16% gewijzigd door Gwaihir op 06-07-2020 19:52 ]

maandag 6 juli 2020 20:22

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

[Ik heb dit toch nog maar 'ns bij TPTB aangekaart. Lijkt me beter.]

[ Voor 87% gewijzigd door Gwaihir op 06-07-2020 20:31 ]

dinsdag 7 juli 2020 08:58

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Back on topic: dus
1) meld via juiste kanaal het mogelijke datalek aan het bedrijf. Vraag ontvangstbevestiging. (Het bedrijf hoeft het niet perse te melden aan de AP, maar moet het wel intern oppakken). Bij twijfel of ze het oppakken: https://autoriteitpersoon...eldingsformulier-klachten
2) vraag een paar dagen later in tweede verzoek aan diezelfde FG wie hoe waarom welke van jouw gegevens heeft gekregen, geef ze bv een maand reactietijd
3) als geen reactie, rappelleer naar de AP: geen reactie op je infoverzoek

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 7 juli 2020 13:52

Acties:

0 Henk 'm!

Gwaihir

Topicstarter

Ik waag er nog maar een derde mailtje aan, met mooie verwijzing naar de functionaris gegevensbescherming. Kijken of 't dan doordringt.

Dat is sowieso een mooie toevoeging, mocht ik zoiets nog 'ns bij de hand hebben. Vraag je expliciet het aan zo iemand te geven, dan wordt het voor de gehaaste klantenservice medewerker toch net wat logischer dan die actie maar te kiezen (boven afwimpelen).

En met name ook jammer dat een AP route zo'n omweg is. Vooralsnog immers geen idee wat ze allemaal aan het lekken zijn. Dat kan alles zijn van puur ik was een (onhandig vanuit productie) eruit gepakte testcase waar slecht mee omgegaan is, tot hun hele database ligt ook nu nog wijd open.

vrijdag 10 juli 2020 17:24

Acties:

+2 Henk 'm!

Gwaihir

Topicstarter

Tja, jammer dat het anno 2020 nog nodig is extern te melden omdat een bedrijf van deze omvang e.e.a. niet serieus neemt.

Wel fijn dat 't nu bestaat. AP blijkt er een nauwkeurig op ingesteld (sub)formulier voor te hebben (wat te voorschijn komt als je hun meldingsprocedure voor een klacht doorloopt). Done.

Pagina: 1

Reageer