Controleren van melding datalek

De verantwoordelijke voor de persoonsgegevens (dus in dit geval de vereniging) moet het datalek melden aan de AP. Of het ook aan de getroffen personen gemeld moet worden is afhankelijk van de afweging of het datalek privacyrisico's veroorzaakt. M.a.w.: Als het aannemelijk is dat de persoonsgegevens in de handen van criminelen zijn gekomen en de data voor bijvoorbeeld (spear-) phishing of identiteitsfraude o.i.d. gebruikt kan worden moeten ze het aan de mensen melden die geraakt zijn.
Dus: Als ze op basis van de logging vast kunnen stellen dat alleen geautoriseerde personen (naast jou) toegang hebben gehad tot de data en/of de gegevens zijn niet dermate gevoelig waardoor het onwaarschijnlijk wordt dat iemand hier misbruik van zal maken zijn ze wél verplicht het aan het AP te melden maar niet per se aan de betrokkenen.

Als ze niet uit kunnen sluiten dat criminelen toegang hebben gehad en de gegevens zijn voldoende om te misbruiken door criminelen moeten ze aan het AP melden en zal het AP ook aangeven dat de betrokkenen geïnformeerd moeten worden zodat die gewaarschuwd zijn. Soms kiezen bedrijven ervoor om daarover publiekelijk een bericht uit te zetten en dan zullen ze dit in een openbaar nieuwsbericht doen, maar dat kan ook een e-mail zijn die alleen naar betrokken personen wordt gestuurd.

Als je het zelf belangrijk vind dat het aan het AP gemeld is en je heb het idee dat dit niet is gedaan, kan je bij het AP een klacht indienen, dat is denk ik de enige route naast het simpelweg navragen bij degene aan wie je in eerste instantie een melding heb gedaan.
Het bedrijf is echter niet aan jou verplicht mee te delen wat en of ze iets met je melding hebben gedaan, dat is alleen belangrijk voor het AP die daar op toe zou moeten zien.
Helaas is het AP veel te druk om een gelekte database van de lokale sjoelvereniging serieus te nemen, en het is natuurlijk maar de vraag of er daadwerkelijk een groot (privacy-) risico is voor de betrokken personen, alleen de vereniging zelf zou daar iets zinnigs over kunnen zeggen.
Als je zelf lid bent van de desbetreffende vereniging wordt het makkelijker om het aan te kaarten en de verantwoordelijke persoon aan te spreken.

Hangt van de vereniging af.
Bij de kleine zijn het vrijwiliigers die zich ermee bezig houden.

Maar vaak is er wel een algemeen emailadres voor info of bestuurd en als je netjes bent dan geef je meteen het juiste stappenplan aan en hoe het netjes te verhelpen.

g1n0 schreef op maandag 17 oktober 2022 @ 22:50:
Bedankt voor jullie reacties. Ik heb de voorzitter gebeld (voordeel dat alle telefoonnummers erin stonden) met uitleg van het lek en de stappen die ze moeten ondernemen (offline halen en melden bij AP). Ik wacht het af.

De data staat nog steeds online, dus lijkt niet de hoogste prio te hebben bij ze…

Netjes gedaan.
De data kan wel even duren.
Vooral als je iemand moet zoeken die bij de website en de gegevens kan.
Dat gaat vaak via de email. Dan neem ik nog niet de tijd mee die het kost om het proces dubbel te controleren van het stappenplan voor een datalek.

Bedenk dat kleine verenigingen niet professioneel zijn en vrijwilligers het moeten uitvoeren.

Door dit topic heb ik ok wat ervaring opgedaan.
Melding gemaakt, standaard reactie gehad en verder niets....

Mijn mening is dat je het iig moet melden (linkjes in het topic) bij de betreffende instelling.
Je hebt het al gemeld bij de vereniging, dat is klaar.

In het Amcrest topic heb ik er niets meer over gehoord na de melding en de standaard email.

g1n0 schreef op maandag 17 oktober 2022 @ 23:56:
Ik snap dat het vrijwilligers zijn, maar met een beetje rekenen kom ik op een behoorlijke jaaromzet waar absoluut niet het hele bestuur van kan leven, maar toch wel een beetje ICT budget vanaf kan lijkt me.


***members only***

Tja, jouw gevoel is nou niet echt relevant..
Stuur dat bedrijf een mail (beter nog: bel ze) en jij na een week of de gegevens offline zijn gehaald.

Een website is leuk, maar als een medewerker een pdf bestand upload met prive gegevens dan is er geen ict'er die dat had kunnen voorkomen...

Zijn ze na een week weg gehaald dan is het probleem voor jou opgelost en houdt het daarbij op. Staat het er na een week nog op dan bel je ze weer op (misschien is je mail niet gezien/gelezen).

Ik begrijp je wel hoor, ik heb een jaar geleden ook een school gemaild omdat de gegevens uit hun leerlingvolgsysteem (voor nieuwe verdeling kleuter klassen met adressen en telefoonnummers) online gevonden. Heb ze gemaild en binnen een week was het offline, geen idee of ze ouders hebben geïnformeerd of iets anders. Voelt ergens 'vreemd', tegelijkertijd is het ook gewoon kwestie van loslaten :-)

Ik verplaats dit naar Privacy & Beveiliging