Controleren van melding datalek

De verantwoordelijke voor de persoonsgegevens (dus in dit geval de vereniging) moet het datalek melden aan de AP. Of het ook aan de getroffen personen gemeld moet worden is afhankelijk van de afweging of het datalek privacyrisico's veroorzaakt. M.a.w.: Als het aannemelijk is dat de persoonsgegevens in de handen van criminelen zijn gekomen en de data voor bijvoorbeeld (spear-) phishing of identiteitsfraude o.i.d. gebruikt kan worden moeten ze het aan de mensen melden die geraakt zijn.
Dus: Als ze op basis van de logging vast kunnen stellen dat alleen geautoriseerde personen (naast jou) toegang hebben gehad tot de data en/of de gegevens zijn niet dermate gevoelig waardoor het onwaarschijnlijk wordt dat iemand hier misbruik van zal maken zijn ze wél verplicht het aan het AP te melden maar niet per se aan de betrokkenen.

Als ze niet uit kunnen sluiten dat criminelen toegang hebben gehad en de gegevens zijn voldoende om te misbruiken door criminelen moeten ze aan het AP melden en zal het AP ook aangeven dat de betrokkenen geïnformeerd moeten worden zodat die gewaarschuwd zijn. Soms kiezen bedrijven ervoor om daarover publiekelijk een bericht uit te zetten en dan zullen ze dit in een openbaar nieuwsbericht doen, maar dat kan ook een e-mail zijn die alleen naar betrokken personen wordt gestuurd.

Als je het zelf belangrijk vind dat het aan het AP gemeld is en je heb het idee dat dit niet is gedaan, kan je bij het AP een klacht indienen, dat is denk ik de enige route naast het simpelweg navragen bij degene aan wie je in eerste instantie een melding heb gedaan.
Het bedrijf is echter niet aan jou verplicht mee te delen wat en of ze iets met je melding hebben gedaan, dat is alleen belangrijk voor het AP die daar op toe zou moeten zien.
Helaas is het AP veel te druk om een gelekte database van de lokale sjoelvereniging serieus te nemen, en het is natuurlijk maar de vraag of er daadwerkelijk een groot (privacy-) risico is voor de betrokken personen, alleen de vereniging zelf zou daar iets zinnigs over kunnen zeggen.
Als je zelf lid bent van de desbetreffende vereniging wordt het makkelijker om het aan te kaarten en de verantwoordelijke persoon aan te spreken.

Hangt van de vereniging af.
Bij de kleine zijn het vrijwiliigers die zich ermee bezig houden.

Maar vaak is er wel een algemeen emailadres voor info of bestuurd en als je netjes bent dan geef je meteen het juiste stappenplan aan en hoe het netjes te verhelpen.

g1n0 schreef op maandag 17 oktober 2022 @ 22:50:
Bedankt voor jullie reacties. Ik heb de voorzitter gebeld (voordeel dat alle telefoonnummers erin stonden) met uitleg van het lek en de stappen die ze moeten ondernemen (offline halen en melden bij AP). Ik wacht het af.

De data staat nog steeds online, dus lijkt niet de hoogste prio te hebben bij ze…

Netjes gedaan.
De data kan wel even duren.
Vooral als je iemand moet zoeken die bij de website en de gegevens kan.
Dat gaat vaak via de email. Dan neem ik nog niet de tijd mee die het kost om het proces dubbel te controleren van het stappenplan voor een datalek.

Bedenk dat kleine verenigingen niet professioneel zijn en vrijwilligers het moeten uitvoeren.

Door dit topic heb ik ok wat ervaring opgedaan.
Melding gemaakt, standaard reactie gehad en verder niets....

Mijn mening is dat je het iig moet melden (linkjes in het topic) bij de betreffende instelling.
Je hebt het al gemeld bij de vereniging, dat is klaar.

In het Amcrest topic heb ik er niets meer over gehoord na de melding en de standaard email.

g1n0 schreef op maandag 17 oktober 2022 @ 23:56:
Ik snap dat het vrijwilligers zijn, maar met een beetje rekenen kom ik op een behoorlijke jaaromzet waar absoluut niet het hele bestuur van kan leven, maar toch wel een beetje ICT budget vanaf kan lijkt me.


***members only***

Tja, jouw gevoel is nou niet echt relevant..
Stuur dat bedrijf een mail (beter nog: bel ze) en jij na een week of de gegevens offline zijn gehaald.

Een website is leuk, maar als een medewerker een pdf bestand upload met prive gegevens dan is er geen ict'er die dat had kunnen voorkomen...

Zijn ze na een week weg gehaald dan is het probleem voor jou opgelost en houdt het daarbij op. Staat het er na een week nog op dan bel je ze weer op (misschien is je mail niet gezien/gelezen).

Ik begrijp je wel hoor, ik heb een jaar geleden ook een school gemaild omdat de gegevens uit hun leerlingvolgsysteem (voor nieuwe verdeling kleuter klassen met adressen en telefoonnummers) online gevonden. Heb ze gemaild en binnen een week was het offline, geen idee of ze ouders hebben geïnformeerd of iets anders. Voelt ergens 'vreemd', tegelijkertijd is het ook gewoon kwestie van loslaten :-)

Ik verplaats dit naar Privacy & Beveiliging

Om wat voor vereniging gaat het?

Ik zou geen social engineering spul doen. Gewoon bellen dat hun gegevens online staan en de vereniging niets doet. Moet je eens kijken hoe snel het kan veranderen als er veel mensen gaan "zeiken".

Je kan ook het AP bellen trouwens en dit aangeven.

[ Voor 10% gewijzigd door peize9 op 18-04-2023 01:46 ]

g1n0 schreef op dinsdag 18 april 2023 @ 01:29:
Tot op heden staat de data nog steeds online. Heb nog een aantal keer geprobeerd te bellen maar krijg geen gehoor. (Denk dat ik in zn telefoon sta als: “niet opnemen = zeiker” ofzo

Ik vind het enorm verleidelijk om gewoon random leden te gaan bellen op hun 06 en te vertellen dat hun naam en telefoonnummer (en soms adres) gewoon online staan en een beetje social engineering toe te passen (om de ernst duidelijk te maken, in de hoop dat het bestuur van binnenuit druk krijgt om het op te lossen.)
Of is dit onverstandig? Wat zouden betere stappen kunnen zijn? AP heb ik weinig vertrouwen in, die hebben toch geen tijd.

Vraag die goede relatie nog eens en schat eens in hoe jij het zou vinden als hij/zij je 'voorbeeld' niet zou waarderen? Ook al vertrouw je het AP niet, ook voor de voorzitter is het blijkbaar een zaak van (gebrek aan) prioriteit. Het enige wat je kunt doen is de melding herhalen?

Gewoon zelf even melden bij de AP, veel meer kan je echt niet doen zonder mogelijks ook in de problemen te komen. Als jij die data zelf gaat gebruiken loop je het risico dat jij achteraf nog een klacht aan je been hebt.