Datalek - schending AVG, of iets anders?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Ikke_Niels
  • Registratie: Augustus 2001
  • Laatst online: 06-06 11:32
Allen,


Vandaag heb ik een mail gekregen van Corendon met een betalingsherinnering.
Zoals het eruit ziet is dit een gegenereerde mail vanuit hun testomgeving maar wel met allerlei persoonlijke informatie van mij (email, naam etc). In de mail staat op verschillende plekken staat onder andere TESTADMIN.

Ik heb inmiddels al een tip ingeschoten bij de autoriteit persoonsgegevens, maar ik twijfel zelf nog over onder welke classificatie dit gaat.

Is het een data lek? Is het een AVG schending (geen echte persoongegevens cq productie data in test-systemen?).


Daarnaast is het wel komisch dat ze op hun website het een "storing" noemen

Door een storing heeft u mogelijk een betalingsherinnering van ons ontvangen voor een reis uit 2023. Dit had niet mogen gebeuren, u kunt de e-mail als niet verzonden beschouwen, onze excuses voor het ongemak.

User Error -- Please Replace User


Acties:
  • 0 Henk 'm!

  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 05:56

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Lijkt me dat ze (een deel van) de productiedata overgeheveld hebben naar een test-omgeving om daar nieuwe zaken te testen. Op zich logisch, want dan heb je betrouwbare data. Echter had de mail dus nooit verstuurd mogen worden. En het zou beter zijn als die data geanonimiseerd was, incl verwijderen/veranderen van alle mailadressen.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.


Acties:
  • +4 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

De AVG vind niks van het niet geanonimiseerd hebben van data in OTA omgevingen. Er lijkt ook geen geen sprake van een datalek, want er is geen informatie op straat komen te liggen.

Je hebt een vrij knullige mail gekregen van Corendon, waarbij waarschijnlijk een medewerker een fout gemaakt heeft en er ook geen safeguard procedures waren. Vrij knullig overigens, maar meer dan dit lijkt het ook niet te zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • +1 Henk 'm!

  • bw_van_manen
  • Registratie: April 2014
  • Laatst online: 09:48
Zolang de testomgeving niet open staat naar mensen die niets met de productiedata te maken hebben hoeft dit geen datalek te zijn. Afhankelijk van het soort test dat uitgevoerd wordt kan het nodig zijn om met niet geanonimiseerde data te testen.

Er is niet direct een indicatie dat data van jou bij de verkeerde persoon/partij terecht is gekomen of slecht behandeld is. Dat je de mails uit zo'n testomgeving bij de eindgebruiker laat komen is natuurlijk slordig, maar het zijn nog steeds je eigen gegevens en dus niet noodzakelijk een indicatie van een groter probleem.

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Question Mark schreef op maandag 12 februari 2024 @ 15:38:
De AVG vind niks van het niet geanonimiseerd hebben van data in OTA omgevingen. Er lijkt ook geen geen sprake van een datalek, want er is geen informatie op straat komen te liggen.
Het Hof van Justitie ('hoogste rechtbank van Europa') vindt er wel wat van in een vergelijkbaar geval: https://blog.iusmentis.co...-ze-maar-daarna-weggooit/

Maar daadwerkelijk mailen (en kunnen mailen) naar buiten is niet adequaat te noemen..

Formeel een datalek want het was niet de bedoeling te mailen. Maar de impact is laag, het is naar jezelf gegaan. En ze zijn er zelf al achter gekomen en hebben het schijnbaar ook al gecommuniceerd. Ik zou het zo laten.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Nu online
Maar hoe weet je zo zeker dat dit uit een testomgeving komt?

CISSP! Drop your encryption keys!


Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dat, vermoed ik.
offtopic:
Een schijnbaar niet-persoonsgebonden admin-account op een omgeving waar ook 'echte' persoonsgegevens worden gebruikt. Dat vind ik kwalijker :X

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Een datalek is per definitie trouwens een schending van de AVG. Doordat ze dus op de website reeds melding gemaakt hebben erover, had je op zich de AP niet hoeven te contacteren (waarschijnlijk hebben zij dit ook reeds gedaan omdat zij dit verplicht zijn). Je hoeft in principe alleen de AVG te contacteren op het moment dat je het idee hebt dat de organisatie in kwestie dat niet zelf gedaan heeft.

Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Nu online
F_J_K schreef op dinsdag 13 februari 2024 @ 10:12:
[...]

Dat, vermoed ik.
offtopic:
Een schijnbaar niet-persoonsgebonden admin-account op een omgeving waar ook 'echte' persoonsgegevens worden gebruikt. Dat vind ik kwalijker :X
Tja maar dat, en dat testadmin non named account is, blijven toch aannames. Ik zou daar mee oppassen

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 11:12

DataGhost

iPL dev

F_J_K schreef op dinsdag 13 februari 2024 @ 10:12:
[...]

offtopic:
Een schijnbaar niet-persoonsgebonden admin-account op een omgeving waar ook 'echte' persoonsgegevens worden gebruikt. Dat vind ik kwalijker :X
Mij lijkt aannemelijker dat dat de naam van de omgeving is en dat die automatisch ingevuld wordt in de mail om voor de devs duidelijk te hebben vanuit welke omgeving het is verstuurd. De normale omgeving zal dan gewoon de normale bedrijfsnaam hebben op die plek.

Acties:
  • 0 Henk 'm!

  • Tales
  • Registratie: Juni 2007
  • Laatst online: 10-06 17:18
Zelfde gehad, inclusief een excuses mailtje met 'testadmin' erin.

Lijkt er inderdaad op dat ze de test omgeving opnieuw hebben ingevuld met een data dump van een half jaar geleden en dat vervolgens alle cron jobs voor betalingen zijn gaan lopen.

In Principe kan de test omgeving goed afgeschermd zijn, maar tegelijkertijd kan iedereen die bij de testomgeving kan schijnbaar al mijn vakanties zien van de afgelopen jaren die ik bij Corendon zou hebben geboekt.
Pagina: 1