Toon posts:

Datalek Engie energie

Pagina: 1
Acties:

vrijdag 12 april 2024 16:13

Acties:
  • +1 Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 12:25

TCMR

Topicstarter
Mijn bejaarde moeder kreeg een bericht van haar energieboer Engie dat haar gegevens buitgemaakt zijn. Een datalek bij één van hun partners:
Bij ENGIE doen we er alles aan om de gegevens van onze klanten zo goed mogelijk te beveiligen. Helaas is er in het systeem van één van onze partners een lek ontstaan. Daardoor kunnen we niet uitsluiten dat jouw gegevens gedeeld zijn met mogelijk kwaadwillenden. In deze e-mail vertellen we je hier meer over.

Wat is er gebeurd?
Een medewerker van onze partner heeft gegevens gedownload uit het systeem, onder andere die van jou. We kunnen niet uitsluiten dat de gegevens zijn verspreid.

Om welke gegevens gaat het?
Het gaat om persoonsgegevens zoals jouw naam, adresgegevens, telefoonnummer en e-mailadres, maar ook om betaalgegevens.

Wat hebben wij gedaan?
De beveiligingsspecialisten van onze partner hebben het lek opgespoord en gedicht. Doordat er een download is gemaakt van de gegevens, is niet uit te sluiten dat deze gegevens gedeeld zijn.
Met vervolgens wat tips over wanneer je gespammed/gephished wordt n.a.v. de gegevens die zijn buitgemaakt. Allemaal even te laconiek naar mijn idee.

Het bericht is echt. Wat me opvalt is dat er nergens gerept wordt dat het lek bij Autoriteit Persoonsgegevens is gemeld (staat standaard altijd in zo'n bericht, toch?), wie "de partner" is, en dat er verder in de media of op de website van Engie zelf niets te vinden is over dit lek.
Nu onlangs in het nieuws was dat datalekken vaak onder de pet worden gehouden voor de AP, vraag ik me af: moet Engie dit bij de AP melden, of "de partner"? Heb je als klant recht op meer informatie, bijv. "wie is die partner?", "was deze partner officieel gegevensverwerker?", "heb ik daar toestemming voor gegeven?", etc.

Misschien weet een expert in dit topic meer over je rechten als "benadeelde".

vrijdag 12 april 2024 22:40

Acties:
  • 0 Henk 'm!
  • SVMartin
  • Registratie: November 2005
  • Niet online

SVMartin

Engie is verantwoordelijk voor de gegevens en moet een melding maken bij de AP.

https://www.consumentenbo...varen-en-wat-moet-je-doen

https://www.autoriteitper...atalek-wel-of-niet-melden

Je kunt er wel vanuit gaan dat deze Partner een van de vele verwerkers was en dat Engie alles netjes heeft vastgelegd in een privacy statement met de klant en verwerkersovereenkomsten met leveranciers/partners. Ze hoeven je niet te vertellen welke partner het precies was, dat lijkt me ook niet interessant. Wel welke gegevens gelekt zijn.

Als je niet zeker weet of dit werkelijk een mail is van Engie, of nog vragen erover hebt kun je ook prima hun support mailen/bellen natuurlijk.

zaterdag 13 april 2024 07:50

Acties:
  • 0 Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 12:25

TCMR

Topicstarter
SVMartin schreef op vrijdag 12 april 2024 @ 22:40:
Engie is verantwoordelijk voor de gegevens en moet een melding maken bij de AP.
Thanks.
Als je niet zeker weet of dit werkelijk een mail is van Engie, of nog vragen erover hebt kun je ook prima hun support mailen/bellen natuurlijk.
Heb ik gedaan. Kostte wat tijd, maar medewerker kon uiteindelijk bevestigen dat er een datalek was (...). Blijkbaar niet iets waar support-medewerkers van op de hoogte waren. Dat is precies m'n punt: ze lijken het stil te houden en alleen het aboluut minimale te doen. Ik vind dat niet sjiek. Ja, ze hadden uiteraard bij de AP gemeld, "want dat is verplicht" (...). Maar als degene wiens gegevens nu rond gaan weet je eigenlijk bar weinig, en Engie doet niet veel moeite om meer inzicht te geven, laat staan publiekelijk toe te geven dat onder hun verantwoordelijkheid gegevens zijn gelekt. Dat is wat me een beetje stoort in dit geval. Ze proberen onder de radar te blijven van het publiek. Als ze het zo stiekem spelen, hoe weet ik dan dat ze bij de AP gemeld hebben?

zaterdag 13 april 2024 08:35

Acties:
  • +1 Henk 'm!
  • SVMartin
  • Registratie: November 2005
  • Niet online

SVMartin

Ze hebben het netjes bij de getroffen klanten gemeld, dan lijkt het me niet slim van ze om het niet bij de AP te melden.

Een melding bij de AP is ook niet zo spannend. Het idee is dat we met z'n allen meer inzicht krijgen wat er gebeurd en alle organisaties daarvan kunnen leren. Vaak is het gewoon een papieren registratie.

Helaas gebeuren dit soort datalekken dagelijks, en heb ik de indruk dat Engie heeft gedaan wat ze moeten doen. Wellicht hebben ze intern nog een informatiebeveiliging systeem opgezet, wordt het daar ook netjes in geregistreerd en wordt er gekeken of er mogelijkheden zijn om herhaling te voorkomen. Maar dat is echt aan hen zelf, ik weet niet of energiemaatschappijen een toezichthouder hebben die eisen stelt aan dit systeem.

Ik zie ook niet dat ze het geheim willen houden. Er zijn ook gevallen van grote organisaties die dat wel geprobeerd hebben, maar uiteindelijk komt het toch naar buiten en is de imago schade nog groter.

Ik heb het gevoel dat je wil dat ze aan de schandpaal genageld worden en het op de voorpagina van alle kranten staan. Ik denk niet dat dat iemand zou helpen, en er alleen voor zorgt dat niemand de krant meer wil lezen omdat het alleen over datalekken gaat ;)

zaterdag 13 april 2024 08:41

Acties:
  • 0 Henk 'm!
  • TCMR
  • Registratie: December 2009
  • Laatst online: 12:25

TCMR

Topicstarter
SVMartin schreef op zaterdag 13 april 2024 @ 08:35:
Ik heb het gevoel dat je wil dat ze aan de schandpaal genageld worden en het op de voorpagina van alle kranten staan.
Niet per se, maar een klein persberichtje of ergens op hun eigen nieuwspagina o.i.d. zou sjiek zijn. Dit is, zover ik er ervaring mee heb, zoals het meestal gaat. Maar goed, misschien verwacht ik teveel.

Ik heb zelf al een aantal keren een serieus datalek ontdekt, en daar ga je dan 'stilletjes' mee om naar de betrokken partij toe. Die gaan het dan soms inderdaad niet aan de grote klok hangen. Bizar genoeg was één van die partijen (een grote partij met heeeel veel persoonsgegevens) een paar maanden later voorpaginanieuws omdat ze hun oude systeem (dat nog brakker was...) hadden laten draaien, en iemand met minder goede motieven daar dus flink in had lopen grasduinen met als gevolg een chantage om de gegevens op straat te gooien.

zaterdag 13 april 2024 16:29

Acties:
  • +1 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 13:54

kodak

FP ProMod
SVMartin schreef op zaterdag 13 april 2024 @ 08:35:
heb ik de indruk dat Engie heeft gedaan wat ze moeten doen.
Aangezien een bedrijf de plicht heeft om te voorkomen dat persoonlijke gegevens lekken is het duidelijk dat ze juist niet genoeg gedaan hebben.

Daarbij stellen ze het lek achteraf te hebben kunnen dichten. Aangezien een lek niet pas te voorkomen is door het achteraf te dichten blijkt dus ook niet dat ze genoeg gedaan hebben. Hooguit dat ze achteraf pas iets gedaan hebben wat ze eerder hadden moeten doen om het lek te voorkomen.

Wat ze gedaan hebben is ook nog eens onduidelijk. Maar het lek dichten is het niet, want ze hebben nog steeds geen verplichte controle over de gelekte gegevens. Terwijl de hoop hebben dat er niets mee zal gebeuren absoluut onvoldoende is. Dat blijkt juist ook al door het ontstaan van het lek. Dus zolang ze niet duidelijk zijn wat ze nagelaten hebben en waar ze de grens trekken wanneer ze meer gaan doen is het niet genoeg.

zondag 14 april 2024 11:24

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Als je twijfelt aan of het is gemeld bij de AP, kan je ook zelf een 'tip' doen via https://www.autoriteitper...klacht-indienen-bij-de-ap

Aangezien Engie (denk ik) onder de NIS2-richtlijn zal gaan vallen, vermoed ik dat ze basale zaken zoals op tijd melden al wel op orde hebben. Zo niet, zou dat wel kwalijk zijn.
kodak schreef op zaterdag 13 april 2024 @ 16:29:
[...]
Aangezien een bedrijf de plicht heeft om te voorkomen dat persoonlijke gegevens lekken is het duidelijk dat ze juist niet genoeg gedaan hebben.
Dat is niet zo stellig te zeggen, er is geen 'genoeg' die elke deur dicht zet. Als het de NSA kan overkomen, dan een random bedrijfje ook...

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 14 april 2024 12:12

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 13:54

kodak

FP ProMod
F_J_K schreef op zondag 14 april 2024 @ 11:24:

[...]

Dat is niet zo stellig te zeggen, er is geen 'genoeg' die elke deur dicht zet. Als het de NSA kan overkomen, dan een random bedrijfje ook...
Dat er geen 100% kunnen voorkomen bestaat mag duidelijk zijn. Maar de redelijkheid dat men genoeg gedaan heeft blijkt niet uit het lekken, blijkt niet uit het toch maar meer gaan doen, blijkt ook niet uit de beweringen die ze doen en blijk zeker niet uit het blijvend gebrek aan controle over de gelekte gegevens. En de kleine kans dat ze wel genoeg gedaan hebben zullen ze zelf weg moeten nemen, in plaats van dat die in hun voordeel is via de nogal gebrekkige informatie die ze kennelijk liever versturen aan klanten die ze wettelijk aantoonbaar horen te beschemen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq