Bedrijf mailt klanten in 1 mail, allemaal "aan" datalek j/n?

dinsdag 20 augustus 2024 15:18

Acties:

+1 Henk 'm!

Topicstarter

Mijn vraag
Er is in mijn directe omgeving een bedrijfje naar voren gestapt dat graag een informatie avondje wil organiseren voor geïnteresseerden in bepaalde verduurzaming opties. Dit bedrijfje heeft om die reden een web-formulier opgezet met wat basis contact gegevens. Op een zeker moment heeft het de ingeschreven personen een mail gestuurd met 2 mogelijke dagen voor de genoemde informatie avond.
Echter, deze email hebben ze aan alle ingeschreven personen gestuurd als " aan " en niet "BCC" (Of individueel).
Ik heb nu dus email adressen en namen van mensen uit mijn wijk die ik helemaal niet hoor te hebben. (Mensen die misschien helemaal niet hun email adres aan mij willen geven of mensen waarop ik helemaal niet zit te wachten dat ze het mijne hebben).

Wat ik me wel afvroeg, is dit nu een datalek? De website van de overheid heeft het over persoonsgegevens, een email adres is dat niet direct, denk ik. Wat ik wel denk is dat er mensen hier op het forum zijn die dit misschien kunnen toelichten?

(Ik zie niet direct een risico in de gedeelde email adressen, wel vraag ik me af of het bedrijf in kwestie de zaakjes allemaal goed op orde heeft).

dinsdag 20 augustus 2024 15:20

Acties:

+3 Henk 'm!

bonzz.netninja

Niente baffi

Ja, dit is een datalek. Een e-mailadres is een persoonsgegeven.

Formeel zouden ze dit moeten melden

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 20 augustus 2024 15:23

Acties:

0 Henk 'm!

tcw82

Topicstarter

bonzz.netninja schreef op dinsdag 20 augustus 2024 @ 15:20:
Ja, dit is een datalek. Een e-mailadres is een persoonsgegeven.

Formeel zouden ze dit moeten melden

Wow das snel, heb je misschien ook een linkje of iets dergelijks? Ik wil het bedrijfje namelijk wel aanspreken (per mail), maar zonder fatsoenlijk onderbouwing voelt dat wat leeg/zinloos.

Deze link suggereert wel dat emails verzamelen onder het verwerken van PG valt, maar in de kop" wat is een persoongegevens" komt email dan weer niet voor, dacht ik zo snel gezien te hebben.

https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/verwerken-van-persoonsgegevens

[ Voor 35% gewijzigd door tcw82 op 20-08-2024 15:28 ]

dinsdag 20 augustus 2024 15:26

Acties:

0 Henk 'm!

Room42

Ja, dat is gewoon een datalek. Ze hebben (al dan niet per ongeluk, dat doet er niet toe) gegevens van derden gelekt. Hier staat wel iets: https://www.privacyzone.n...essen-is-dat-een-datalek/

En zie ook deze checklist van de AP: https://www.autoriteitper...atalek-wel-of-niet-melden

[ Voor 21% gewijzigd door Room42 op 20-08-2024 15:26 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 20 augustus 2024 15:28

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

tcw82 schreef op dinsdag 20 augustus 2024 @ 15:23:
[...]

Wow das snel, heb je misschien ook een linkje of iets dergelijks? Ik wil het bedrijfje namelijk wel aanspreken (per mail), maar zonder fatsoenlijk onderbouwing voelt dat wat leeg/zinloos.

https://commission.europa...orm/what-personal-data_nl

onder GDPR is de def. van PII heel breed geworden.

Maar je hebt geen bron nodig om een bedrijf aan te spreken op het feit dat ze zomaar iedereen in de to: zetten vind ik. Dat is ook gewoon niet netjes, of het nou mag of niet. Maar of het nou gaan melden of niet, daar heb jij natuurlijk niet echt belang bij toch? Of maw, wat wil jij van ze?

[ Voor 12% gewijzigd door bonzz.netninja op 20-08-2024 15:31 ]

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 20 augustus 2024 15:35

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Dit was zelfs voor AVG/GDPR al een dikke nogo maar nu ook nog eens wettelijk niet toegestaan.

https://it-jurist.nl/nieu...en-gezien-als-een-datalek

Het risico is dat nu iemand op de persoon dingen als phishing kan toepassen door de gegevens en inhoud.

Als het een hele algemene nieuwsbrief is valt het nog mee maar is nog steeds niet toegestaan.

[ Voor 66% gewijzigd door DukeBox op 20-08-2024 15:39 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 20 augustus 2024 15:37

Acties:

0 Henk 'm!

tcw82

Topicstarter

DukeBox schreef op dinsdag 20 augustus 2024 @ 15:35:
Dit was zelfs voor AVG/GDPR al een dikke nogo maar nu ook nog eens wettelijk niet toegestaan.

Dit in je bericht verwijst naar de verzending van alle adressen in 1 adres regel?
Welke wettelijke grond stoelt dit precies op?

dinsdag 20 augustus 2024 15:41

Acties:

+1 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

tcw82 schreef op dinsdag 20 augustus 2024 @ 15:37:
[...]

Dit in je bericht verwijst naar de verzending van alle adressen in 1 adres regel?
Welke wettelijke grond stoelt dit precies op?

Zie eerdere posts en link. Ja concreet is het een datalek dus moet deze gemeld worden:

https://wetten.overheid.n...C%20eerste%20lid%2C%20Wbp).

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 20 augustus 2024 15:53

Acties:

0 Henk 'm!

tcw82

Topicstarter

DukeBox schreef op dinsdag 20 augustus 2024 @ 15:41:
[...]

Zie eerdere posts en link. Ja concreet is het een datalek dus moet deze gemeld worden:

https://wetten.overheid.n...C%20eerste%20lid%2C%20Wbp).

Gezien er geen (door mij te overzien dan toch) ernstige nadelige gevolgen zijn, zoals te lezen in de highlighted sectie van de link die je aanhaalt, is melden niet nodig.

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

dinsdag 20 augustus 2024 15:59

Acties:

+2 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

tcw82 schreef op dinsdag 20 augustus 2024 @ 15:53:
Gezien er geen (door mij te overzien dan toch) ernstige nadelige gevolgen zijn, zoals te lezen in de highlighted sectie van de link die je aanhaalt, is melden niet nodig.

Het lastige is dat je dat dus ook voor alle anderen nu zo uitmaakt, eigenlijk ligt die beslissing bij de AP.

Ik heb zelf ook diverse keren iets dergelijks 'kleins' meegemaakt, ik stuurde toen de informatie naar de afzender (anders leert die er ook niet van), die persoon moet dan zelf beslissen wat er mee gebeurd. Veelal geef ik het advies een excuus mailtje te sturen en als iemand er hinder van ondervindt dit te melden bij afzender om alsnog de AP in te lichten.

Er stond bij een ander artikel de vergelijking, wegrijden bij een ongeval.. ook al is er geen schade, men ziet dit dan toch meer als 'not done'. Anders, als ik een paaltje bij parkeren omver rijd ben ik dan ook weer niet de netste om dit bij de gemeente te melden.. ik denk uiteindelijk dat je daar die zelf de beste inschatting bij kan maken gezien je de inhoud en aantal/type mensen in de mail kent.

[ Voor 51% gewijzigd door DukeBox op 20-08-2024 16:08 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 20 augustus 2024 16:34

Acties:

0 Henk 'm!

tcw82

Topicstarter

DukeBox schreef op dinsdag 20 augustus 2024 @ 15:59:
[...]

Het lastige is dat je dat dus ook voor alle anderen nu zo uitmaakt, eigenlijk ligt die beslissing bij de AP.

Ik heb zelf ook diverse keren iets dergelijks 'kleins' meegemaakt, ik stuurde toen de informatie naar de afzender (anders leert die er ook niet van), die persoon moet dan zelf beslissen wat er mee gebeurd. Veelal geef ik het advies een excuus mailtje te sturen en als iemand er hinder van ondervindt dit te melden bij afzender om alsnog de AP in te lichten.

Er stond bij een ander artikel de vergelijking, wegrijden bij een ongeval.. ook al is er geen schade, men ziet dit dan toch meer als 'not done'. Anders, als ik een paaltje bij parkeren omver rijd ben ik dan ook weer niet de netste om dit bij de gemeente te melden.. ik denk uiteindelijk dat je daar die zelf de beste inschatting bij kan maken gezien je de inhoud en aantal/type mensen in de mail kent.

Ik heb de verzender een net maar stellig berichtje verzonden dat dit een datalek is en dat je die meldt bij apg. Verder hem geadviseerd contact op te nemen met apg of een vorm van juridische ondersteuning via bijvoorbeeld een rechtsbijstandverzekering (het is een beginnend bedrijfje).

dinsdag 20 augustus 2024 16:46

Acties:

+2 Henk 'm!

sOid

tcw82 schreef op dinsdag 20 augustus 2024 @ 16:34:
[...]

Ik heb de verzender een net maar stellig berichtje verzonden dat dit een datalek is en dat je die meldt bij apg.

Zoals hierboven ook al staat, hoef je niet elk datalek te melden bij de AP. Dat hangt van het risico af. Hoewel het hier zeker om een datalek gaat, wordt het lekken van enkel een e-mailadres doorgaans niet geclassificeerd als 'hoog risico'.

dinsdag 20 augustus 2024 17:58

Acties:

0 Henk 'm!

tcw82

Topicstarter

sOid schreef op dinsdag 20 augustus 2024 @ 16:46:
[...]

Zoals hierboven ook al staat, hoef je niet elk datalek te melden bij de AP. Dat hangt van het risico af. Hoewel het hier zeker om een datalek gaat, wordt het lekken van enkel een e-mailadres doorgaans niet geclassificeerd als 'hoog risico'.

Dank, ik heb ook die overtuiging.
Er is een klein puntje dat ik (nog) niet had vermeld; er wonen ook wat personen met (inter) nationale bekendheid, ik kan me voorstellen dat die liever niet hun privé mail delen met de wereld.
Maar goed, bedrijf is geïnformeerd, het is, denk ik, verder aan hen.

dinsdag 20 augustus 2024 18:09

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Klopt en klopt. Het kan goed zijn het bedrijf er even op te wijzen dat er ook bekenden tussen zitten. Dan kan het bedrijf overwegen bijv die expliciet te informeren.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 20 augustus 2024 18:37

Acties:

+2 Henk 'm!

wodkabuikje

Om hoeveel e-mailadressen gaat het? Ik vermoed max enkele tientallen.

Klinkt als een foutje en daar kwamen ze zelf al achter en hebben een mail erachteraan gestuurd.

Het is niet alsof de hele wereld deze e-mailadressen hebben gekregen. Beetje een storm in een glas water.

niet iedereen heeft een bierbuikje

dinsdag 20 augustus 2024 20:50

Acties:

+2 Henk 'm!

tcw82

Topicstarter

wodkabuikje schreef op dinsdag 20 augustus 2024 @ 18:37:
Om hoeveel e-mailadressen gaat het? Ik vermoed max enkele tientallen.

Klinkt als een foutje en daar kwamen ze zelf al achter en hebben een mail erachteraan gestuurd.

Het is niet alsof de hele wereld deze e-mailadressen hebben gekregen. Beetje een storm in een glas water.

Klopt, qua storm enzo.
De vraag was, is dit een datalek, een definitie kwestie.

dinsdag 20 augustus 2024 21:36

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

wodkabuikje schreef op dinsdag 20 augustus 2024 @ 18:37:
Het is niet alsof de hele wereld deze e-mailadressen hebben gekregen. Beetje een storm in een glas water.

Daar gaat het ook niet zozeer om, het is ook meer een slordigheid dan datalek in mijn opinie. Maar de richtlijnen maken geen onderscheid tussen 20 of 2.000.000 adressen voor het melden.

Een concreet voorbeeld wat mijn moeder heeft meegemaakt, ze ging naar een computer clubje dat een cursus gaf voor ouderen bij de bibliotheek. Een man of 12 geloof ik.

Regelmatig werden er dingen vanuit de club gemaild met iedereen in het 'to' veld. Zo ook een mail met een soort van oorkonde van het voltooien van de cursus. Een paar dagen later kwam er een mail binnen bij mijn moeder en een aantal anderen, of ze een vrijwillige bijdrage wilden storten voor de club.

Mijn moeder dacht, ik maak ook een lekkere appeltaart en breng die wel langs. Een paar dagen later dus zij langs met de taart, iedereen natuurlijk blij en ze liet toen iets vallen dat ze dit leuker vond dan alleen een bijdrage storten. Iedereen verbaasd.. bijdrage?? Ze werden gewoon betaald vanuit de gemeente via subsidies.

Wat bleek, had iemand vol trots de mail als printscreen op facebook gezet met een groot deel van de aadressen zichtbaar in beeld en een verhaal erbij wat ze gedaan hadden. Iemand heeft die dus over geklopt en heel gericht misbruik van de adressen en inhoud gemaakt.

Met gewoon juist gebruik van bcc of een interne distributielijst was dat nooit gebeurd.

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 20 augustus 2024 21:58

Acties:

0 Henk 'm!

wodkabuikje

DukeBox schreef op dinsdag 20 augustus 2024 @ 21:36:
[...]

Daar gaat het ook niet zozeer om, het is ook meer een slordigheid dan datalek in mijn opinie. Maar de richtlijnen maken geen onderscheid tussen 20 of 2.000.000 adressen voor het melden.

Een concreet voorbeeld wat mijn moeder heeft meegemaakt, ze ging naar een computer clubje dat een cursus gaf voor ouderen bij de bibliotheek. Een man of 12 geloof ik.

Regelmatig werden er dingen vanuit de club gemaild met iedereen in het 'to' veld. Zo ook een mail met een soort van oorkonde van het voltooien van de cursus. Een paar dagen later kwam er een mail binnen bij mijn moeder en een aantal anderen, of ze een vrijwillige bijdrage wilden storten voor de club.

Mijn moeder dacht, ik maak ook een lekkere appeltaart en breng die wel langs. Een paar dagen later dus zij langs met de taart, iedereen natuurlijk blij en ze liet toen iets vallen dat ze dit leuker vond dan alleen een bijdrage storten. Iedereen verbaasd.. bijdrage?? Ze werden gewoon betaald vanuit de gemeente via subsidies.

Wat bleek, had iemand vol trots de mail als printscreen op facebook gezet met een groot deel van de aadressen zichtbaar in beeld en een verhaal erbij wat ze gedaan hadden. Iemand heeft die dus over geklopt en heel gericht misbruik van de adressen en inhoud gemaakt.

Met gewoon juist gebruik van bcc of een interne distributielijst was dat nooit gebeurd.

Zeker waar maar het is nu nog niet duidelijk of iemand van die ontvangers, waarschijnlijk weinig, zoiets op Facebook plempen. Waarom zouden ze ook?

Het is nu een kleine kring. Als je net niet toevallig een internet crimineel als buurman hebt dan is er helemaal niets aan de hand.

Het bedrijf heeft iedereen in de cc gegooid, that's all. Ik zie het wel vaker bij mails van leveranciers, dan kan ik mooi zien wie daar allemaal koopt 😉

Als je zoiets gaat melden aan instanties dan gaan ze daar helemaal niets mee doen.

Het bedrijf had zelf al in de gaten dat ze een foutje hadden gemaakt. Een foutje... Kan gebeuren, iedereen leeft nog, next topic.

niet iedereen heeft een bierbuikje

dinsdag 20 augustus 2024 22:01

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

wodkabuikje schreef op dinsdag 20 augustus 2024 @ 21:58:
Zeker waar maar het is nu nog niet duidelijk of iemand van die ontvangers, waarschijnlijk weinig, zoiets op Facebook plempen.

Het gaat niet om facebook maar om het voorbeeld dat als er iemand met minder goede bedoelingen in die mail thread zit, het door inhoudelijke informatie een schot voor open doel is.

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 23 augustus 2024 16:06

Acties:

0 Henk 'm!

kodak

FP ProMod

tcw82 schreef op dinsdag 20 augustus 2024 @ 15:53:
[...]

Gezien er geen (door mij te overzien dan toch) ernstige nadelige gevolgen zijn, zoals te lezen in de highlighted sectie van de link die je aanhaalt, is melden niet nodig.
[...]

Het uitgangspunt is als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Het antwoord is niet snel dat het geen ernstige gevolgen heeft. Het doel van de beschermening is namelijk dat de persoon en de verwerker controle over de gegevens hebben. Als een lek vooral een theoretische overtreding is, bijvoorbeeld dat een account van medewerker te veel mogelijkheden tot inzage gaf maar dit duidelijk niet is misbruikt, dan is het niet zomaar ernstig voor het behoid van de controle. Maar hier lijken niet alleen beschermende technische en organisatorische maatregelen te ontbreken maar zijn vervolgens ook nog meerdere persoonlijke gegevens naar personen verstuurd waardoor er geen enkele controle meer over is. Dat is duidelijk een lek waarbij er geen bescherming meer is. De verwerker lijkt daarbij ook niets gedaan te hebben om de fouten te erkennen en gevolgen te beperken. Ook is niet duidelijk of ze zelfs wel procedures en technische maatregelen hadden (of nu verbeterd hebben) om dit in het vervolg te voorkomen. Dus dan neemt men ook nog eens geen duidelijke verantwoording voor de verplichte bescherming persoonsgegevens.

vrijdag 23 augustus 2024 18:59

Acties:

0 Henk 'm!

tcw82

Topicstarter

kodak schreef op vrijdag 23 augustus 2024 @ 16:06:
[...]

Het uitgangspunt is als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Het antwoord is niet snel dat het geen ernstige gevolgen heeft. Het doel van de beschermening is namelijk dat de persoon en de verwerker controle over de gegevens hebben. Als een lek vooral een theoretische overtreding is, bijvoorbeeld dat een account van medewerker te veel mogelijkheden tot inzage gaf maar dit duidelijk niet is misbruikt, dan is het niet zomaar ernstig voor het behoid van de controle. Maar hier lijken niet alleen beschermende technische en organisatorische maatregelen te ontbreken maar zijn vervolgens ook nog meerdere persoonlijke gegevens naar personen verstuurd waardoor er geen enkele controle meer over is. Dat is duidelijk een lek waarbij er geen bescherming meer is. De verwerker lijkt daarbij ook niets gedaan te hebben om de fouten te erkennen en gevolgen te beperken. Ook is niet duidelijk of ze zelfs wel procedures en technische maatregelen hadden (of nu verbeterd hebben) om dit in het vervolg te voorkomen. Dus dan neemt men ook nog eens geen duidelijke verantwoording voor de verplichte bescherming persoonsgegevens.

Bedankt, helder verhaal.
Dit is de reactie van de firma:
(Ik weet niet hoe ik een "members only" sectie aanmaak).

Goedemorgen ...,

Bedankt voor je bericht en het attenderen op dit punt. Ik begrijp dat het onbedoeld delen van e-mailadressen als een datalek kan worden beschouwd volgens de AVG. Na je bericht heb ik dit direct besproken met een bevriende jurist die bekend is met de privacywetgeving.

Op basis van dit overleg en de regels rondom datalekken, blijkt dat het melden van dit specifieke incident bij de Autoriteit Persoonsgegevens niet nodig is. Het gaat in dit geval om een relatief kleine groep (26 buren) en enkel om e-mailadressen, zonder verdere gevoelige informatie. Omdat de impact voor de betrokkenen gering is en er geen groot risico is op schade, valt dit onder de categorie datalekken die niet gemeld hoeven te worden.

Wel heb ik het incident gedocumenteerd en ik heb de betrokkenen op de hoogte gesteld van de fout, met excuses voor het ongemak.

Wat betreft de datum van de informatieavond: begin volgende week hoor je van me of de datum definitief is. Ik kijk ernaar uit om je daar te zien.

Nogmaals dank voor je oplettendheid!

vrijdag 23 augustus 2024 19:08

Acties:

0 Henk 'm!

rachez

tcw82 schreef op dinsdag 20 augustus 2024 @ 16:34:
[...]

Ik heb de verzender een net maar stellig berichtje verzonden dat dit een datalek is en dat je die meldt bij apg. Verder hem geadviseerd contact op te nemen met apg of een vorm van juridische ondersteuning via bijvoorbeeld een rechtsbijstandverzekering (het is een beginnend bedrijfje).

Hmm, ik had dat gezien de omstandigheden wat subtieler gebracht. Meer als een waarschuwing voor hun fout.

maandag 26 augustus 2024 09:48

Acties:

0 Henk 'm!

BytePhantomX

@tcw82 Volgens mij een juiste (risico)afweging van het bedrijf, waarbij ik hun analyse deel dat melden niet nodig is en verder een keurig nette reactie.

Vraag

Alle reacties