Help, mijn persoonsgegevens zijn gelekt, wat nu?

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud

17 reacties

  1. Als ik op de link klik, lijkt het erop dat ASML zijn salarisadministratie heeft uitbesteed aan een eerste bedrijf, en dat dat eerste bedrijf dit vervolgens weer deels uitbesteed heeft aan een tweede bedrijf. En misschien is het nog wel verder uitbesteed, who knows.

    Bij dit soort uitbestedingspraktijken is het natuurlijk wachten tot een datalek zich voordoet. Dat je als werknemer van ASML denkt ‘het zit wel goed met mijn gegevens, want ASML is een serieus en verantwoordelijk bedrijf’ kan ik me goed voorstellen. Maar ja, als je data dan twee, of drie, of viermaal aan onderaannemers wordt gegeven…… Dat verwacht je natuurlijk niet.

    En wellicht verwachtte ASML ook niet dat de eenmaal uitbesteede databehandeling nogmaals verder onderuitbesteed zou worden.

    Zit daar niet de kern van het probleem: Je hebt wel controle over wat je als bedrijf zelf doet, maar iedere uitbestedingsstap is een risico. Vroeg of laat tref je een cowboy of een minder capabale partner in de keten.

    1. En wellicht verwachtte ASML ook niet dat de eenmaal uitbesteede databehandeling nogmaals verder onderuitbesteed zou worden.
      Wat dan natuurlijk weer een mooie clausule is in de af te sluiten bewerkersovereenkomst: willen jullie het werk uitbesteden? Dan eerst aan ons voorleggen en pas door laten gaan wanneer wij akkoord hebben gegeven. Maar ja, Dat blijven natuurlijk alleen maar ‘cover-your-ass’ constructies, de gedupeerden kopen er niets voor.

  2. DIT dus. Er wordt al jaren geroepen dat – Bedrijven zorgvuldig met persoonsgegevens moeten omgaan – Verwerking aan allerlei eisen moet voldoen – Datalekken gemeld moeten worden

    Echter nergens wordt er iets gezegd waar degene staat die het slachtoffer is van al dan niet bewust onzorgvuldig omgaan met persoonsgegevens. Ik krijg echt het gevoel dat als het maar “juridisch is afgedekt” het goed zit. En als de stront de ventilator raakt (vrij naar het Engels spreekwoord), gaan de hakken in het zand want oh wee het zou wel eens een paar euro kunnen kosten om het netjes recht te breien. En ach wee de imago schade moet ten koste van alles worden voorkomen, dus doofpotten (nieuw werkwoord?) die handel.

    Veel bedrijven gaan er dan ook over om het hele verhaal maar bij derden neer te leggen en proberen dat vervolgens met allerlei eenzijdige voorwaarden dicht te timmeren

    En als er dan iets loos is wordt er te vaak (altijd?) luchtigjes over gedaan: “Er is geen gevoelige informatie gelekt en het zal wel meevallen”. Ik wordt echt boos van dit soort praktijken. (zo dat was mijn portie afreageren voor vandaag… maak er verder iets moois van!)

    1. Nog eentje: “er is geen bewijs dat de gegevens worden misbruikt.”

      Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

      Dat besteed je dan toch gewoon uit?

  3. Je schrijft “log regelmatig overal even in”. Ik zou het wel handig vinden als er ergens een checklist was met alle bedrijven / instanties die je in de gaten moet houden na een datalek. Dat de Belastingdienst, de SVB en de Ziektekostenverzekeraar met je BSN werken is voor de hand liggend. Zelf vermoed ik dat de gemeente dat ook doet. Arnoud noemde de energiemaatschappij . Ik zou ook de KvK checken op spookfirma’s. Wie vult dit lijstje verder aan?

    Overigens betrof het lek niet alleen het BSN, maar ook naam, huisadres en salarisgegevens. Welke consequenties heeft dat nog voor bovengenoemde checklist?

  4. Maar ondertussen ligt het BSN nummer van iedere ondernemer al jaren gewoon op straat doordat de overheid het verplicht je BTW nummer op je website te noemen en het BTW nummer van zowat het hele MKB gelijk staat aan het BSN nummer van de eigenaar.. Daar is geen datalek tegen opgewassen…

  5. Wat slecht geregeld is, is niet alleen de beveiliging van administraties, maar ook de beveiliging van iedere partij die BSN als identificatie gebruikt.

    Wie heeft ooit bedacht dat het handig is om een onwijzigbaar nummer te gebruiken als login naam? Wat mij betreft mag ieder bedrijf dat BSN als een identificatie gebruikt juist aansprakelijk zijn voor de schade die door misbruik bij hun wordt geleden. Hadden ze maar een veiligere identificatie methode moeten gebruiken.

    1. Tja, wanneer ik de reactie van Wiebes lees rondom kamervragen heb ik niet de illusie dat onze overheid onze privacy (en dus bescherming tegen identiteitsfraude) hoog in het vaandel heeft of zal krijgen (https://www.privacynieuws.nl/174-dataverlies/18088-wiebes-beantwoordt-vragen-over-een-datalek-bij-de-belastingdienst.html).

      Enige dat je kan doen is heel hard hopen dat je gegevens niet worden misbruikt. Wanneer het gaat om het gebruik van BSN geldt dat het verboden is tenzij er een wettelijke grondslag voor is. Helaas blijken veel organisaties dit niet te weten of het gebruik van het BSN is toch wel erg makkelijk: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-treedt-op-tegen-verboden-gebruik-bsn Dit maakt het risico op het uitlekken van het BSN ook groot. Maar BSN is geen gevoelig gegeven voor misbruik aldus Wiebes………

      In de nieuwe AVG staan volgens mij wel meer mogelijkheden voor schadevergoeding aan betrokkenen?

  6. Ik heb laatste ook zo’n brief gehad van Geynwijs. Dit is een overheidsinstelling van de gemeente met een poortwachtersfunctie. Er was een laptop gestolen. De medewerker had persoonsgegeven verwerkt in verschillende excel bestanden en deze als bijlage toegevoegd aan e-mails die hij of zij lokaal had opgeslagen.

    In de brief werd de hele situatie (ten onrechte) kleiner gemaakt. Zo had men het over een mogelijk risico dat de gegevens in verkeerde handen waren gevallen. Het account was beveiligd met een login en een wachtwoord. En gaven ze (ten onrechte) aan dat de gegevens niet op de harde schrijf stonden. Bovendien vermoeden ze dat de harde schrijf was gewist, omdat geen aanwijzingen hebben dat de laptop is gestolen voor de gegevens.

    De organisatie kon niet aangeven welke maatregelen er waren genomen. Er is dus een risico dat het wachtwoord van de betreffende medewerker dus makkelijk te raden was. De data op de harde schrijf was kennelijk niet versleuteld zodat het wachtwoord makkelijk te omzeilen is door de harde schrijf uit de laptop te verwijderen en aan te sluiten op een ander systeem.

    Ik vind het zorgelijk dat overheidsorganistaties kennelijk doen aan security through obscurity, de belangrijkste maatregel bestaat in het geven van uitleg over hoe je identietsfraude kunt herkennen en hun vermoeden voornamelijk baseren op wat ze niet weten.

  7. De schadeberekening per persoon zal altijd lastig zijn. Hoe bereken je dit uiteindelijk? Uiteindelijk komt het neer op verloren tijd die je moet investeren om je zaken te controleren en eventueel de moeite die je moet doen als een grapjas al jouw abonnementen heeft opgezegd. Dan praat je over een aantal uren die je bezig bent geweest met het opvangen van de gerelateerde problemen.

    En dan de vraag: welk prijskaartje kun je vervolgens hangen aan die uren die je bezig bent? Kun je b.v. gewoon stellen dat je een tarief van € 100 per uur rekent voor de gemiste uren en dan vervolgens een rekening hiervoor indienen bij je werkgever? Of is er wettelijk een vast bedrag hiervoor bepaald? Of heb je gewoon pech en kunnen die uren niet gecompenseerd worden?

    Dat is eigenlijk wat ik wel wil weten… 🙂

    1. Je zou mij als consultant kunnen inhuren en dan regel ik het allemaal voor je. Mijn tarief is € 200 per uur. Wel heb ik natuurlijk al je gegevens nodig om overal in te kunnen loggen en de boel in de gaten te houden. Maar geen zorgen, ik schrijf alles op in mijn dagboek met slotje, daar komt niemand in.

    2. Schadevergoeding is inderdaad dat: ‘vergoeding van echte schade’. Als je die netjes kunt berekenen, des te beter, als je die alleen kunt schatten, dan doe je dat. Als de andere partij het onredelijk vind kan hij dat laten weten en dan kun je gaan onderhandelen, en desnoods kun je de rechter vragen om een beslissing.

      In het geval van een werkgever lijkt het me relatief gemakkelijk: je lost de problemen op in werktijd. Dan heeft de werkgever precies je geleden schade vergoed. En als er dan nog een paar postzegels en een autoritje bijkomen, dan dien je daarvoor apart een onkostennota in.

  8. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden.

    Het is echter maar de vraag of de Wbp hier überhaupt is geschonden. Een datalek houdt immers niet per se een schending van de Wbp in. Het niet melden daarvan zou dat wel zij. Of wanneer het lek en gevolg zou zijn van een niet-passende beveiliging. Maar datalekken kunnen altijd plaats vinden, ook wanneer de beveiliging voldoende is.

  9. Ooit was ik in conflict met een niet nader te noemen energie aanbieder over de hoogte van de rekening, na gestalkt te zijn door incassobureaus (en aangegeven te hebben dat de rekening aangepast moest worden en dat ik anders de rechtszaak met vertrouwen tegemoet zag) én dat de schuld daarna is doorverkocht kreeg ik eindelijk een dagvaarding op de mat. Wat bleek echter, bij de dagvaarding zat een A4 met een lijst van mensen waarvan de schuld was opgekocht, inclusief volledig GBA, telefoonnummers e-mail adressen bankrekeningnummers en de totale schuld per persoon… Ik heb ze allemaal gemaild en op de hoogte gesteld van de onhandige werkwijze van het bedrijf en heb ze aangeraden inderdaad als ze daar interesse in hadden te vervolgen op basis van een onrechtmatige daad en schending van de goede naam, had zoiets kans gemaakt?

    Overigens heb ik de zaak toen gewonnen 😉

  10. Waterbedrijf Vitens heeft in oktober 2016 per e-mail bevestigd dat zij mijn doorgegeven verhuizing administratief hebben verwerkt. Al jaren geleden gaf ik aan in “Mijn Vitens” alle facturen digitaal per e-mail te willen ontvangen. Januari 2017 heb ik een termijnbetaling van 13 euro gemist. Vitens heeft daarop per brief een acceptgiro naar mijn oude adres gestuurd. Dit oude adres wordt nu door de woningcorporatie opgeknapt en daarom zit er een stalen sleutelkluis op de brievenbus. Post wordt door PostNL daarom in de bus gefrommeld en blijft er uit steken waardoor kwaadwillenden deze post er zo uit kunnen halen. Ik ben verhuisd wegen doodsbedreigen en stalking per post door mijn directe buren. In de brief van Vitens staat mijn nieuwe adres vermeld. Het stalken per post kan weer beginnen zodra mijn oude buren over mijn nieuwe adres beschikken. Ik heb alles gedaan wat in mijn vermogen ligt om geen sporen achter te laten. Maar Vitens – een bedrijf met ruim vijf miljoen klanten – begrijpt kennelijk niets van gegevensbescherming en privacy. Vitens heeft mij zelfs per e-mail bevestigd dat zij deze herinnering naar mijn oude adres hebben gestuurd.

    1. Ik zou beginnen met een advocaat in te schakelen en eventueel aangifte te doen tegen Vitens. Vitens is immers verantwoordelijk dat die brief op het juiste adres aankomt en dat PostNL deze dan verfrommelt en feitelijk op straat gedumpt heeft is niet jouw probleem. Dat moet Vitens dan maar weer met PostNL uitvechten. Nu alleen even aantonen dat door de actie van Vitens je buren nu je nieuwe adres weten en dus opnieuw gaan stalken en je hebt genoeg om een schadeclaim in te dienen om opnieuw te verhuizen.

      Dit zal overigens nog vrij lastig worden dus vandaar dat je een advocaat nodig zult hebben. Hopelijk heb je een rechtsbijstandsverzekering anders wordt dat kostbaar.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.