RDC mag miljoenen Nederlandse autobezitters niet over datalek informeren

Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. Dat meldde Security.nl onlangs. Het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk. Maar RDC mag niets zeggen, omdat ze verwerker is.

Onduidelijk is hoe de datadiefstal kon gebeuren. De NOS (hoi Joost) ontdekte dat de data te koop stond, maar de RDC had vooralsnog geen verklaring over het hoe en wat. Wel heeft men direct een melding bij de Autoriteit Persoonsgegevens gedaan, en de autohandelaren voor wie zij werken ingelicht.

De RDC biedt het product AutoMotive Dashboard (AMD) aan. Dit “biedt u een geïntegreerd platform met databases en functionaliteit voor het analyseren van statistische automotive marktinformatie.” Hiervoor krijgt men data van de RDW, zoals informatie over de vervaldatum van apk-keuringen en grove informatie over de eigenaren van auto’s, zoals de cijfers van de postcode en geboortejaar.

En nee, dat is niet hetzelfde als NAW-gegevens, e-mailadressen, telefoonnummers, geboortedata et cetera. Kennelijk levert de RDW ruwe data aan RDC, die dan gaat anonimiseren? Dat lijkt me risicovol en onnodig, maar een andere verklaring heb ik niet.

In ieder geval, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de Rijksdienst voor het wegverkeer. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de RDW haar beslissing.

Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. De RDW meldt het aan jou, en als je dan claims hebt dan dien je die bij de RDW in. Die lost het intern maar op met RDC.

Arnoud

15 reacties

  1. Ik snap dat de RDC gegevens verwerkt die ze krijgen van de RDW. Maar de RDC bied zelf de AutoMotive Dashboard (AMD) aan aan garage bedrijven. Als ze niet weten waar de lek zit, dan zou het ook kunnen zijn dat de AMD site lek is en toegang bied tot de backend. Waarom zou in dat geval de RDW verantwoordelijk zijn voor een lek in een product dat de RDC aanbied aan andere partijen?

    Ik dacht altijd deze verwerker regels altijd betrekking hadden op bedrijven die iets voor jou doen, zoals het hosten van jouw email of het doen van jouw administratie, en dat het dus geen betrekking had op het aanbieden van een product gebaseerd op de gegevens die jij in beheer heb.

    Zolang de kans er is dat de gegevens gelekt zijn via hun eigen AMD kunnen ze toch zelf de gebruikers informeren? Dat is immers hun eigen product.

  2. Ik had begrepen, dat ook garagebedrijven van dit systeem gebruik maken. Via de RDW zouden geen gegevens als email en telefoonnummer in de bestanden moeten komen. Deze gegevens hoort de RDW niet eens te hebben, want die zijn niet nodig voor haar taak. Adresgegevens dan weer wel, maar de combinatie van kenteken, dus autogegevens, NAW gegevens en email, maakt het wel erg geschikt voor fishing enz. Dus meldplicht JA en wel door alle partijen die gegevens via RDC laten verwerken.

  3. Maar de RDW-info is toch geen privacy gevoelige info? Daar is die veel te ruw en onnauwkeurig voor.

    De gestolen data was toch vooral de door de door duizenden garages etc ingevoerde persoonsgegevens over hun klanten, gekoppled aan de RDW data.

    Ik dacht echt (en denk nog steeds) dat RDC privacygevoelige info namens hun klanten beheerde.

    Overigens is het fundamentele probleem daarmee niet anders, de garages moeten hun klanten informeren, die RDC, en het zou zo maar eens kunnen dat een groot deel daarvan zijn AVG zaakjes niet op orde had.

  4. RDC (de dienstverlener) stelt dat zij het datalek niet MOGEN melden bij betrokkenen, omdat niet RDC maar de automobielbedrijven (hun klanten) dat als “verwerkingsverantwoordelijke” (art 24, Avg) dat alleen mogen doen (art 33, Avg). Zij vinden dat zij slechts “verwerker” (art 28, Avg) zijn. Ik heb echter de stellige indruk dat zij in de praktijk een ander gezicht (die van de verantwoordelijke) laten zien. Bijvoorbeeld door in weerwil van de wet te bepalen dat persoonsgegevens veel te lang te bewaren. Je maakt mij niet wijs dat al die duizenden automobielbedrijven daar enige zeggenschap in hebben gehad. Nee, dat bepaalde RDC wel ‘voor hun klanten’. In art 28, Avg, wordt lid 10 vaak over het hoofd gezien: “Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker […] met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.”. De leden 2 en 4 van art 28 worden heel vaak geschonden, wellicht ook in dit geval. RDC wordt dan automatisch (van rechtswege) een verwerkingsverantwoordelijke. Waarschijklijk in gezamenlijkheid met de automobielbedrijven (artikel 26).

      1. Ook interessant dat RDC als ‘verwerker’ een melding doet bij de AP. AVG art 33 lid 1 verplicht de verwerkingsverantwoordelijke de inbreuk (indien nodig) te melden bij de AP. De verwerker informeert de verwerkingsverantwoordelijke (AVG art 33 lid 2) die vervolgens (indien nodig) de inbreuk meldt aan de betrokkenen (AVG art 34). Dit is een logische werkwijze aangezien een verwerker geen zelfstandige directe relatie heeft met de betrokkenen. Hij verwerkt de persoonsgegevens immers in opdracht van de verwerkingsverantwoordelijke. Als een (grote) verwerker verwerkingen uitvoert voor een groot aantal (kleine) verantwoordelijken kan het verstandig zijn om een melding bij de AP door de verwerker te laten doen. Dat ligt voor de hand omdat daarmee een zeer groot aantal meldingen aan de AP, die alle teruggaan naar dezelfde inbreuk, wordt voorkomen. Dit kan in een verwerkersovereenkomst worden geregeld.

    1. En heb je enige concrete reden om te geloven dat RDC eigenlijk de verwerkingsverantwoordelijke is? Heb je inzicht in hun dagelijkse praktijken, of in de contracten die ze afgesloten hebben met de automobielbedrijven?

  5. Interessante is of hier dan sprake is van de overdracht van persoonsgegevens van RDW naar RDC. Is een geboortejaar, postcode en kenteken genoeg om een individu te kunnen identificeren? Maar stel dat er sprake is van persoonsgegevens is er dan geen sprake van een controller-controller relatie tussen RDW en RDC? Immers, na overdracht van de gegevens bepaalt RDC zelf op welke wijze ze de gegevens verwerkt en in dit geval verrijkt met gegevens die ze van de deelnemende garages aangereikt krijgt. In dat geval is RDC wellicht verwerkingsverantwoordelijke voor de gegevens die ze van RDW krijgt maar vervolgens verwerker voor hoe ze deze gegevens combineert met de door de garages aangeleverde gegevens? Hoe dan ook vraag ik me wel af of de RDW dan wel afdoende toezicht gehouden heeft op hoe RDC met de verstrekte gegevens omgaat (los van wie nu verwerkingsverantwoordelijke is).

  6. Wanneer je een claim in zou dienen bij de RDW dan zal die zeggen dat je aan het verkeerde adres bent. RDC noemt ook nergens in hun vraag en antwoord op de website de RDW: https://rdc.nl/rdc-onderzoekt-datalek-de-meest-gestelde-vragen-en-antwoorden/

    Het RDC verwijst heel nadrukkelijk naar de garagebedrijven en dat zij een verwerker zijn voor deze garagebedrijven die software bij RDC afnemen. Ik vraag mij dan ook af hoe jij komt bij de RDW als een verwerkingsverantwoordelijke want dat kan ik nergens terugvinden? Alleen jouw blog spreekt ineens van de RDW als verwerkingsverantwoordelijke? Lijkt mij dan ook pertinent onjuiste informatie die jij hier geeft met betrekking tot de rol van de RDW. Nou is het natuurlijk leuker om richting een grote organisatie te wijzen ipv de garagebedrijven, zeker wanneer het een bestuursorgaan is…….

    1. Toen ik publiceerde, was alleen bekend dat er data van RDC gelekt was. Verder is bekend dat de RDW gegevens levert aan RDC, zoals je ook op hun website kunt vinden. Alle bronnen ten tijde van publicatie speculeerden over de oorzaak (aangezien RDC die ook niet wist) en dan is het logisch dat je aan een verstrekking door de RDW denkt (zie bijvoorbeeld https://nos.nl/artikel/2374024-datalek-bij-autobedrijven-treft-mogelijk-miljoenen-nederlanders.html met “Een deel van de informatie heeft het bedrijf van de RDW gekregen.”) Ik vind het laag en een belediging dat je meteen gaat insinueren dat ik vast wel lekker een bestuursorgaan op de korrel zou willen nemen. Als je mijn blog leest, zie je dat ik net als iedereen me afvraag hoe dit kon gebeuren. De link met een belangrijke bron van gegevens is verdedigbaar.

  7. Vorige week een verzoek bij RDC ingediend voor inzage in gegevens en vervolgens verwijderen van gegevens. Het antwoord luidt:

    Ik wil u er op wijzen dat wij niet de juridisch eigenaar zijn van de betreffende gegevens. Wij moeten u hiervoor echt verwijzen naar het betreffende autobedrijf.

    We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.

    “RDC is een Business to Business-bedrijf. We leveren softwarediensten waarmee autobedrijven onder andere mailings kunnen versturen. De autobedrijven zijn eigenaar van data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. RDC is voor deze diensten ‘in de zin der wet’ de “Verwerker” van de gegevens; wij handelen in opdracht van de autobedrijven. Zo kan RDC alleen in opdracht van de autobedrijven gegevens aanpassen of verwijderen. Autobedrijven die klant zijn van RDC bepalen, als verwerkingsverantwoordelijke, welke gegevens zij vastleggen in hun eigen systemen en welke gegevens ze wel of niet met RDC delen voor verwerking. Om die reden is het voor u als consument dan ook juridisch niet mogelijk RDC aan te spreken. Om te achterhalen welke gegevens van u bekend zijn moeten we u hiervoor dan ook doorverwijzen naar het autobedrijf waar u zaken mee doet.”

    Ik vraag me af bij wie ik me nu moet melden om ervoor te zorgen dat mijn gegevens bij RDC verwijderd worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.