Odido waarschuwt zijn klanten voor een cyberaanval, meldde onder meer Tweakers. Er zijn (mogelijk) gegevens van miljoenen klanten uit een klantcontactsysteem verkregen, waaronder mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en ID-kaartnummers. Het gaf vele gefrustreerde reacties: waarom kan ik hier niets tegen doen?
Vooralsnog is onduidelijk wat er precies is gebeurd, zodat we niet kunnen zeggen of Odido te kort geschoten is of juist ondanks alles slachtoffer werd van een geavanceerde aanval. Dat maakt natuurlijk uit; datalekken leiden pas tot aansprakelijkheid als ze het gevolg zijn van inadquate beveiliging.
Een deel van de reacties wijst erop dat er dus gegevens in een klantcontactsysteem zitten die daar niet horen. Waarom is het nummer van mijn paspoort relevant voor klantcontact, wat dat ook moge betekenen? Wat doet een klantreisambassadeur met mijn IBAN? Dit gaat over dataminimalisatie, niet perse over slechte beveiliging, maar is net zo een AVG-issue natuurlijk.
Een schadevergoeding claimen? Dat is vrijwel ondoenlijk als consument. Niet eens zozeer omdat zo’n procedure duur is, maar vooral omdat je je schade niet kunt hardmaken. Je tijd is nul euro waard, er is jou (nog) niets fysiek of digitaal overkomen waar je bonnetjes van een hersteller van kunt overleggen. Psychische schade is kwantificeerbaar (de uren van een psycholoog), maar vereist medische indicatie én wordt al gedekt door de verzekering. Dus dan blijft er eigenlijk niets over.
Je contract opzeggen? Kan, als het datalek te herleiden is tot een tekortkoming bij Odido. Want artikel 14 van hun algemene voorwaarden (consumenten) zegt “Odido gaat zorgvuldig om met je persoonsgegevens en houdt zich aan de wet.” Schiet men te kort daarin, dan is dat een materiële schending van de overeenkomst en dat biedt het recht van opzegging. Uiteraard is dit geen eenvoudig te gebruiken argument.
Natuurlijk, als men tekort schoot in AVG compliance dan kan de AP een boete opleggen. Maar die wordt niet verdeeld over de slachtoffers. En daardoor ontstaat het beeld dat er bar weinig reden is om het beter te doen om dit soort lekken te laten voorkomen.
Arnoud
Het is wel deels bekend hoe het gebeurde: https://nos.nl/artikel/2602283-odido-hackers-kwamen-binnen-via-phishing-deden-zich-voor-als-ict-afdeling Conclusie, uitbesteden van callcentra naar het buitenland leid vaak tot een kwetsbaarheid in je security. Maar ook callcentra in Nederland zijn vaak niet goed getraind om social engineering te voorkomen.
Zie ook de discussies hier: https://tweakers.net/nieuws/244740/odido-waarschuwt-klanten-reken-niet-op-automatische-compensatie-voor-datalek.html en hier https://tweakers.net/nieuws/244720/nos-odido-hackers-kwamen-binnen-door-2fa-codes-te-social-engineeren.html
Als het gebeurt is zoals NOS heeft beschreven klinkt het niet alsof de gegevens volgens geldende industrie standaarden waren beveiligd. Medewerkers zijn niet goed opgeleid en waren te misleiden. Login was mogelijk vanaf een voor Odido onbekend apparaat. Klantenservice medewerkers konden ongelimiteerd klantgegevens inzien. Er was geen altijd actieve monitoring op ongebruikelijk gedrag.
Elk van deze punten had de hack kunnen voorkomen of beperken. Elk van deze punten is normaal.
(Ook ben ik niet blij dat mijn gegevens bij Salesforce staan. Welk bedrijf geeft vrijwillig zijn klantendatabase weg?)
Het enige wat ik mij, op grote afstand, zou kunnen voorstellen is dat je zou kunnen betuigen dat je je ID laat omwisselen omdat die gelekt is, en daar dan de kosten van verhaald (fotos+kosten zelf). Op verre afstand, want feitelijk is een ID nummer + vervaldatum niet voldoende om echt schade te kunnen doen mits er op een juiste manier geïdentificeerd wordt.
Dan kom je daarnaast natuurlijk ook nog in de discussie dat je ID überhaupt een beperkte geldigheidsduur heeft, dus zou er betoogd kunnen worden dat de vergoeding naar rato van nog resterende geldigheid is. Al met al een grote moeite voor weinig.
Eind vorig jaar kreeg Odido ook een boete voor het niet goed beveiligen van het aftapsysteem van onze inlichtingendiensten.
https://tweakers.net/nieuws/240462/odido-krijgt-1-komma-5-miljoen-euro-boete-voor-slechte-beveiliging-van-aftapsysteem.html
Is dit nog relevant? Schijnbaar is hun beveiliging al eerder zo lek als een mandje geweest en zijn ze daarvoor beboet.
Het is jammer dat er als consument op dit moment weinig te beginnen is. Ergens hoop ik dat er een massaclaim wordt opgestart zodat gedupeerde consumenten toch nog iets kunnen krijgen, als is het alleen maar juridische genoegdoening tegenover een bedrijf dat verder hartstikke laks is.
Het aftapsysteem zal fysiek compleet losstaan van het klantencontactsysteem. Het gaat technisch gezien om twee onafhankelijke systemen. Wanneer we kijken naar de organisatorische kant moet ik toch concluderen dat men daar steken heeft laten vallen.
Het zou goed zijn als er een forfaitaire schadevergoeding komt bij datalekken. Een tientje voor NAW + email, nog een tientje voor het telefoonnummer. Niet genoeg om het bedrijf failliet te krijgen, maar wel genoeg om een serieus budget aan beveiliging toe te kennen.
Waar ik me over verbaas is dat het in Salesforce schijnbaar voor klantenservicemedewerkers mogelijk is om in bulk alle data te downloaden. Waarom zit die functie ingebouwd en ontsloten voor klantenservicemedewerkers? Of als het alleen stuk-voor-stuk inzien was, dan zou ik van een modern systeem rode vlaggen verwachten als er duizenden/ honderdduizenden/ miljoenen records worden bekeken ook als het een geautoriseerd medewerker zou zijn.
@Merien: “Medewerkers zijn niet goed opgeleid en waren te misleiden”. Geen enkele bewustwordingstraining gaat 100% werken. Geen enkele maatregel werkt 100%. Dat gezegd hebbende, het ging (hopelijk) vast niet meteen mis bij de eerste de beste poging, ik zou dan ook zorgen hebben over de vele medewerkers die er niet zijn ingetrapt maar het ook niet hebben gemeld. Of erger: ze het wel melden maar men er niets mee deed.
Ik bedoel daarmee ook dat misleiding een mogelijke route was voor de hackers. Als je een USB token moet hebben en anders kan je niet inloggen dan was de misleiding route veel moeilijker geworden.
Als dat systeem gebruikt wordt voor de helpdesk dan lijkt al die informatie met uitzondering van het ID-kaartnummer mij relevant. Als ik bel met een vraag over een mislukte incasso of mijn rekeningnummer wil wijzigen dan is het handig dat de helpdesk dat kan inzien en wijzigen, daar zijn ze voor. Problematischer vind ik dat die informatie ook vaak gebruikt wordt om te controleren of ik wel echt ben wie ik zeg; je kent het wel, men vraagt om de laatste paar cijfers van je rekeningnummer en je geboortedatum of zo.
En daarbij, hoe zou dat helpen? De informatie is al gelekt, nu opzeggen maakt dat niet ongedaan. Het enige dat het doet is dat je bij een ander bedrijf diezelfde informatie moet achterlaten. Je zou kunnen zeggen dat als maar genoeg mensen opzeggen dit een financiele prikkel geeft om zorgvuldiger met gegevens om te gaan, maar die prikkel gaat net zo goed op voor odido. Het is ergens om moedeloos van te worden, er is zo weinig wat je kan doen dat echt helpt.
Ik heb het al eens eerder gezegd, maar wat in elk geval voor een deel helpt is om voor elk bedrijf of elk account een apart emailadres te gebruiken. Als ik mail krijg van “bol.com” op het adres dat ik exclusief gebruik voor odido dan weet ik dat het phising is, ongeacht wat er ook in staat of hoe overtuigend het ook lijkt.
Ja dat gaat over dataminimalisatie, maar kun je het niet anders zien? Is het feit, dat medewerkers die dat niet nodig hadden toch bij die data konden, op zichzelf al geen datalek?
In dat geval kun je stellen dat Odido al jaren in een permanente dataleksituatie gewerkt heeft, en zou je best de DPO ter verantwoording kunnen roepen. Dat maakt voor deze case niet meer uit, maar dan zullen DPOs bij andere bedrijven in de toekomst wel beter hun best doen.
En ik lees ook her en der op Internet dat Odido de gegevens langer bewaarde dan zij volgens haar privacyreglement mocht doen. Personen die zeggen al 5-10 jaar geen klant meer te zijn zouden betrokken zijn in het datalek, terwijl Odido verklaart de gegevens van ex-klanten na twee jaar te wissen.
Als men bij gegevens kon die men voor het werk niet nodig had, zou ik zeggen dat dat wel problematisch is.
Naast minimale gegevensverwerking is er ook nog het beginsel van integriteit en vertrouwelijkheid (artikel 5, lid 1 aanhef en onder f AVG):
Iets met functiescheiding, rollen en rechten.
Als je het niet nodig hebt voor je werk, is er dan niet sprake van een ongeoorloofde of onrechtmatige verwerking?
In hoeverre veranderen er dingen nu blijkt dat Odido zich niet houdt aan haar eigen privacy verklaring (data max 2 jaar bewaard, tenzij nodig voor belastingdienst, dan 7 jaar) en is gebleken dat er zelfs nog data van klanten van 10 jaar geleden in de systemen staat?
Zelfs als de rechter een en ander als onrechtmatige daad aanmerkt zijn we weer terug bij punt 1: Hoe groot is je schade?
Misschien geen individuele schade, maar misschien is dit wel een mooie casus om flinke boetes uit te delen, of sancties voor de DPO persoonlijk. (Een accountant die zijn plicht niet doet wordt ook gestrafd, waarom dan een DPO niet?)
Er is ook geen individuele schade als een bedrijf landbouwgif in de Waal laat stromen, maar toch wordt dat wel bestrafd.
Ik zie dat jullie geen eerstehandervaring hebben in de klantenservice. In de praktijk zijn dit mensen die voor minimumloon werken, en onder grote druk staan van hun chef om zoveel mogelijk telefoontjes per uur af te handelen. Als je ruim honderd telefoontjes per dag afhandelt, en je zo’n beetje ieder uur persoonsgegevens opvraagt en verwerkt, zonder kans om op de maatschappelijke ladder te stijgen, dan is dat een heel andere wereld dan waar de lezers van dit blog zich in bevinden.
Ik weet niet precies of je reageert op het commentaar van iemand in het bijzonder of niet, maar ik lees nergens in de commentaren enig verwijt naar de helpdeskmedewerkers zelf.
De gebrekkige opleiding en inwerktijd zijn verwijten aan Odido, niet aan die mensen. Ook het veel langer bewaren dan noodzakelijk en dan men eerder stelde te doen is een verwijt aan het management van odido, niet aan de helpdeskmedewerkers.