image

Bunq en Unicef lekken gebruikersgegevens door e-mailfout

vrijdag 13 september 2019, 10:10 door Redactie, 6 reacties

De Nederlandse bank Bunq en Unicef hebben door een fout met e-mail de gegevens van gebruikers gelekt. In het geval van Bunq ging het om de gegevens van meer dan tachtig gebruikers die feedback naar de bank hadden gestuurd.

De bank liet in een e-mail aan deze gebruikers weten dat het ging stoppen met het e-mailadres in kwestie, maar had de e-mailadressen in het To-veld geplaatst. Daardoor waren de e-mailadressen van 82 gebruikers voor iedereen zichtbaar, zo meldt Iwan Verrips van BNR op Twitter. In een excuusmail meldt Bunq dat het de interne procedures gaat aanpassen om herhaling te voorkomen en vraagt de gebruikers in kwestie om de e-mail te verwijderen.

De bank verklaart tegenover BNR dat het geen melding bij de Autoriteit Persoonsgegevens hoeft te doen omdat het alleen om e-mailadressen gaat. In mei van dit jaar verstuurde de privacytoezichthouder zelf een e-mail waarbij het per ongeluk via het CC-veld de e-mailadressen van tientallen journalisten en redacties lekte. De Autoriteit Persoonsgegevens meldde het datalek vervolgens bij zichzelf.

Tegenover Het Parool liet de toezichthouder destijds weten dat een soortgelijk lek niet altijd reden is om melding te maken. "Over of dit een datalek is waarbij een meldplicht geldt, valt nog te discussiëren. Omdat wij hierin zo transparant mogelijk wilden zijn hebben we de fout wel gewoon gemeld", aldus Sandra Loois, woordvoerder van de Autoriteit Persoonsgegevens.

Unicef

In het geval van Unicef werden de persoonlijke gegevens van meer dan 8200 gebruikers van een online leerportaal naar bijna 20.000 gebruikers van hetzelfde portaal gestuurd. Unicef biedt via het Agora-portaal allerlei trainingen over kinderrechten, humanitaire acties, onderzoek en andere zaken. Via het portaal is mogelijk voor Unicef-medewerkers om rapportages over gebruikers te maken en die via e-mail te versturen.

Door een fout van een medewerker werd een spreadsheet met informatie van 8253 Agora-gebruikers, waaronder namen, e-mailadressen, standplaatsen, geslacht, organisatie, manager, contractvorm en andere profielgegevens, naar bijna 20.000 andere gebruikers gestuurd. Na ontdekking van het datalek heeft Unicef de mogelijkheid om rapportages via Agora te versturen geblokkeerd, zo laat het tegenover Devex weten.

Gebruikers zijn in een vervolgmail gevraagd om de e-mail en het bestand met persoonsgegevens te verwijderen. Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.

Reacties (6)
13-09-2019, 10:27 door Anoniem
Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.
Ik dacht dat de AVG (en andere) voor iedereen binnen de EU werd opgelegd, ook wanneer de organisatie niet binnen de EU zou zetelen.
13-09-2019, 11:06 door Anoniem
Door Anoniem:
Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.
Ik dacht dat de AVG (en andere) voor iedereen binnen de EU werd opgelegd, ook wanneer de organisatie niet binnen de EU zou zetelen.
.

Tenzij het een partij betreft die een vorm van immuniteit geniet, zoals het geval is bij de Verenigde Naties.

Zie "Verdrag nopens de voorrechten en immuniteiten van de Verenigde Naties, Londen, 13-02-1946, Artikel 2, Sectie 2.
13-09-2019, 11:23 door Anoniem
Me dunkt dat Unicef wel onder de GDPR valt. Grappig dat ze zelf wel even bepalen dat ze het lek niet hoeven te melden.
13-09-2019, 11:33 door Anoniem
Door Anoniem:
Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.
Ik dacht dat de AVG (en andere) voor iedereen binnen de EU werd opgelegd, ook wanneer de organisatie niet binnen de EU zou zetelen.

Nee, internationale organisaties, dus ook hun lokale vestigingen in de EU, vallen niet onder de AVG.
Zie art. 2(2)(a) AVG. Zie ook: https://www.ica.org/sites/default/files/09-2018-05-25_-_44th_sio_meeting-_gdpr_and_international_organisations.pdf
13-09-2019, 14:13 door SPer
Bunq en Unicef lekken gebruikersgegevens door e-mailfout
Niks geen e-mailfout, e-mail is hier niet schuldig aan het is een menselijke fout. Zou mooi zijn als de diverse e-mail client zouden waarschuwen als er meer dan 5 email adressen op de To of cc. lijst staan. (net als bij versturen zonder subject : are you sure) .

Dit kan beschouwd worden als een RFC ;-)
16-09-2019, 17:04 door Anoniem
Door SPer:
Bunq en Unicef lekken gebruikersgegevens door e-mailfout
Niks geen e-mailfout, e-mail is hier niet schuldig aan het is een menselijke fout.
Als ik een rekenfout maak wil het niet zeggen dat het wiskundige concept van rekenen het even niet deed, het wil zeggen dat ik een menselijke fout maakte bij het toepassen ervan. Zo kan je het woord e-mailfout ook gebruiken voor een menselijke fout bij het toepassen van e-mail.
Zou mooi zijn als de diverse e-mail client zouden waarschuwen als er meer dan 5 email adressen op de To of cc. lijst staan. (net als bij versturen zonder subject : are you sure) .
Daar ben ik het roerend mee eens. Het is bizar dat makers van e-mailsoftware zich in het geheel niet geroepen voelen om dit mogelijk te maken, terwijl het een doodsimpele en voor de hand liggende aanpassing zou zijn. En dát vind ik wel een e-mailfout in de zin van een fout in de software.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.