image

RDC mag miljoenen Nederlandse autobezitters niet over datalek informeren

vrijdag 26 maart 2021, 12:29 door Redactie, 32 reacties

Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. RDC verzorgt ict-diensten voor autobedrijven. Zo kunnen garages klanten automatisch een e-mail sturen als het tijd is voor hun APK-keuring. Gisteren meldde de NOS dat allerlei privédata van autobezitters bij RDC is buitgemaakt en op internet te koop wordt aangeboden.

Volgens de persoon die de gestolen data op internet aanbiedt gaat het om de gegevens van 7,3 miljoen mensen. Verder bevat de aangeboden dataset 2,5 miljoen e-mailadressen, aldus RDC. Het ict-bedrijf heeft meer informatie over het incident gegeven. Op de vraag van autobezitters of hun data is buitgemaakt zegt RDC dat de kans aanwezig is dat dit het geval is. "De verkoper van de voertuig- en persoonsgegevens zegt over 60 procent van door ons verwerkte data te beschikken."

Hoewel de data bij RDC is gestolen mag het bedrijf getroffen consumenten niet over het datalek informeren. "Dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten", zo stelt het bedrijf.

RDC laat verder weten dat autobedrijven niet verplicht zijn om hun klanten over het datalek te informeren, maar dat dit wel wordt aangeraden. "Aangezien het incident in de landelijke pers geweest is, is een proactieve benadering van klanten aan te raden." Hoe de gegevens konden worden buitgemaakt wordt onderzocht en RDC geeft aan de onderzoeksresultaten te zullen delen. Verder is het bedrijf in contact met de politie om aangifte te doen.

Reacties (32)
26-03-2021, 12:42 door Anoniem
Zo kunnen garages klanten automatisch een e-mail sturen als het tijd is voor hun APK-keuring.

Van de RDW gewoon een brief gekregen voor APK-keuring.

De e-mail spamboer RDC is in dit opzicht totaal niet nodig.
26-03-2021, 12:53 door Anoniem
Ik twijfel of de redenering dat zij slechts verwerker zijn wel klopt. Voor zover ik begrepen heb heeft het bedrijf zelfstandig data van de RDW gekregen en niet voor elk individueel garagebedrijf de data opgevraagd die de klanten van dat garagebedrijf betreft. Volgens mij ben je dan dus een controller.
26-03-2021, 13:01 door MrMerlin
Dat de RDC niet zelfstandig kan melden klopt in het kader van het feit dat RDC verwerker is. Echter de verwerkersverantwoordelijken kunnen de RDC vragen om namens hen een melding aan betrokkenen te doen.

Ik ben het er niet mee eens dat de autobedrijven niet verplicht zijn om hun klanten te informeren.

Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. In deze gevallen moet u ervan uit gaan dat u het datalek moet melden aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen.

Ik zie hier zeker de kans op materiële schade. Het voorbeeld van "nu weten criminelen waar dure auto's staan en welk kenteken ze hebben" is volgens mij "kan leiden tot materiële schade".
26-03-2021, 13:09 door Anoniem
APK-keuring

Wordt hier de keuring gekeurd?
26-03-2021, 13:14 door Anoniem
Lekker dan. We mogen wel geld aan je verdienen. Maar als er iets fout gaat dan moet een ander het oplossen.
Dit kan nooit de bedoeling zijn van de wetgeving. Het lijkt meer op een truuk om onder de kosten vandaan te komen.

Terzijde, ik heb al van een bekend banden bedrijf de mail gehad dat ze geen zaken doen/deden met RDC en dat mijn gegevens via hun niet zijn gelekt. Ze kan het dus ook. Verantwoordelijkheid nemen om duidelijk te maken dat je gevens bij hun niet gelekt zijn.

Al heb ik niet de illusie dat ik niet in de lijst sta. 7 miljoen addressen en 8.7 miljoen autos (Jan 2020/CBS). Dat is dus bijna iedere autobezitter.
26-03-2021, 13:41 door Anoniem
"Aangezien het incident in de landelijke pers geweest is, is een proactieve benadering van klanten aan te raden." Lekkere instelling daar bij RDC.
Anders hadden ze het dus blijkbaar liever stilgehouden.
26-03-2021, 14:16 door Anoniem
Door Anoniem: Al heb ik niet de illusie dat ik niet in de lijst sta. 7 miljoen addressen en 8.7 miljoen autos (Jan 2020/CBS). Dat is dus bijna iedere autobezitter.

Waar heb je deze data vandaan?

Volgen het artikel hierboven:
Volgens de persoon die de gestolen data op internet aanbiedt gaat het om de gegevens van 7,3 miljoen mensen. Verder bevat de aangeboden dataset 2,5 miljoen e-mailadressen, aldus RDC.

Volgens het CBS waren er in 2019 7,9 miljoen huishoudens in Nederland en ruim 8,7 miljoen auto's.
Ongeveer 1 auto per 2 personen (van 18 jaar of ouder).
Conclusie: niet alle huishoudens (adressen) hebben een auto. Kijk maar om je heen: hoeveel huishoudens hebben meer dan 1 auto.

Een kwart van de huishoudens zou meer dan 2 auto's hebben, en een kwart geen auto.

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwju0NDqhM7vAhXmx4UKHeymCpEQFjACegQIAxAD&url=https%3A%2F%2Fwww.cbs.nl%2F-%2Fmedia%2Fimported%2Fdocuments%2F2012%2F14%2F2012-k1-v4-p34-art.pdf%3Fla%3Dnl-nl&usg=AOvVaw3FVcrcDf_iH_2dY4kDvV25

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwju0NDqhM7vAhXmx4UKHeymCpEQFjAFegQIBRAD&url=https%3A%2F%2Fwww.cbs.nl%2Fnl-nl%2Fnieuws%2F2018%2F25%2Fruim-kwart-huishoudens-heeft-geen-motorvoertuig&usg=AOvVaw1puZj-nX7VTK99nEXZQTEN


Dus waar komen je 7 miljoen adressen vandaan?
Bron svp.
26-03-2021, 14:20 door Anoniem
Alsof ik zit te wachten op iemand die loopt te hijgen om de APK daar te de gaan doen...
Die reclame heeft slechts 1 gevolg: daar dus niet.
Ik zit niet op dergelijke 'service' te wachten.
26-03-2021, 14:30 door Anoniem
wat je niet weet schaad je niet
26-03-2021, 15:25 door Anoniem
Door Anoniem: wat je niet weet schaad je niet
Was dat maar waar.
26-03-2021, 15:33 door Anoniem
Door Anoniem: Lekker dan. We mogen wel geld aan je verdienen. Maar als er iets fout gaat dan moet een ander het oplossen.
Dit kan nooit de bedoeling zijn van de wetgeving. Het lijkt meer op een truuk om onder de kosten vandaan te komen.

Terzijde, ik heb al van een bekend banden bedrijf de mail gehad dat ze geen zaken doen/deden met RDC en dat mijn gegevens via hun niet zijn gelekt. Ze kan het dus ook. Verantwoordelijkheid nemen om duidelijk te maken dat je gevens bij hun niet gelekt zijn.

Al heb ik niet de illusie dat ik niet in de lijst sta. 7 miljoen addressen en 8.7 miljoen autos (Jan 2020/CBS). Dat is dus bijna iedere autobezitter.
RDC verdient geen geld aan jou, maar verdient geld door diensten aan autobedrijven te leveren. De autobedrijven verdienen geld aan jou doordat ze je emails sturen waarop jij hopelijk naar hen gaat voor bv. APK of onderhoud. En van de te verwachten winst daarop betalen ze het RDC. Is dus geen truuk van het RDC, maar nalatigheid van autobedrijven als die je niet informeren. De autobedrijven blijven uiteindelijk als "houder" van de gegevens verantwoordelijk.
26-03-2021, 15:38 door Anoniem
UIt de berichtgeving van het RDC (via de link): "In het kader van de AVG-wetgeving en zorg voor hun klanten is het goed als autobedrijven kunnen aantonen alles in het werk gesteld te hebben om hun klanten te informeren. "

Ik hoop dat de autobedrijven zich realiseren dat zij verantwoordelijk zijn!

Overigens werd gister ook op het journaal gemeld dat er soms geboortedata en andere gegevens in de database stonden. Het blijft mij verbazen dat enerzijds bedrijven dit soort gegevens aan de klanten vragen, en anderzijds mensen dit soort gegevens gewoon afgeven! Wat heeft een garage met mijn geboortedatum te maken, niets toch?! Bedrijven die informatie vragen die wat mij betreft niet nodig is krijgen of nonsense data, of ik vertrek er helemaal. Maar kennelijk zit niet iedereen zo in de wedstrijd...

Q
26-03-2021, 16:29 door Anoniem
Nee, RDC moet ZELF iederen informeren, ze hebben namelijk ook data van mensen die niets met de autobedrijven te maken hebben.. deze zouden immers niet geinformeerd kunnen worden.
Gewoon een kwalijke club die gesloten moet worden door mismanagement net als die digicert club.
26-03-2021, 16:57 door karma4
Door Anoniem: Nee, RDC moet ZELF iederen informeren, ze hebben namelijk ook data van mensen die niets met de autobedrijven te maken hebben.. deze zouden immers niet geinformeerd kunnen worden.
Gewoon een kwalijke club die gesloten moet worden door mismanagement net als die digicert club.
De GDPR stelt uitdrukkelijk dat de meldingsplicht bij verwerkingsverantwoordelijke ligt niet bij de verwerker.
KPN hoeft ook niet iedereen te informeren als er ergens telefoonnummers niet goed gebruikt zijn.
Ben benieuwd hoe ze de melding van een telefoonnummer in een lift naar het AP moeten doorgeven. Voor kentekens, er zijn aanhangers met kentekens in gebruik bij bedrijven.
26-03-2021, 17:05 door Anoniem
Door Anoniem:
Overigens werd gister ook op het journaal gemeld dat er soms geboortedata en andere gegevens in de database stonden. Het blijft mij verbazen dat enerzijds bedrijven dit soort gegevens aan de klanten vragen, en anderzijds mensen dit soort gegevens gewoon afgeven! Wat heeft een garage met mijn geboortedatum te maken, niets toch?! Bedrijven die informatie vragen die wat mij betreft niet nodig is krijgen of nonsense data, of ik vertrek er helemaal. Maar kennelijk zit niet iedereen zo in de wedstrijd...

Q

Als jij een auto koopt en je geeft de garage de taak om die op jouw naam te zetten dan moet de garage een copie maken van je rijbewijs (dat is nodig bij de tenaamstelling) en daar staat ook je geboortedatum op.
Kennelijk zijn er garages die deze gegevens vervolgens meteen even invoeren in hun bestand.
26-03-2021, 19:31 door Anoniem
Ik blijf het waanzin vinden dat de RDW persoonlijke gegevens mag doorverkopen aan een derde partij.
26-03-2021, 19:43 door Anoniem
Door Anoniem: Ik blijf het waanzin vinden dat de RDW persoonlijke gegevens mag doorverkopen aan een derde partij.

De R in RDW zegt alles.
26-03-2021, 20:17 door Anoniem
In hun FAQ ook wel bijzonderheden:

Vraag 3: Hoe zijn de data gelekt?
We onderzoeken nu samen met Fox-IT hoe de gegevens wel buiten ons domein terecht zijn gekomen.
Vraag 7: Zijn er onbevoegden in de omgeving van RDC geweest?
Dat weten we nog niet. Daar doen we nu samen met Fox-IT onderzoek naar.

Dus ok, check, nog even zoeken wat het is....

Vraag 8: Wat betekent dit voor de software van RDC?
Op dit moment is onze software gewoon actief én veilig.

Huh... hoezo, veilig... dat waren ze toch nog aan het onderzoeken?

Ik heb trouwens van een van mijn bandenleveranciers al een mail gehad: dat mijn data bij hun gewoon veilig staat, ze deden hun eigen administratie. Kijk: dat is pas marketing :)
26-03-2021, 20:30 door johanw
Door Anoniem: Als jij een auto koopt en je geeft de garage de taak om die op jouw naam te zetten dan moet de garage een copie maken van je rijbewijs (dat is nodig bij de tenaamstelling) en daar staat ook je geboortedatum op.
Kennelijk zijn er garages die deze gegevens vervolgens meteen even invoeren in hun bestand.
Beslist. Dat ze gegevens die handig kunnen zijn opslaan snap ik nog - zeker in de 2e hands markt levert men de auto gewoonlijk af met nieuwe apk keuring, en dat ze dan een mailtje sturen dat de apk dreigt te verlopen is wel handig. De RDW doet dat ook wel maar rijkelijk aan de late kant heb ik gemerkt - toen ik dat een keer niet zelf bijgehouden had moest ik op stel en sprong naar de garage die me er nog tussen duwde om hem op tijd gekeurd te krijgen.

Maar mijn garage heeft ook eens zaken gedaan met zo'n soort bedrijf. Wat een puinhoop[ was dat zeg: ik kreeg berichten dat mijn apk zou verlopen terwijl dat nog lang niet zo was (orde 6 maanden verschil), en ik kreeg berichten voor auto's die ik al lang niet meer had. De nieuwe geragehouder die dat bedrijf overnam heeft dat bedrijf dan ook gauw geloosd en houdt het zelf bij.
26-03-2021, 20:45 door Anoniem
Waarom niet mensen hebben het recht het toch te weten,als hun privacy op straat komt te liggen?.
Dat is democratie,als mensen van niks weten dat alles op straat ligt dan is dat zeer ernstig in deze samenleving.
26-03-2021, 21:09 door Anoniem
Dit is toch dezelfde situatie als Ticketcounter? Zij hadden data gelekt, maar je kreeg een mail van de dierentuin zelf dat jouw gegevens waren gelekt ... logisch, ik geef mijn gegevens aan de dierentuin, dan wil ik van hen ook horen dat daar iets mis ging!
26-03-2021, 21:30 door Anoniem
Volgens de persoon die de gestolen data op internet aanbiedt gaat het om de gegevens van 7,3 miljoen mensen. Verder bevat de aangeboden dataset 2,5 miljoen e-mailadressen, aldus RDC.

Zo aan het verhaal te lezen waren deze gegevens dus in platte tekst (niet-versleuteld) opgeslagen.
Wie zaken deed met het RDC, kan maar beter met een bedrijf in zee gaan dat wél verstand van beveiligen heeft.
26-03-2021, 23:44 door Hyper
Door Anoniem:
APK-keuring

Wordt hier de keuring gekeurd?

Algemeen periodiek wel ja.
27-03-2021, 02:06 door Anoniem
Door Anoniem:
APK-keuring

Wordt hier de keuring gekeurd?

Ook dat tijdens de APK wordt ook een steekproef genomen door de RDW of de keuring wel goed gaat.
27-03-2021, 10:13 door Anoniem
Door Anoniem: In hun FAQ ook wel bijzonderheden:

Vraag 3: Hoe zijn de data gelekt?
We onderzoeken nu samen met Fox-IT hoe de gegevens wel buiten ons domein terecht zijn gekomen.
Vraag 7: Zijn er onbevoegden in de omgeving van RDC geweest?
Dat weten we nog niet. Daar doen we nu samen met Fox-IT onderzoek naar.

Ja, ook lekker om met een niet EU partner onderzoek te doen.

Kunnen we overheid en bedrijven niet verplichten om voor dit soort datalekonderzoek met een EU bedrijf in zee te gaan?
27-03-2021, 10:26 door Anoniem
Kreeg vandaag bericht van mijn garage dat mijn data waarschijnlijk ook is gelekt.
Gaat om E-mailadres, NAW-gegevens, telefoonnummer, kenteken, datum laatste garagebezoek en kilometerstand.
27-03-2021, 12:00 door Anoniem
Door Anoniem:
Volgens de persoon die de gestolen data op internet aanbiedt gaat het om de gegevens van 7,3 miljoen mensen. Verder bevat de aangeboden dataset 2,5 miljoen e-mailadressen, aldus RDC.

Zo aan het verhaal te lezen waren deze gegevens dus in platte tekst (niet-versleuteld) opgeslagen.
Wie zaken deed met het RDC, kan maar beter met een bedrijf in zee gaan dat wél verstand van beveiligen heeft.

Hoe de gegevens zijn opgeslagen maakt niks uit want uiteindelijk is er toch altijd een mogelijkheid om die weer leesbaar
naar boven te krijgen, dat is immers het doel van de dienst. Versleutelen voegt niks toe aan de veiligheid als het
systeem misbruikt wordt door een medewerker of de toegang voor de rechtmatige gebruiker gekraakt is.
27-03-2021, 12:17 door Anoniem
Hoe de gegevens zijn opgeslagen maakt niks uit want uiteindelijk is er toch altijd een mogelijkheid om die weer leesbaar
naar boven te krijgen, dat is immers het doel van de dienst. Versleutelen voegt niks toe aan de veiligheid als het
systeem misbruikt wordt door een medewerker of de toegang voor de rechtmatige gebruiker gekraakt is.
Dezelfde drogredenen die je hoort dat het op slot doen van je voordeur niets zou toevoegen aan de inbraakbeveiliging.
Dit soort onzin over versleuteling hoor ik wel vaker.
28-03-2021, 20:56 door Wim ten Brink
Ondertussen van KwikFit het volgende bericht ontvangen:

Beste meneer ten Brink,
Door een datalek bij RDC zijn veel persoonsgegevens op straat komen te liggen.
In de media wordt aangegeven dat de data afkomstig is van autogarages en dealers.


Via deze mail willen we je informeren dat KwikFit géén gebruik maakt van diensten van RDC. Het gaat hier dus niet om persoonlijke gegevens die van KwikFit afkomstig zijn.
Wel netjes om te weten.
Van de ANWB nog geen bericht ontvangen. Daarnaast weet ik dat mijn gegevens bekend zijn bij enkele dealers die daar geen toegang toe behoren te hebben en dus niets van zich zullen laten horen...
Want een probleem bij autodealers is dat ze wel eens failliet gaan en het klantenbestand vervolgens wordt doorverkocht en mogelijk ook stiekem wordt meegenomen naar andere bedrijven. Dus ik vind het wel jammer dat RDC niet mag vertellen welke bedrijven nu allemaal mijn data in handen hebben...
29-03-2021, 14:51 door Anoniem
Door Wim ten Brink: Ondertussen van KwikFit het volgende bericht ontvangen:

Beste meneer ten Brink,
Door een datalek bij RDC zijn veel persoonsgegevens op straat komen te liggen.
In de media wordt aangegeven dat de data afkomstig is van autogarages en dealers.


Via deze mail willen we je informeren dat KwikFit géén gebruik maakt van diensten van RDC. Het gaat hier dus niet om persoonlijke gegevens die van KwikFit afkomstig zijn.
Wel netjes om te weten.
Van de ANWB nog geen bericht ontvangen. Daarnaast weet ik dat mijn gegevens bekend zijn bij enkele dealers die daar geen toegang toe behoren te hebben en dus niets van zich zullen laten horen...
Want een probleem bij autodealers is dat ze wel eens failliet gaan en het klantenbestand vervolgens wordt doorverkocht en mogelijk ook stiekem wordt meegenomen naar andere bedrijven. Dus ik vind het wel jammer dat RDC niet mag vertellen welke bedrijven nu allemaal mijn data in handen hebben...
Tja, dat is wel een leuke uitbreiding van de AVG :-)
"Een gegevensverwerker mag geen gegevens in bezit hebben waarvoor geen expliciete verwerkingsverantwoordelijk bestaat. Bij een databreach moet de gegevensverwerker alle dataverantwoordelijken op de hoogte brengen inclusief een zo volledig mogelijk overzicht welke data gecompromitteerd is" ==> dan kan een verwerkingsverantwoordelijke geen "dat wist ik niet" claimen
en
"Een gegevensverwerker die gegevens in bezit heeft waarvoor geen contract met een verwerkingsverantwoordelijke, is daarmee verwerkingsverantwoordelijke en alleen al voor het in bezit hebben van deze gegevens beboet worden" ==> dat zal zorgen voor een betere data hygiene en vernietigen van data.
30-03-2021, 16:18 door Keystone
Hierbij de melding van Toyota:
Mogelijk heeft u afgelopen week in de media vernomen dat er een groot datalek van voertuig- en persoonsgegevens van klanten van autobedrijven is geconstateerd. Dat datalek heeft plaatsgevonden bij RDC. RDC is een dochteronderneming van de verzekeringsmaatschappij Bovemij en is actief in databeheer en softwareontwikkeling voor autobedrijven.

Wat is er aan de hand?
Ook wij maken gebruik van software van RDC. De kans is daarmee aanwezig dat de voertuig- en persoonsgegevens die u bij ons heeft achtergelaten, gelekt zijn via onze samenwerking met RDC.

RDC heeft een expert op het gebied van cybersecurity, de firma Fox-IT gevraagd te onderzoeken hoe de gegevens buiten ons beheer terecht zijn gekomen. Dat onderzoek is nog niet afgerond.
RDC heeft een melding bij de Autoriteit Persoonsgegevens gedaan.

Let op verdachte verzoeken.
Indien u wordt benaderd door voor u onbekende partijen, die bij u thuis technische updates dan wel andere werkzaamheden aan uw auto willen uitvoeren of u vragen de auto ergens naar toe te brengen, ga daar niet op in! Wij zullen u nooit op deze wijze benaderen over technische updates en werkzaamheden.

Wilt u een klacht indienen?
Uiteraard kunt u als consument over deze kwestie ook een klacht indienen bij de Autoriteit Persoonsgegevens. Dat kunt u doen op de website: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap

U kunt dat ook schriftelijk doen op het volgende adres:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ Den Haag

Heeft u vragen over dit datalek?
Als u vragen heeft over dit datalek willen wij u verwijzen naar de servicedesk van RDC. U kunt deze desk bereiken op werkdagen van 8.00 uur tot 17.30 uur en op zaterdag van 9.00 uur tot 17.00 uur. Het telefoonnummer is 020 - 644 5553.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.