Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Waarom mag RDC Nederlandse autobezitters niet over het recente datalek informeren?

woensdag 31 maart 2021, 10:15 door Arnoud Engelfriet, 15 reacties
Laatst bijgewerkt: 01-04-2021, 19:54

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat de RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, getroffen personen niet over het datalek mag informeren. Kun je uitleggen waarom dat juridisch niet mag?

Antwoord: Het datalek is enorm: het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk.

De RDC biedt het product CaRe-Mail aan. Dat maakt de klantendatabase van een dealermanagementsysteem interactief waardoor klanten individueel door het garagebedrijf benaderd kunnen worden. "CaRe-Mail verzamelt dagelijks de nieuwe gegevens uit je systeem. We plaatsen een kastje in jouw eigen lokale netwerk dat nieuwe en gewijzigde gegevens verzamelt en een kopie daarvan verzendt naar CaRe-Mail."

Kennelijk is de constructie dat RDC daarbij optreedt als verwerker in opdracht van de verwerkingsverantwoordelijke, de garagebedrijven.

En nee, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de garagebedrijven. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de beslissing van de garagebedrijven.

Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. Het garagebedrijf meldt het aan jou, en als je dan claims hebt dan dien je die bij het garagebedrijf in. Die lost het intern maar op met RDC.

In een eerste versie van deze juridische vraag stond de RDW als verwerkingsverantwoordelijke vermeld, dat had garagebedrijven moeten zijn. Dit is aangepast.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
Is een data protection impact assessment (DPIA) ook verplicht voor interne systemen?
Reacties (15)
Reageer met quote
31-03-2021, 11:13 door Anoniem
En nee, dat is niet hetzelfde als NAW-gegevens, e-mailadressen, telefoonnummers, geboortedata et cetera. Kennelijk levert de RDW ruwe data aan RDC, die dan gaat anonimiseren? Dat lijkt me risicovol en onnodig, maar een andere verklaring heb ik niet.
Ik krijg eerder de indruk dat de klanten van RDC zelf deze informatie "terug" leveren om de database aan te vullen.
Dwz je geeft je informatie aan je garage (logisch natuurlijk, je wilt dat ze je bellen als je auto klaar is, dat je ze kunt mailen met een vraag, enz) en die levert die info weer aan RDC die het opslaan in hun database.
Wat precies het belang van de garage daarbij is ontgaat me een beetje, dit zou toch hooguit een concurrent bevoordelen zou ik denken.
Maar als het niet zo werkt, hoe dan wel? RDW heeft bij mijn weten niet eens mijn telefoonnummer of e-mail adres. Hoe zouden ze daar aan moeten komen?
Reageer met quote
31-03-2021, 11:21 door Anoniem
Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Reageer met quote
31-03-2021, 12:35 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging?
Ik ben bang van wel.
Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Je kunt in Nederland geen compensatie eisen voor dit soort emotionele schade.
Als het nou zo was dat bijv. door dit lek jouw auto op andermans naam was gezet en die hem verkocht heeft en jij daar 20.000 euro schade door hebt, DAN was je in de positie om schadevergoeding te eisen.
Maar "hullie hebben mijn adres" dat is geen schade waar je een bonnetje van kunt overleggen en die krijg je dus niet gecompenseerd.

Ik denk dat dit gewoon even een fase is waar we doorheen moeten. Als alle gegevens van alle Nederlanders op straat liggen dan is er geen incrementele schade meer en geen specifieke situatie voor bepaalde mensen. Dan hoeven we ook niet meer iedere keer dat er een bedrijf gehacked is te gaan jammeren dat er gegevens gelekt waren, want die waren toch al elders gelekt.
Reageer met quote
31-03-2021, 13:03 door Anoniem
Ik heb mijn dealer aangeschreven m.b.t. de gelekte gegevens. Ben wel benieuwd wat ze allemaal bewaren...
Ondertussen maar de autosleutels in een melkbus ;)
Reageer met quote
31-03-2021, 14:18 door Anoniem
Ik ga er vanuit dat hier gewoon (na 100 jaar trekken aan de VVD) gewoon wetgeving uit komt dat je je klanten die last hebben van een datadiefstal gratis 10 jaar verzekerd bent voor de financiele gevolgen van deze data diefstal.
Reageer met quote
31-03-2021, 15:21 door Anoniem
Door Anoniem: Ik ga er vanuit dat hier gewoon (na 100 jaar trekken aan de VVD) gewoon wetgeving uit komt dat je je klanten die last hebben van een datadiefstal gratis 10 jaar verzekerd bent voor de financiele gevolgen van deze data diefstal.
Dat zal dan wel 1 centrale verzekeringsvorm moeten zijn vergelijkbaar met bijvoorbeeld een zorgverzekering.
Dwz je wordt slachtoffer van een dergelijke data diefstal en je doet daar je claim (onderbouwd met je werkelijke schade) en krijgt die dan uitgekeerd.
Immers het zal (zeker op den duur) onmogelijk zijn om te bewijzen van WELKE datadiefstal jij het slachtoffer bent geworden, dus als er op de een of andere manier een traject is van datadiefstal->verzekeraar->claim waarbij jij bij je claim bij DIE specifieke verzekeraar moet aantonen dat jij slachtoffer bent van een datalek wat DAAR is ondergebracht ter verzekering, dan wordt dat een kansloze zaak.
Reageer met quote
31-03-2021, 15:59 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Er is wel een verschil tussen wie het datalek moet melden (het atwoord op deze vraag) en of een verwerker binnen de AVG een boete opgelegd kan worden.
Reageer met quote
31-03-2021, 17:02 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.

Precies. Of emigreren naar een ander land.. oh nee daar is het ook niet op orde.

Helaas werkt het wel zo in de praktijk. Niets is 100% te beveiligen. Uiteraard valt wel iets te zeggen over de nalatigheid en wijze van beveiliging, maar toeleveranciers en tussenschakels blijken toch altijd de zwakste schakel letterlijk en figuurlijk in de chainlink. Nalatigheid is iets wat moeilijk te bewijzen valt, want uiteraard kan iemand aansprakelijk worden gesteld voor schade, maar dat is nu net het probleem. Wat zou voor jou een redelijke compensatie zijn om uit te keren voor de gelekte persoonsgegevens?

En tja, als jouw gegevens hier al niet tussen zaten, zitten ze wel in een eerdere datalek (die de mainstream media is ontgaan).
Reageer met quote
31-03-2021, 22:52 door Anoniem
Nou, misschien geheel toevallig maar in de nacht van maandag op dinsdag is bij ons de katalysator onder een prius 2 vandaan gestolen, Ook bij ander autos van hetzelfde type hier in Bennekom is dat in dezelfde nacht gebeurt. Ik weet van 1 ander prius zeker dat deze bij hetzelfde garagebedrijf in onderhoud was. Wij kunnen door een fout van de verzekering zelf voor de kosten op gaan draaien en ik vraag me nu toch echt af of dit puur toeval is dat dit nu gebeurt is of dat de dieven het makkelijk hadden door de gestolen data te raadplegen. En dan zou ik toch heel erg graag ergens de schade gaan verhalen en sowieso willen weten of mijn gegevens ook uberhaupt in die gestolen data staan. Het is toch van de zotte dat gegevens van burgers keer op keer op straat terecht komen...ggd...rdw...etc..
Reageer met quote
01-04-2021, 09:32 door Anoniem
Specifiek dit datalek heeft wel mogelijke en berekenbare schade. Gegevens van auto's zijn gekoppeld aan NAW gegevens. Dus is het voor autodieven makkelijker om op bestelling te stelen. En aan gestolen auto's hangen waardes.

Overigens @Anoniem 31/3 13:03, wanneer je een keyless entry systeem op je auto hebt, is dit altijd aan te raden. Of iets vergelijkbaars natuurlijk. Anders is je auto soms ook "spontaan" weggereden.
Reageer met quote
01-04-2021, 10:19 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Nee, je moet de RDW aanspreken als je het er niet mee eens ben. Gelukkig is de wet zo geregeld, het zou wat zijn als je als slachtoffer verhaal moet gaan halen bij toeleveranciers of subcontractors van de verwerkingsverantwoordelijke.
Reageer met quote
01-04-2021, 13:51 door Anoniem
Door Anoniem:
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Nee, je moet de RDW aanspreken als je het er niet mee eens ben. Gelukkig is de wet zo geregeld, het zou wat zijn als je als slachtoffer verhaal moet gaan halen bij toeleveranciers of subcontractors van de verwerkingsverantwoordelijke.

Op de website van RDC staat dat zij verwerker zijn voor garagebedrijven dus het lijkt mij dat je het garagebedrijf aan moet spreken als verwerkingsverantwoordelijke.

Vraag 11: Gaat RDC ook consumenten informeren over het datalek?

Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.


Geen idee op basis waarvan Arnoud in het artikel concludeert dat de RDW verwerkingsverantwoordelijke zou zijn?
Reageer met quote
01-04-2021, 15:08 door Anoniem
Volgens mij is RDW in zijn geheel geen partij in deze en gaat het om de garages. WIj zijn in ieder geval ingelicht door onze garage:

Geachte ****,

Zeer waarschijnlijk heeft u al uit de media vernomen dat door een datalek de voertuig- en persoonsgegevens van miljoenen klanten van autobedrijven gelekt zijn.

Langs deze weg willen wij u informeren dat wij gebruik hebben gemaakt van de software die mogelijk geraakt is. De kans is dan ook aanwezig dat de voertuig- en persoonsgegevens die u bij ons heeft achtergelaten, gelekt zijn. Net als u zijn wij zeer geschokt over dit voorval.

Wij zijn in nauw overleg met softwareleverancier RDC over de te nemen stappen. RDC heeft direct Fox-IT, experts op het gebied van cybersecurity, in huis gehaald om te achterhalen hoe de gegevens buiten ons beheer terecht zijn gekomen. Ook heeft RDC direct een melding bij de Autoriteit Persoonsgegevens gedaan.

Indien u hier aanvullende vragen over heeft verwijzen we u daarvoor naar de Servicedesk van RDC: 020-6445553.

Wij begrijpen het als u inzage wilt in de gegevens die wij in onze database hebben en op basis waarvan wij u benaderen. In uw eigen klantomgeving ziet u welke gegevens dat zijn en kunt u zelf uw voorkeuren aangeven. Deze gegevens kunt u aanpassen naar wens.

Uiteraard heeft u als consument ook de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dat kunt u doen op hun website: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap

Indien u per mail of telefoon benaderd wordt door partijen die werkzaamheden aan uw auto willen uitvoeren en daarvoor willen langskomen op uw huisadres of u vragen de auto ergens langs te brengen, gaat u daar niet op in! Wij zullen u nooit op deze manier benaderen over technische updates.

Met vriendelijke groet,

****
Reageer met quote
01-04-2021, 15:25 door Anoniem
Door Anoniem: Specifiek dit datalek heeft wel mogelijke en berekenbare schade. Gegevens van auto's zijn gekoppeld aan NAW gegevens. Dus is het voor autodieven makkelijker om op bestelling te stelen. En aan gestolen auto's hangen waardes.
Ja, maar als jouw auto ineens gestolen wordt (of je katalysator zoals iemand anders schreef) dan zul jij meestal niet
aannemelijk kunnen maken, laat staan bewijzen, dat dit het gevolg is van een datalek.
Reageer met quote
03-04-2021, 15:31 door Anoniem
Ik verstuur voor een organisatie met circa 11.000 leden regelmatig een nieuwsbrief. Ik mag de data van die ledenlijst even gebruiken voor de verzending en moet deze dan verplicht verwijderen van mijn computer en van de server van het bedrijf dat de verzending faciliteert. De reden zou zijn dat alleen de organisatie zelf de ledenadministratie mag voeren. Als diezelfde regel oom geldt voor autobedrijven, mogen ze mijn gegevens toch niet zomaar delen met RDC zonder mijn uitdrukkelijke toestemming? Of werkt dat anders?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 768
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter