image

Waarom mag RDC Nederlandse autobezitters niet over het recente datalek informeren?

woensdag 31 maart 2021, 10:15 door Arnoud Engelfriet, 15 reacties
Laatst bijgewerkt: 01-04-2021, 19:54

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat de RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, getroffen personen niet over het datalek mag informeren. Kun je uitleggen waarom dat juridisch niet mag?

Antwoord: Het datalek is enorm: het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk.

De RDC biedt het product CaRe-Mail aan. Dat maakt de klantendatabase van een dealermanagementsysteem interactief waardoor klanten individueel door het garagebedrijf benaderd kunnen worden. "CaRe-Mail verzamelt dagelijks de nieuwe gegevens uit je systeem. We plaatsen een kastje in jouw eigen lokale netwerk dat nieuwe en gewijzigde gegevens verzamelt en een kopie daarvan verzendt naar CaRe-Mail."

Kennelijk is de constructie dat RDC daarbij optreedt als verwerker in opdracht van de verwerkingsverantwoordelijke, de garagebedrijven.

En nee, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de garagebedrijven. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de beslissing van de garagebedrijven.

Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. Het garagebedrijf meldt het aan jou, en als je dan claims hebt dan dien je die bij het garagebedrijf in. Die lost het intern maar op met RDC.

In een eerste versie van deze juridische vraag stond de RDW als verwerkingsverantwoordelijke vermeld, dat had garagebedrijven moeten zijn. Dit is aangepast.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
31-03-2021, 11:13 door Anoniem
En nee, dat is niet hetzelfde als NAW-gegevens, e-mailadressen, telefoonnummers, geboortedata et cetera. Kennelijk levert de RDW ruwe data aan RDC, die dan gaat anonimiseren? Dat lijkt me risicovol en onnodig, maar een andere verklaring heb ik niet.
Ik krijg eerder de indruk dat de klanten van RDC zelf deze informatie "terug" leveren om de database aan te vullen.
Dwz je geeft je informatie aan je garage (logisch natuurlijk, je wilt dat ze je bellen als je auto klaar is, dat je ze kunt mailen met een vraag, enz) en die levert die info weer aan RDC die het opslaan in hun database.
Wat precies het belang van de garage daarbij is ontgaat me een beetje, dit zou toch hooguit een concurrent bevoordelen zou ik denken.
Maar als het niet zo werkt, hoe dan wel? RDW heeft bij mijn weten niet eens mijn telefoonnummer of e-mail adres. Hoe zouden ze daar aan moeten komen?
31-03-2021, 11:21 door Anoniem
Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
31-03-2021, 12:35 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging?
Ik ben bang van wel.
Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Je kunt in Nederland geen compensatie eisen voor dit soort emotionele schade.
Als het nou zo was dat bijv. door dit lek jouw auto op andermans naam was gezet en die hem verkocht heeft en jij daar 20.000 euro schade door hebt, DAN was je in de positie om schadevergoeding te eisen.
Maar "hullie hebben mijn adres" dat is geen schade waar je een bonnetje van kunt overleggen en die krijg je dus niet gecompenseerd.

Ik denk dat dit gewoon even een fase is waar we doorheen moeten. Als alle gegevens van alle Nederlanders op straat liggen dan is er geen incrementele schade meer en geen specifieke situatie voor bepaalde mensen. Dan hoeven we ook niet meer iedere keer dat er een bedrijf gehacked is te gaan jammeren dat er gegevens gelekt waren, want die waren toch al elders gelekt.
31-03-2021, 13:03 door Anoniem
Ik heb mijn dealer aangeschreven m.b.t. de gelekte gegevens. Ben wel benieuwd wat ze allemaal bewaren...
Ondertussen maar de autosleutels in een melkbus ;)
31-03-2021, 14:18 door Anoniem
Ik ga er vanuit dat hier gewoon (na 100 jaar trekken aan de VVD) gewoon wetgeving uit komt dat je je klanten die last hebben van een datadiefstal gratis 10 jaar verzekerd bent voor de financiele gevolgen van deze data diefstal.
31-03-2021, 15:21 door Anoniem
Door Anoniem: Ik ga er vanuit dat hier gewoon (na 100 jaar trekken aan de VVD) gewoon wetgeving uit komt dat je je klanten die last hebben van een datadiefstal gratis 10 jaar verzekerd bent voor de financiele gevolgen van deze data diefstal.
Dat zal dan wel 1 centrale verzekeringsvorm moeten zijn vergelijkbaar met bijvoorbeeld een zorgverzekering.
Dwz je wordt slachtoffer van een dergelijke data diefstal en je doet daar je claim (onderbouwd met je werkelijke schade) en krijgt die dan uitgekeerd.
Immers het zal (zeker op den duur) onmogelijk zijn om te bewijzen van WELKE datadiefstal jij het slachtoffer bent geworden, dus als er op de een of andere manier een traject is van datadiefstal->verzekeraar->claim waarbij jij bij je claim bij DIE specifieke verzekeraar moet aantonen dat jij slachtoffer bent van een datalek wat DAAR is ondergebracht ter verzekering, dan wordt dat een kansloze zaak.
31-03-2021, 15:59 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Er is wel een verschil tussen wie het datalek moet melden (het atwoord op deze vraag) en of een verwerker binnen de AVG een boete opgelegd kan worden.
31-03-2021, 17:02 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.

Precies. Of emigreren naar een ander land.. oh nee daar is het ook niet op orde.

Helaas werkt het wel zo in de praktijk. Niets is 100% te beveiligen. Uiteraard valt wel iets te zeggen over de nalatigheid en wijze van beveiliging, maar toeleveranciers en tussenschakels blijken toch altijd de zwakste schakel letterlijk en figuurlijk in de chainlink. Nalatigheid is iets wat moeilijk te bewijzen valt, want uiteraard kan iemand aansprakelijk worden gesteld voor schade, maar dat is nu net het probleem. Wat zou voor jou een redelijke compensatie zijn om uit te keren voor de gelekte persoonsgegevens?

En tja, als jouw gegevens hier al niet tussen zaten, zitten ze wel in een eerdere datalek (die de mainstream media is ontgaan).
31-03-2021, 22:52 door Anoniem
Nou, misschien geheel toevallig maar in de nacht van maandag op dinsdag is bij ons de katalysator onder een prius 2 vandaan gestolen, Ook bij ander autos van hetzelfde type hier in Bennekom is dat in dezelfde nacht gebeurt. Ik weet van 1 ander prius zeker dat deze bij hetzelfde garagebedrijf in onderhoud was. Wij kunnen door een fout van de verzekering zelf voor de kosten op gaan draaien en ik vraag me nu toch echt af of dit puur toeval is dat dit nu gebeurt is of dat de dieven het makkelijk hadden door de gestolen data te raadplegen. En dan zou ik toch heel erg graag ergens de schade gaan verhalen en sowieso willen weten of mijn gegevens ook uberhaupt in die gestolen data staan. Het is toch van de zotte dat gegevens van burgers keer op keer op straat terecht komen...ggd...rdw...etc..
01-04-2021, 09:32 door Anoniem
Specifiek dit datalek heeft wel mogelijke en berekenbare schade. Gegevens van auto's zijn gekoppeld aan NAW gegevens. Dus is het voor autodieven makkelijker om op bestelling te stelen. En aan gestolen auto's hangen waardes.

Overigens @Anoniem 31/3 13:03, wanneer je een keyless entry systeem op je auto hebt, is dit altijd aan te raden. Of iets vergelijkbaars natuurlijk. Anders is je auto soms ook "spontaan" weggereden.
01-04-2021, 10:19 door Anoniem
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Nee, je moet de RDW aanspreken als je het er niet mee eens ben. Gelukkig is de wet zo geregeld, het zou wat zijn als je als slachtoffer verhaal moet gaan halen bij toeleveranciers of subcontractors van de verwerkingsverantwoordelijke.
01-04-2021, 13:51 door Anoniem
Door Anoniem:
Door Anoniem: Moeten we dit als particulier dan maar slikken als zoete koek? Moeten we maar gewoon accepteren dat dit soort bedrijven nalatig zijn geweest in hun ict beveliging? Ik mis hierin blijkbaar nog een stukje wetgeving waarbij nalatigheid gestraft kan worden met een boete en beter nog een compensatie voor de burger wiens persoonlijke gegevens zijn gelekt.
Nee, je moet de RDW aanspreken als je het er niet mee eens ben. Gelukkig is de wet zo geregeld, het zou wat zijn als je als slachtoffer verhaal moet gaan halen bij toeleveranciers of subcontractors van de verwerkingsverantwoordelijke.

Op de website van RDC staat dat zij verwerker zijn voor garagebedrijven dus het lijkt mij dat je het garagebedrijf aan moet spreken als verwerkingsverantwoordelijke.

Vraag 11: Gaat RDC ook consumenten informeren over het datalek?

Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.


Geen idee op basis waarvan Arnoud in het artikel concludeert dat de RDW verwerkingsverantwoordelijke zou zijn?
01-04-2021, 15:08 door Anoniem
Volgens mij is RDW in zijn geheel geen partij in deze en gaat het om de garages. WIj zijn in ieder geval ingelicht door onze garage:

Geachte ****,

Zeer waarschijnlijk heeft u al uit de media vernomen dat door een datalek de voertuig- en persoonsgegevens van miljoenen klanten van autobedrijven gelekt zijn.

Langs deze weg willen wij u informeren dat wij gebruik hebben gemaakt van de software die mogelijk geraakt is. De kans is dan ook aanwezig dat de voertuig- en persoonsgegevens die u bij ons heeft achtergelaten, gelekt zijn. Net als u zijn wij zeer geschokt over dit voorval.

Wij zijn in nauw overleg met softwareleverancier RDC over de te nemen stappen. RDC heeft direct Fox-IT, experts op het gebied van cybersecurity, in huis gehaald om te achterhalen hoe de gegevens buiten ons beheer terecht zijn gekomen. Ook heeft RDC direct een melding bij de Autoriteit Persoonsgegevens gedaan.

Indien u hier aanvullende vragen over heeft verwijzen we u daarvoor naar de Servicedesk van RDC: 020-6445553.

Wij begrijpen het als u inzage wilt in de gegevens die wij in onze database hebben en op basis waarvan wij u benaderen. In uw eigen klantomgeving ziet u welke gegevens dat zijn en kunt u zelf uw voorkeuren aangeven. Deze gegevens kunt u aanpassen naar wens.

Uiteraard heeft u als consument ook de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dat kunt u doen op hun website: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap

Indien u per mail of telefoon benaderd wordt door partijen die werkzaamheden aan uw auto willen uitvoeren en daarvoor willen langskomen op uw huisadres of u vragen de auto ergens langs te brengen, gaat u daar niet op in! Wij zullen u nooit op deze manier benaderen over technische updates.

Met vriendelijke groet,

****
01-04-2021, 15:25 door Anoniem
Door Anoniem: Specifiek dit datalek heeft wel mogelijke en berekenbare schade. Gegevens van auto's zijn gekoppeld aan NAW gegevens. Dus is het voor autodieven makkelijker om op bestelling te stelen. En aan gestolen auto's hangen waardes.
Ja, maar als jouw auto ineens gestolen wordt (of je katalysator zoals iemand anders schreef) dan zul jij meestal niet
aannemelijk kunnen maken, laat staan bewijzen, dat dit het gevolg is van een datalek.
03-04-2021, 15:31 door Anoniem
Ik verstuur voor een organisatie met circa 11.000 leden regelmatig een nieuwsbrief. Ik mag de data van die ledenlijst even gebruiken voor de verzending en moet deze dan verplicht verwijderen van mijn computer en van de server van het bedrijf dat de verzending faciliteert. De reden zou zijn dat alleen de organisatie zelf de ledenadministratie mag voeren. Als diezelfde regel oom geldt voor autobedrijven, mogen ze mijn gegevens toch niet zomaar delen met RDC zonder mijn uitdrukkelijke toestemming? Of werkt dat anders?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.