image

Datalek marktonderzoeker Blauw raakt ook 107.000 leden Golf Federatie

donderdag 30 maart 2023, 14:55 door Redactie, 14 reacties

Het datalek bij marktonderzoeker Blauw heeft ook 107.000 leden van de Koninklijke Nederlandse Golf Federatie (NGF) geraakt. Onlangs hebben 29 golfclubs meegedaan aan een onderzoek naar "lidmaatschapsoptimalisatie" dat door de NGF was georganiseerd. Dit onderzoek werd uitgevoerd door een extern bureau, dat hiervoor weer Blauw inschakelde. Een softwareleverancier waar Blauw gebruik van maakt, Nebu b.v., heeft te maken gekregen met een datalek.

Volgens de NGF zijn mogelijk achternaam, geslacht en het e-mailadres van golfers gelekt die voor het onderzoek zijn uitgenodigd. Mogelijk gaat het ook om de antwoorden van de respondenten. De Golf Federatie heeft melding van het datalek bij de Autoriteit Persoonsgegevens gedaan en gedupeerde golfers geïnformeerd. Tevens stelt de organisatie dat de gegevens van golfers bij de NGF veilig zijn. "Er heeft geen datalek bij de NGF plaatsgevonden en deze data zijn nog steeds veilig. Het betreft hier een externe datalek. Dit bedrijf heeft geen directe koppeling met de NGF."

De lijst met getroffen organisaties die van de diensten van Blauw gebruikmaakten wordt steeds langer. Naast de NGF gaat het ook om de NS, VodafoneZiggo en Vrienden van Amstel Live.

Reacties (14)
30-03-2023, 14:59 door Anoniem
Technische Unie kan ook bij het lijstje
30-03-2023, 15:23 door [Account Verwijderd]
Het datalek wordt groter en groter. Persoonsgegevens van klanten van CZ zijn op straat komen te liggen en ook woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) zeggen dat hun huurders mogelijk ook getroffen zijn.

Het hele verhaal is hier te lezen in het AD (met tips van de Consumentenbond):
https://www.ad.nl/tech/mogelijk-miljoenen-nederlanders-slachtoffer-van-datalek-probleem-groter-dan-wij-denken~a095beda/
30-03-2023, 15:29 door Briolet
Hier blijkt wel weer hoe er met je gegevens omgegaan wordt.

1) Je geeft je data aan je golfclub
2) Deze geeft je data weer door aan de federatie
3) Deze geeft ze aan een 'externe partij'
4) Deze geeft ze aan blauw
5) En Blauw tenslotte geeft ze aan Nebu
30-03-2023, 15:31 door Anoniem
Hmm....als het raak is, dan is het meteen goed raak in de digitale wereld...
30-03-2023, 16:16 door Erik van Straten - Bijgewerkt: 30-03-2023, 16:25
Door Briolet: Hier blijkt wel weer hoe er met je gegevens omgegaan wordt.

1) Je geeft je data aan je golfclub
2) Deze geeft je data weer door aan de federatie
3) Deze geeft ze aan een 'externe partij'
Opmerkelijk vind ik hoe de primair verantwoordelijke partijen onder hun verantwoordelijkheid uit proberen te komen door derden de schuld te geven van hun eigen fout: onvoldoende onderzoek doen naar de betrouwbaarheid van die derde partijen, en de vinger aan de pols blijven houden (zoals eisen en verifiëren dat klantgegevens, na verwerking, onmiddelijk worden verwijderd door die derde partijen - een eis die hoogstwaarschijnlijk de prijs flink verhoogt, want deze derde partijen verdienen aan zoveel mogelijk data van zoveel mogelijk mensen met kruisverbanden in zoveel mogelijk onderzoeken; u bent de koopwaar).

Dit zie je keer op keer, ook bij bulkmailers zoals MailChimp, SendGrid etcetera.

Uitbesteden is een keuze, maar je blijft eindverantwoordelijk.

Sterker, uit https://www.ngf.nl/over-de-ngf/nieuws/2023/mrt/ngf-q-and-a:
De NGF is slachtoffer van hetzelfde datalek waardoor ook de NS en Vodafone getroffen zijn.
Nee, de leden zijn slachtoffer. De bedoeling van dit gezwets is dat de lezer medelijden krijgt met de NGF en dat het gevoel "het kan iedereen overkomen" ontstaat.

Laat u niets wijsmaken; de NGF, VodafoneZiggo, de NS en al die andere partijen wilden met uw gegevens voor een kwartje op de eerste rang zitten. Ongetwijfeld onder de AVG-escape (en blamage) "gerechtvaardigd belang" (https://security.nl/posting/791350) zodat klanten niet om toestemming gevraagd hoeven te worden.

Tot de leden van de NGF behoren vast wel wat advocaten die door deze flutexcuses heenprikken. Rechters hadden het al druk, dat gaat niet minder worden verwacht ik.
30-03-2023, 18:26 door Briolet
Door Erik van Straten: … (zoals eisen en verifiëren dat klantgegevens, na verwerking, onmiddelijk worden verwijderd door die derde partijen - .

Daar zit een groot probleem. De data wordt na afloop van de mailcampagne gewoon nog op de servers bewaard. Ik had de mailtjes van Blauw al lang gewist, maar heb net even in het logboek van de mailserver gekeken:

2022-08-22T17:02:13+02:00 TLS connection established from mx1.blauw-survey.com[213.208.244.189]

Hun laatste mailing richting mij was dus eind augustus vorig jaar en mijn mailadres stond blijkbaar nog steeds bij Nebu.
30-03-2023, 18:33 door Anoniem
Door Erik van Straten: Laat u niets wijsmaken; de NGF, VodafoneZiggo, de NS en al die andere partijen wilden met uw gegevens voor een kwartje op de eerste rang zitten. Ongetwijfeld onder de AVG-escape (en blamage) "gerechtvaardigd belang" (https://security.nl/posting/791350) zodat klanten niet om toestemming gevraagd hoeven te worden.
Ongetwijfeld heeft dat geen donder met gerechtvaardigd belang te maken, want verwerking uitbesteden mag los van de verwerkingsgrondslagen. Er moet wel een verwerkersovereenkomst zijn.

Maar zo'n keten waarin de ene verwerker verwerking en dus gegevens uitbesteedt aan de volgende is zeker een risico. Een ketting is niet sterker dan de zwakste schakel, en je ziet hier duidelijk dat hoe dieper je komt in de keten hoe meer ketens langs die schakel lopen. De zwakste schakel zat hier helemaal aan het einde van al die ketens en de impact is daardoor enorm.

Dat hele patroon van afhankelijkheden is daarmee organisatorisch zwak. En organisatorische maatregelen om juist te voorkomen dat het misgaat horen tot de verplichtingen die de AVG oplegt. Ik denk dat je kan verdedigen dat alle betrokken verwerkingsverantwoordelijken (NS, NGF etc.) die plicht hebben verzaakt.
30-03-2023, 23:15 door Anoniem
Ik voel aankomen dat "marktonderzoeksbureau Blauw" straks een andere naam krijgt...
30-03-2023, 23:20 door Anoniem
Door Anoniem:verwerking uitbesteden mag los van de verwerkingsgrondslagen. Er moet wel een verwerkersovereenkomst zijn.

Maar zo'n keten waarin de ene verwerker verwerking en dus gegevens uitbesteedt aan de volgende is zeker een risico. Een ketting is niet sterker dan de zwakste schakel, en je ziet hier duidelijk dat hoe dieper je komt in de keten hoe meer ketens langs die schakel lopen. De zwakste schakel zat hier helemaal aan het einde van al die ketens en de impact is daardoor enorm.

Niet alleen dat, maar die verwerkersovereenkomsten zijn ook een wassen neus. Er wordt een hoop beloofd wat men niet
zal doen, maar als er wat fout gaat en er gebeurt iets vervelends dan zitten er geen consequenties aan. In ieder geval niet
van zodanige aard dat men meer doet dan allerlei papieren maatregelen nemen.
Als een leverancier van een leverancier van een dienstverlener de mist in gaat dan heeft het uiteindelijke slachtoffer het
nakijken, omdat er op het gebied van herstel en schadevergoeding helemaal niks geregeld wordt.
31-03-2023, 00:22 door Anoniem
Hopelijk doet de AP hier zijn werk door al deze organisaties flink te beboeten. Niet alleen de partijen die geen of slechte verwerkingsafspraken hadden gemaakt, maar ook Blauw en zeer zeker Nebu voor het ongelooflijk dom omgaan met gegevens van anderen.
31-03-2023, 04:51 door Anoniem
Bij de Golf Federatie zitten vast een aantal advocaten die nu ook getroffen zijn. Hopelijk maken zij korte metten met dit soort organisaties die zo ontzettend laks met onze gegevens omgaan.
31-03-2023, 05:02 door Anoniem
"beperk en verwijder data. voer bij het maken van accounts geen onnodige gegevens in. en ga je weg bij een bedrijf of website? verwijder dan je account."
Consumentenbond heeft blijkbaar nog niet door dat verwijderen van gegevens of account extreem lastig is. Veel bedrijven vragen doodleuk en kopie van jouw ID hiervoor.
31-03-2023, 10:25 door Anoniem
Door Anoniem: Hopelijk doet de AP hier zijn werk door al deze organisaties flink te beboeten. Niet alleen de partijen die geen of slechte verwerkingsafspraken hadden gemaakt, maar ook Blauw en zeer zeker Nebu voor het ongelooflijk dom omgaan met gegevens van anderen.
Ja maar een verwerkingsovereenkomst gaat nooit verder dan "partij B zal de data van partij A confidentieel behandelen"
en eventueel zijn er allerlei "audits" en "certificeringen" in het spel.
Er staat nooit in dat partij B aan partij A een schadevergoeding zal betalen per data item dat door het handelen, nalaten
van handelen, of niet naleven van acceptabele bewaartermijnen en verwijdermethoden in handen van onbevoegde
partijen gevallen is. Het is dan gewoon "jammer, kan gebeuren, we gaan het beter doen". Omdat de data ook niet van
partij A is maar die het ook weer van een ander gekregen heeft (vaak in meerdere lagen), is er ook geen drive om betere
verwerkingsovereenkomsten af te sluiten. Men zal vaak denken "wij zouden zelf ook niet staan te springen om hoge
vergoedingen uit te gaan betalen als het bij ons zelf mis gaat, dus dat vragen we ook niet aan onze concullega's".
04-04-2023, 17:42 door Anoniem
Nog steeds is onduidelijk welke gegevens er op straat zijn beland door een datalek bij softwareleverancier Nebu. Volgens Blauw Research geeft Nebu onvoldoende duidelijkheid over welke gegevens gelekt zijn. Het onderzoeksbureau hoopt dat de rechter Nebu dwingt om meer informatie te geven. Daarom diende op dinsdag 4 april in Rotterdam een kort geding.

https://www.trouw.nl/binnenland/marktonderzoeker-blauw-research-eist-meer-duidelijkheid-over-datalek~bc0a52a3/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.