Zes vragen over het megadatalek in de autobranche
De gegevens van mogelijk miljoenen Nederlanders zijn op straat beland door een datalek in de autobranche, bleek vanmorgen. Wat kun je hier als autobezitter tegen doen? En welke rol is er voor bedrijven om dit soort datalekken te voorkomen? We zetten zes vragen en antwoorden op een rij.
Hoe erg is zo'n datalek nou eigenlijk? Meestal hoor je er na afloop niets meer van
Voor criminelen zijn datalekken een goudmijn: ze kunnen er spam mee versturen, net als phishingmails. Daarbij vertellen de criminelen natuurlijk niet netjes hoe ze aan je data komen.
Maar ook voor persoonsgerichte intimidatie kunnen dit soort datalekken interessant zijn, bijvoorbeeld om achter het adres of het telefoonnummer van prominente figuren te komen. Of, specifiek bij dit datalek: om erachter te komen waar dure auto's geparkeerd staan.
"Het is makkelijk om je schouders op te halen bij dit soort datalekken", zegt beveiligingsonderzoeker Matthijs Koot. "Maar niet iedereen is even weerbaar tegen fraude en oplichting." Mede door dit soort datalekken kunnen oplichters hun slachtoffers gericht benaderen, omdat ze niet alleen een e-mailadres hebben maar in dit geval ook informatie over de auto waarin die persoon rijdt.
Waardoor is dit lek veroorzaakt?
Dat is nog onbekend. Wat duidelijk is, is dat er een dataset met de gegevens van een hele hoop Nederlanders is buitgemaakt bij de organisatie RDC, dat ondersteunende diensten aan autobedrijven biedt. Maar hoe dat precies is gebeurd, is onbekend. RDC heeft aangifte gedaan en beveiligingsbedrijf Fox-IT in de hand genomen om de bron van het lek te onderzoeken.
Hoe erg is dit datalek precies?
Het is in ieder geval groot. Het gaat om 7,3 miljoen datapunten met herleidbare persoonsgegevens, al kunnen mensen meerdere keren in de dataset voorkomen. Volgens de Autoriteit Persoonsgegevens gaat het mogelijk om het ernstigste datalek dat de privacywaakhond ooit heeft geregistreerd.
Om de precieze impact in te schatten, hangt veel af van wat er uiteindelijk met het datalek te koop wordt aangeboden. De internetcriminelen die de data in handen hebben, hebben de dataset naar eigen zeggen nog niet verkocht.
Hoe weet ik of ik ben getroffen door het lek?
Ook dat is nog niet te zeggen: RDC weet ook nog niet precies van wie de gegevens zijn gelekt. Voor klanten van autobedrijven is vaak niet duidelijk of hun gegevens bij RDC zijn opgeslagen, of bij een andere toeleverancier.
RDC zelf gaat getroffenen niet inlichten, maar aangesloten autobedrijven kunnen dat wel doen, stelt het bedrijf. "We hebben aangesloten autobedrijven een voorbeeldmail gestuurd die ze kunnen versturen."
Waarom slaan bedrijven dit soort informatie op?
Voor bedrijven is het belangrijk om te weten met wie ze zakendoen. Ook mogen ze klanten mails sturen om ze bijvoorbeeld nieuwe aanbiedingen te doen, of in dit geval: klanten te herinneren aan hun apk. Daarvoor zijn contactgegevens nodig.
Maar ze slaan soms wel door in hoelang informatie bewaard blijft, ziet hoogleraar ict-recht Frederik Zuiderveen Borgesius. "Volgens de wet moet je informatie niet langer bewaren dan strikt noodzakelijk", zegt Zuiderveen Borgesius.
Welke periode dat precies is, is dus de vraag. Maar in de RDC-dataset staan ook gegevens van mensen die meer dan tien jaar geleden in een garage zijn geweest. "Ik kan me niet voorstellen waar dat voor nodig is", zegt de privacydeskundige. Bedrijven zouden die informatie na een tijdje moeten verwijderen.
"Bij veel organisaties denken ze: informatie weggooien is gevaarlijker dan bewaren", zegt hij. "Maar voor de wet is het juist andersom." In dit geval zijn de data volgens RDC relevant. "Als een auto nog rijdt, zijn de gegevens van toegevoegde waarde en mag je ze bewaren."
Wat zijn de gevolgen voor het bedrijf dat de data lekte?
Dat is nog niet te zeggen. De Autoriteit Persoonsgegevens heeft contact met het bewuste bedrijf, maar wil niet zeggen of het daarbij om een concreet onderzoek gaat. De privacywaakhond kan hoge boetes opleggen: zo kreeg het BKR een boete van 830.000 euro opgelegd omdat het mensen belemmerde om inzage te krijgen.
Aangezien het hier om een mogelijk ongekend groot datalek gaat, ligt de vraag voor de hand of er ook een hoge boete tegenover staat. Voor die vraag vindt de privacywaakhond het nog te vroeg. Ook hangt daarvoor veel af van de precieze toedracht.