top of page

Loterijen gokken (niet) met persoonsgegevens



Afgelopen week werden de Nederlandse loterijen opgeschrikt door een datalek: de persoonsgegevens van 450.000 deelnemers konden door een zwakte in het systeem tijdelijk worden ingezien. In 900 gevallen was zelfs het rekeningnummer zichtbaar.


Het lek ontstond bij een toeleverancier van de loterijen, die verantwoordelijk is voor het toezenden van brieven en prijzen namens de loterijen. Een ethische hacker ontdekte het lek en wees de loterijen vervolgens op het gevaar waaraan zij blootstonden. Prompt stelden de loterijen het systeem buiten werking, waardoor het datalek werd gedicht. De samenwerking met de leverancier werd opgeschort totdat de situatie weer voldoende veilig was. De loterijen hebben bij de Autoriteit Persoonsgegevens melding gemaakt van een datalek. Volgens woordvoerder Martijn van Klaveren nemen de loterijen de privacy van hun deelnemers uiterst serieus en doen zij er alles aan om herhaling te voorkomen.


Het incident bij de loterijen is een voorbeeld van hoe makkelijk het fout kan gaan wanneer persoonsgegevens door iemand anders worden bewerkt dan de verantwoordelijke. Het is daarom van groot belang dat uw organisatie met toeleveranciers die persoonsgegevens verwerken (zogeheten bewerkers) een bewerkersovereenkomst sluit. Dit type overeenkomst is wettelijk verplicht en ziet op de wederzijdse rechten en plichten tussen de verantwoordelijke en de bewerker. Hierin kunnen zaken worden geregeld als aansprakelijkheid voor schade als gevolg van een datalek, het tijdig melden van een datalek, het recht van de verantwoordelijke om na te gaan of de bewerker inderdaad alles heeft ingericht om een datalek te voorkomen, en nog veel meer.


Het is vooral van belang dat een bewerker een datalek meldt zodra de bewerker het datalek ontdekt. De termijn van de meldplicht (72 uur) begint namelijk te lopen op het moment van ontdekking van het datalek door de bewerker en niet door de verantwoordelijke. Praktisch gesteld: indien het bedrijf waaraan u uw salarisadministratie heeft uitbesteed een datalek ontdekt en u pas een week later op de hoogte brengt, bent u de deadline voor melden reeds met vier dagen gepasseerd, en daarmee in overtreding.


Wilt u weten hoe uw organisatie ervoor staat op gebied van privacy, of wilt u juist hulp bij het inzicht krijgen in het privacybeleid van uw bewerker? Certafin biedt u een toegankelijke privacynulmeting voor ieder bedrijf. Certafin kan tevens helpen bij het opstellen van bewerkersovereenkomsten en u terzijde staan in geval van een datalek. Certafin biedt voor noodgevallen een calamiteiten telefoon die 24/7 te bereiken is en alle oplossingen van Certafin binnen handbereik brengt. Loop geen onnodig risico en neem vandaag nog contact op met Certafin, want een datalek zit in een klein hoekje!


Uitgelichte berichten
Recente berichten
Archief
Zoeken op tags
Er zijn nog geen tags.
Volg ons
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page