Wat is uw bedrijfstype? Welk procestype zoekt u?
mededeling

RDC onderzoekt datalek – consumenten: de meest gestelde vragen en antwoorden voor consumenten

Type: Mededeling 29 maart 2021

Laatst geüpdatet: 2 april, 16u48

Bent u consument? Hieronder leest u uitsluitend de vragen en antwoorden die voor u van toepassing zijn.

Vraag 1: Zijn mijn data in handen gekomen van kwaadwillenden?
De kans is aanwezig dat dat zo is. De verkoper van de voertuig- en persoonsgegevens zegt over 60 % van door ons verwerkte data te beschikken.

Vraag 2: Welke data zijn er gelekt?
Het betreft persoons- en voertuiggegevens van klanten van autobedrijven: naw-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata. Het gaat uitdrukkelijk niet om BSN en rekeningnummers.

Vraag 3: Hoe zijn de data gelekt?
We onderzoeken nu samen met Fox-IT hoe de gegevens buiten ons domein terecht zijn gekomen.

Vraag 4: Wat is de status van het datalek?
Op dit moment is de exacte omvang van het datalek nog niet bekend. Wij doen er nu samen met Fox-IT alles aan om de precieze oorzaak en impact te achterhalen.

Vraag 5: Wat betekent dit voor consumenten?
De mogelijkheid bestaat dat u via e-mail, post en of telefonisch benaderd wordt door iemand die zich voordoet alsof hij/zij een medewerker is van het autobedrijf waar u zaken mee doet/deed. Verifieer altijd of u daadwerkelijk te maken heeft met een medewerker van uw autobedrijf.

Vraag 6: Zijn er ook wachtwoorden van consumenten gelekt?
Voor zover tot nu toe bekend zijn er geen wachtwoorden van consumenten gelekt.

Vraag 7: Zijn er ook mailadressen en IP-adressen gelekt?
Ja, er zijn rond 2,5 miljoen mailadressen gelekt. Er zijn geen ip-adressen gelekt.

Vraag 8: Gaat RDC ook consumenten informeren over het datalek?
Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.

Vraag 9: Wie is de eigenaar van de gegevens die buiten het domein van RDC terecht zijn gekomen: RDC of het autobedrijf?
RDC is een Business to Business-bedrijf. We leveren softwarediensten waarmee de autobedrijven onder andere mailings kunnen versturen. De autobedrijven zijn eigenaar van data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. RDC is voor deze diensten ‘in de zin der wet’ de “Verwerker” van de gegevens; wij handelen in opdracht van de autobedrijven. Zo kan RDC alleen in opdracht van de autobedrijven gegevens aanpassen of verwijderen.

Vraag 10: Hoe kan het dat er gegevens van meer dan 10 jaar oud in de Dealer Management Systemen van autobedrijven voorkomen? Waarom worden deze data zo lang bewaard?
De autobedrijven zijn eigenaar van de data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. Dit zal bijvoorbeeld het geval zijn wanneer u koopt, huurt of in onderhoud heeft. Persoonsgegevens mogen volgens de AVG-wetgeving niet langer bewaard worden dan nodig is. De AVG gaat uit van een eigen verantwoordelijkheid van de verwerkingsverantwoordelijke.

Vraag 11: Hoe kunnen consumenten achterhalen of hun gegevens buiten het RDC-domein zijn terecht gekomen?
We kunnen niet met zekerheid zeggen welke gegevens buiten het RDC-domein terecht zijn gekomen. De heler van de voertuig- en persoonsgegevens zegt over 60% van door ons verwerkte data te beschikken; we weten niet welke gegevens tot die 60% behoren. U als consument heeft vanuit de wet het recht (van betrokkene) om te weten of en welke van uw persoonsgegevens worden verwerkt door de eigenaar van de gegevens. Omdat uw autobedrijf eigenaar is van de gegevens die zij in haar systemen heeft opgeslagen (zie het antwoord op de vorige vraag), moeten we u hier helaas voor doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.

Vraag 12: Kan ik als consument RDC aanspreken op het feit dat mijn persoons- en voertuiggegevens mogelijkerwijs buiten het RDC-domein terecht zijn gekomen?
Nee, dat is juridisch niet mogelijk. Autobedrijven zijn de eigenaar van uw klantgegevens; RDC is de verwerker van die gegevens (zie ook vragen 11 en 14). Mocht u vragen hebben over gegevens, dan moeten we u hiervoor helaas doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.

Vraag 13: Welke privacyrechten (AVG) heb ik als consument bij mijn autobedrijf?
U heeft verschillende rechten ten aanzien van uw persoonsgegevens. Deze staan omschreven in de Europese Algemene Verordening Gegevensbescherming en worden uitgebreid toegelicht op de website van de Autoriteit Persoonsgegevens. Deze rechten kunt u uitoefenen bij de (zogenaamd: verwerkings-)verantwoordelijke voor uw persoonsgegevens. In dit geval is dat het autobedrijf dat uw persoonsgegevens heeft ontvangen. Op de website van uw autobedrijf kunt u vaak het privacy statement (ook wel privacy verklaring genoemd) vinden waarin het autobedrijf omschrijft hoe u concreet de volgende rechten kunt uitoefenen (klik op de link voor meer informatie op de website van de Autoriteit Persoonsgegevens):

Indien u gebruik wilt maken van uw rechten zal het autobedrijf u vragen zich te identificeren.

Het autobedrijf zal ook informatie verschaffen over de reden (grondslag) en het doel waarvoor bepaalde persoonsgegevens worden verwerkt. Dat zal in het algemeen zijn om te kunnen voldoen aan de (bijvoorbeeld: onderhouds-)overeenkomst met u of daarmee samenhangende dienstverlening. Ook zal daarbij worden aangegeven hoe lang uw persoonsgegevens worden verwerkt en of dit bijvoorbeeld ook gebeurt bij derde partijen in opdracht van het autobedrijf.

Indien een autobedrijf wordt geconfronteerd met een datalek in haar systemen of de systemen van een door het autobedrijf ingeschakelde derde partij dan zal het autobedrijf hiervan waarschijnlijk melding moeten maken bij de Autoriteit Persoonsgegevens. Ook zal u van dit datalek op de hoogte worden gebracht door het autobedrijf indien het autobedrijf meent dat u een hoog risico loopt als gevolg van het datalek. Dat is de individuele verantwoordelijkheid van ieder autobedrijf.