Wat is uw bedrijfstype? Welk procestype zoekt u?
mededeling

RDC onderzoekt datalek – de meest gestelde vragen en antwoorden

Type: Mededeling 29 maart 2021

Laatst geüpdatet: 29 maart, 20u11

Bent u consument? Klik hier voor alle vragen die specifiek voor u van toepassing zijn.

Nadat wij woensdag te horen kregen dat er op internet voertuig- en persoonsgegevens te koop stonden die mogelijkerwijs afkomstig zouden zijn van RDC, zijn wij direct gestart met een onderzoek om te achterhalen wat er gebeurd is.

We hebben inmiddels Fox-IT, expert op het gebied van computer- en netwerkbeveiliging, in huis gehaald om met ons te onderzoeken hoe de gegevens buiten ons domein terecht zijn gekomen. Ook zijn we in contact met de politie om aangifte te doen. In het belang van het onderzoek zullen we relevante informatie delen wanneer dat kan.

De meest gestelde vragen hebben wij hieronder voor u op een rij gezet. Staat uw vraag er niet tussen? Neem gerust contact op met onze helpdesk, bereikbaar op 020-644 55 53 of per mail op servicedesk@rdc.nl.

Vraag 1: Zijn mijn data in handen gekomen van kwaadwillenden?

De kans is aanwezig dat dat zo is. De verkoper van de voertuig- en persoonsgegevens zegt over 60 % van door ons verwerkte data te beschikken.

 

Vraag 2: Welke data zijn er gelekt?

Het betreft persoons- en voertuiggegevens van klanten van autobedrijven: naw-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata. Het gaat uitdrukkelijk niet om BSN en rekeningnummers.

 

Vraag 3: Hoe zijn de data gelekt?

We onderzoeken nu samen met Fox-IT hoe de gegevens buiten ons domein terecht zijn gekomen.

 

Vraag 4: Wat is de status van het datalek?
Op dit moment is de exacte omvang van het datalek nog niet bekend. Wij doen er nu samen met Fox-IT alles aan om de precieze oorzaak en impact te achterhalen.

 

Vraag 5: Wat betekent dit voor mij/mijn bedrijf?

RDC heeft aan de Autoriteit Persoonsgegevens aangegeven dat de bron van het datalek bij haar ligt. RDC zal over dit datalek en de melding richting de Autoriteit Persoonsgegevens nog via formele kanalen, richting de media en de betrokken autobedrijven communiceren.

 

Vraag 5a: Wat betekent dit voor consumenten?

De mogelijkheid bestaat dat u via e-mail, post en of telefonisch benaderd wordt door iemand die zich voordoet alsof hij/zij een medewerker is van het autobedrijf waar u zaken mee doet/deed. Verifieer altijd of u daadwerkelijk te maken heeft met een medewerker van uw autobedrijf.

 

Vraag 6: Zijn er ook wachtwoorden van consumenten gelekt?

Voor zover tot nu toe bekend zijn er geen wachtwoorden van consumenten gelekt.

 

Vraag 7: Zijn er onbevoegden in de omgeving van RDC geweest?

Dat weten we nog niet. Daar doen we nu samen met Fox-IT onderzoek naar.

 

Vraag 8: Wat betekent dit voor de software van RDC?

We zijn op dit moment de beveiliging van de verschillende softwareproducten aan het onderzoeken en verbeteren. Er worden voortdurend maatregelen getroffen om er voor te zorgen dat de software veilig gebruikt kan (blijven) worden.

 

Vraag 9: Zijn er ook mailadressen en IP-adressen gelekt?

Ja, er zijn rond 2,5 miljoen mailadressen gelekt. Er zijn geen ip-adressen gelekt.

 

Vraag 10: Moeten autobedrijven nu een melding doen bij de Autoriteit Persoonsgegevens?

Ja. Maar wij helpen u daarbij. Er is een document opgesteld waarin wij stap voor stap uitleggen wat te doen. Alle direct betrokken autobedrijven hebben dit document inmiddels van ons ontvangen.

De melding kunt u hier doen:

https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0

 

Vraag 11: Gaat RDC ook consumenten informeren over het datalek?

Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.

 

Vraag 12: Zijn autobedrijven verplicht al hun klanten van het datalek op de hoogte te brengen?

Wij raden dat dringend aan. De autobedrijven als verwerkingsverantwoordelijke beslissen zelf of zij hun klanten informeren. In het kader van de AVG-wetgeving en zorg voor hun klanten is het goed als autobedrijven hun klanten proactief benaderen.

(Uit de Guideline van de Autoriteit Persoonsgegevens) “Wanneer de inbreuk in verband met persoonsgegevens (het datalek) waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee. Dit risico bestaat als de inbreuk kan leiden tot lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn. Voorbeelden van dergelijke schade zijn discriminatie, identiteitsdiefstal of -fraude, financieel verlies en reputatieschade.

Factoren waarmee rekening moet worden gehouden bij de beoordeling van (hoog) risico zijn onder andere:

  • De omvang en gevoeligheid van de persoonsgegevens;
  • Het gemak waarmee personen kunnen worden geïdentificeerd;
  • Ernst van de gevolgen voor personen;
  • Het aantal getroffen personen.

 De beoordeling en de verdere afweging om de betrokkenen te informeren ligt bij de verwerkingsverantwoordelijke(n).”

Wij hebben voor autobedrijven een bericht klaargezet in CaRe-Mail dat zij aan hun klanten kunnen doorsturen, maar zij kunnen ook voor een ander bericht kiezen. Aangezien het incident in de landelijke pers geweest is, is een proactieve benadering van klanten aan te raden.

 

Vraag 13: Ik gebruik CaRe-Mail nog niet zo lang. Moet ik toch melding doen?

Wij adviseren dat wel te doen. Hoewel wij er, op basis van wat wij nu weten, nog steeds vanuit gaan dat het oudere gegevens betreft, kunnen we dat helaas nog steeds niet met zekerheid stellen.

 

Vraag 14: Wie is de eigenaar van de gegevens die buiten het domein van RDC terecht zijn gekomen: RDC of het autobedrijf?

RDC is een Business to Business-bedrijf. We leveren softwarediensten waarmee de autobedrijven onder andere mailings kunnen versturen. De autobedrijven zijn eigenaar van data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. RDC is voor deze diensten ‘in de zin der wet’ de “Verwerker” van de gegevens; wij handelen in opdracht van de autobedrijven. Zo kan RDC alleen in opdracht van de autobedrijven gegevens aanpassen of verwijderen.

 

Vraag 15: Hoe kan het dat er gegevens van meer dan 10 jaar oud in de Dealer Management Systemen van autobedrijven voorkomen? Waarom worden deze data zo lang bewaard?

De autobedrijven zijn eigenaar van de data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. Dit zal bijvoorbeeld het geval zijn wanneer u koopt, huurt of in onderhoud heeft. Persoonsgegevens mogen volgens de AVG-wetgeving niet langer bewaard worden dan nodig is. De AVG gaat uit van een eigen verantwoordelijkheid van de verwerkingsverantwoordelijke.

 

Vraag 16: Hoe kunnen consumenten achterhalen of hun gegevens buiten het RDC-domein zijn terecht gekomen?

We kunnen niet met zekerheid zeggen welke gegevens buiten het RDC-domein terecht zijn gekomen. De heler van de voertuig- en persoonsgegevens zegt over 60% van door ons verwerkte data te beschikken; we weten niet welke gegevens tot die 60% behoren. U als consument heeft vanuit de wet het recht (van betrokkene) om te weten of en welke van uw persoonsgegevens worden verwerkt door de eigenaar van de gegevens. Omdat uw autobedrijf eigenaar is van de gegevens die zij in haar systemen heeft opgeslagen (zie het antwoord op de vorige vraag), moeten we u hiervoor helaas doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.

 

Vraag 17: Kan ik als consument RDC aanspreken op het feit dat mijn persoons- en voertuiggegevens mogelijkerwijs buiten het RDC-domein terecht zijn gekomen?

Nee, dat is juridisch niet mogelijk. Autobedrijven zijn de eigenaar van uw klantgegevens; RDC is de verwerker van die gegevens (zie ook vragen 11 en 14). Mocht u vragen hebben over gegevens, dan moeten we u hiervoor helaas doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.