• Meldplicht datalek bij Autoriteit Persoonsgegevens

Bunq heeft het nationale nieuws gehaald met een ernstig datalek. Nu heeft Bunq gereageerd dat het geen melding bij de Autoriteit Persoonsgegevens hoeft te doen, omdat er alleen e-mailadressen zijn gelekt. Op basis waarvan denkt Bunq dat dit niet ernstig genoeg is om melding te maken bij de Autoriteit Persoonsgegevens?

    @Simon-Yellow-Lion#123123 Hoi 👋 Simon,

    Dat is een goede vraag. Echter, denk ik dat het beter is om dat aan bunq 🌈 zelf te vragen, ik kan er alleen maar naar gissen.

    Persoonlijk vind ik de ernst meevallen, ook al ben ik zelf 1 van de 'slachtoffer'. Ja het is absoluut een stomme fout, maar waar mensen werken worden nu eenmaal fouten gemaakt. En dat is niet erg, je kan er alleen maar van leren.

    Of het gemeld moet worden? Daar valt over te twisten, het is in elk geval een afweging die bunq 🌈 moet maken en moet kunnen uitleggen, ook aan toezichthouder. Een mailadres is niet per definitie een persoonsgegeven. Echter, in dit geval lijkt mij daarover geen twijfel mogelijk, immers staan ook volledige namen erbij vermeld. Dus strikt genomen zijn meerdere persoonsgegevens gelekt per persoon.

    Persoonlijk zou ik uit de juridische discussie zijn gebleven en het sowieso hebben gemeld... uit moreel en commercieel oogpunt... en ook in het kader van transparantie.

    Maar at the end is het aan bunq 🌈 . Denk dat je het dan ook beste via Support kan vragen.

      @JohnDo#123129 Persoonlijk zou ik uit de juridische discussie zijn gebleven en het sowieso hebben gemeld... uit moreel en commercieel oogpunt... en ook in het kader van transparantie.

      Precies dit. Ik vind het ook een beetje apart dat bunq zet dat ze het lek niet gaan melden om het enkel e-mailadressen gaat. Sommige van die email adressen zijn gewoon voor+achternaam, bij sommige kan je zelfs zien waar ze werken of op welke school ze zitten, dus vind het een beetje een rare reactie. Van sommige kan je ook weer niks zien.

      Uit transparantie en om te laten zien dat de klant voorop staat zou ik als ik bunq was ook het melden. Kans dat ze een boete of iets anders krijgen is toch heel klein.

        @JohnDo#123129 Een datalek van een bank is wel ernstig, onbegrijpelijk voor een 'IT bedrijf met een bankvergunning'. Dit is geen buurtvereniging waar amateurs handelen zover hun beperkte kennis gaat. bunq is een professionele bank met een geavanceerde IT achtergrond. Ik snap niet waarom juist bunq geen check op het Aan veld heeft, op zijn minst in de outbound mailserver. Zelfs een gratis webmail zoals Roundcube geeft een alert als er meer dan 5 ontvangers in het Aan-veld staan. Met de optie om ze naar het BCC veld te verplaatsen. Of als ze wel een dergelijke check hebben, hoe kan het genegeerd zijn?

        Helemaal vreemd icm de primaire reactie van bunq: ontkennen dat het een datalek is en het topic daarover weg censureren. Nu is inmiddels wel bekend dat damage control niet bunq's sterke kant is, maar het lekken van persoonsgegevens bagatelliseren is nieuw en staat haaks op de reputatie als de bank die beter is dan de oude foute banken.

        Ik las ergens in het nieuws dat bunq de email adressen niet als persoonsgegevens ziet, maar in de privacy policy staat het expliciet daaronder vermeld. Ook de meldplicht voorbeelden van de AP stelt dat in deze situatie wel melding moet worden gedaan, behalve bij een klein lek. Echter is 99 ontvangers niet meer klein te noemen. Zeker gezien het ook namen bevat, de doelgroep niet volledig betrouwbaar is (een aantal heeft de mail zelfs gedeeld met de media) en er profilering mogelijk is vanwege de targeted mailing.

        Al met al maakt bunq hierin de verkeerde keuze. Ik hoop dan ook dat dit slechts een onhandige paniekreactie is die gaat worden bijgestuurd en geen afzwakking van het algehele privacy beleid. Maar ik ben bang dat ook dit topic gecensureerd gaat worden want te weinig 'positive vibes'. 🥴

          Een e-mailadres is veelal tot een persoon te herleiden en gezien de aard van het lek zou deze ook gemeld moeten worden lijkt mij.

          Zou bunq officieel kunnen reageren waarom ze niet gaan melden?

            @Xander#123233 het topic daarover weg censureren

            Het topic is gewoon nog beschikbaar, dus hier is absoluut geen sprake van censuur.

              Ach het overkomt de beste. Meteen melden, reactie aan nu.deugt.nl geven dat je netjes gemeld hebt en dat er geen doden zijn gevallen en iedereen is het over 5 minuten vergeten.

              Privacy is met alle misbruikmogelijkheden van tegenwoordig natuurlijk wel een dingetje, maar vooral gehypt door de sensatiemedia. Nog niet zo lang geleden wilde iedereen juist graag in het telefoonboek staan, zodat de rest van de wereld zijn contactgegevens kon opzoeken. Lass uns die Kirche im Dorf lassen.

                Just to add a bit of clarity; not all data breach/leaks have to be reported to the authority (AP). There can be valid reasons why a breach/leak hasn’t (and shouldn’t) been reported.

                The organization has to make an assessment of the (potential) impact of the data breach on the protection of personal data and privacy of data subjects.

                If a data breach is not likely to lead to a risk to the “rights and freedoms of data subjects” an organization does not have to report. Whether or not this is the case is up to the organization. But the assessment and decision has to be motivated and if requested (by the authority) explained).

                Keep in mind that these assessments are generally not taken lightly by organizations as any decision can have significant legal consequences.

                If an organization decides not to report it is still necessary to inform the impacted subjects and register the breach/leak in an internal register (which should be made available upon request to the authority + case-by-case motivations why there has been a report or not).

                I am in no position to asses if a report to the authority should have been conducted in this specific case, but just wanted to add that a decision to not report a leak isn’t a sign of trying to “hide” a leak, malpractice or not acting lawfully

                TLDR; by law an organization shouldn’t report everything just for the sake of “being on the safe side” but make case-by-case assessments.

                  @smyles#123287 Ah I see it has indeed been hidden. I
                  Initially closed it but wanted to keep it visible. It appears it has been hidden by someone else unfortunately.

                    To add to @TwitNour#123292 his comment. I again (unfortunately have to say this too often lately) want to emphasise that non of the mods ever hide comments or topics just because it is criticism towards bunq 🌈 aka commiting censorship.

                    We just simply following community guidelines to keep Together clean and fun. And yes, expressing criticism in a respectful way is always possible in our opinion.

                    See also our Community Guideliness.

                      • FMaster

                        • Post #13

                        @TwitNour#123245 Waar dan want ik zie hem niet meer? Ik heb daarin gereageerd en de post staat ook niet meer in mijn recente posts lijst.

                          @Xander#123298 zie mijn vorige post

                            Ein Datenschutzverstoß muss definitiv der zuständigen Stelle gemeldet werden . Dazu gehören auch Email Adressen, welche personenbezogen sind und damit personenbezogene Daten. Der Anbieter hat soweit ich weiß etwa 72h dafür Zeit.

                            E-MAIL Adresse sind aber nur ein geringer Verstoß und daher müssen Nutzer nicht individuell informiert werden. Es sind Daten welche permanent im Umlauf sind. Sie liegen bei jedem Empfänger Rum und wenn das Postfach Mal kompromittiert ist bei einem Empfänger, sind sie da auch kompromittiert.

                              @JohnDo#123295 If it looks like censorship, acts like censorship and it feels like censorship: it probably is. ;) (That business account topic close was 100% censorship and really bad attempt at damage control, for example. And this example here is questionable as well to say the least.) Everybody always hides/cops out behind those guidelines, maybe they should be changed then so they don’t lead to such aggressive moderation anymore. Would make people feel a bit more comfortable too instead of having to walk on eggshells.

                              Can’t the original topic about this problem be unhidden again or merged with other topics? :) I think a merge function would be great for you guys anyway, solves quite some issues.

                              Has bunq reported it to the AP in the meantime btw or no progress yet on this matter? I hope they do, even if to just send a message that they feel privacy protection is important and acknowledge the AP’s role and authority in this matter. In other words: bunq should show a good example and report it. :) It’s less than 5 minutes work anyway.

                              So please bunq, just doooo eeeeeet. :)

                                Just saw that the original thread is hidden now :-(

                                Anyways, for me (personal opinion!) it was good enough that they acknowledged the mistake and said they would revise their internal processes to avoid similar situations in the future. And they did so just a few minutes after the leak.

                                Maybe people is really making too much fuss about it. Even myself, by replying to this thread. So this will be my last contribution to the topic :-)

                                  Hi 👋🏼 All,

                                  I saw there was a discussion / confusion about if bunq 🌈 did or didn't reported this data breach to the authorities.

                                  Because I value correct information, I asked around. The reply below I received from bunqs 🌈 helpful compliance department:

                                  "We reported it to the Dutch Data Protection Authority within 24 hours. Privacy of our users is a priority for us and we will review our internal processes to ensure that any similar incidents are prevented in the future".

                                  So they did report it! Excellent 👌

                                  Have a great day (dispite the rain here)

                                    In jedem Fall ist es gut und wichtig, dass man hier als Kunde regelmäßig mitliest - anderenfalls würde man von solchen Vorfällen gar nicht erst erfahren, schließlich liest nicht jeder ("Ausländer") in den niederländischen Medien.