NMBS-lek naar justitie
Na een gesprek met de NMBS beslist de Privacycommissie dat het lek duidelijk een overtreding van de wet betreft en de informatie zal aan het gerecht worden doorgespeeld.
Het geplande gesprek tussen de ‘Commissie voor de bescherming van de persoonlijke levenssfeer’ (CBPL, de Privacycommissie) en de NMBS resulteerde vandaag in de conclusie dat het lek van klantengegevens weldegelijk een overtreding van de Privacywet betreft. Hierbij wordt verwezen naar de artikels 4 en art 16 par 4, die onder meer verwijzen naar de verplichting van personen en bedrijven om te voorzien in een degelijke bescherming van persoonsgebonden gegevens tegen misbruik, diefstal en dies meer.
“De uitleg van de NMBS was uitgebreid en plausibel,” stelt commissievoorzitter Willem Debreuckelaere. Concreet was het geen systeemfout of een hackersaanval, maar betrof het een menselijke fout bij het samenvoegen van twee bestanden door NMBS Europe (respectievelijk van online klanten en personen die een beroep hadden gedaan op het call center). Blijkbaar werd het betrokken werkdocument op een server geplaatst die open stond voor het internet en waar ‘crawlers’ als deze van Google toegang toe hadden. De NMBS heeft het bestand snel weggehaald toen het van de toestand op de hoogte was gebracht, maar het bestand zou wel van “mei 2012 toegankelijk zijn geweest, en het is niet duidelijk hoe vaak het in de voorbije maanden werd gedownload.”
De Privacycommissie zal, zoals voorzien, de informatie doorgeven aan het gerecht, waar de procureur alsnog zal beslissen of een rechtszaak aanhangig wordt gemaakt. Deze zou dan eventueel kunnen resulteren in een geldboete voor de NMBS. Personen kunnen eventueel zelf een klacht indienen bij de rechtbank, maar moeten dan in staat zijn een reële schade aan te tonen om kans te maken op een schadevergoeding. Ondertussen hebben al 2014 personen contact opgenomen met de Privacycommissie.
Hoewel er (nog) geen wettelijke verplichting is om personen die het slachtoffer zijn van een datalek te contacteren, gaat de commissie het voorval opvolgen (onder meer volgende woensdag, op de volgende geplande vergadering van de commissie). Een gezamenlijk initiatief van de NMBS en de commissie naar de betrokkenen wordt daarbij overwogen. Ondertussen heeft de NMBS blijkbaar al contact opgenomen met personen via Facebook.
Maak er werk van
Commissievoorzitter Debreuckelaere sluit niet uit dat we nu een periode zullen kennen waarin allicht nog meer dergelijke voorvallen zich zullen aandienen, omdat er ongetwijfeld actief zal worden gezocht door personen. “Ik stel mezelf de vraag ‘wanneer zal het volgende lek naar boven komen?'” klinkt het. Bedrijven, organisaties en instellingen kunnen dan ook beter één en ander opnieuw eens serieus onder de loep nemen, bijvoorbeeld met het oog op goede afspraken, procedures, waarschuwingssystemen en dies meer. De Privacycommissie heeft overigens terzake al heel wat adviezen en raadgevingen gepubliceerd.
Bij dit voorval ging het “wel om een grote data breach. Het betreft geen gezondheids- of financiële gegevens,” klinkt het, “maar die gegevens zijn er wel in heel wat bedrijve en organisaties. Ik hoop dat hierdoor de alertheid groter is geworden, want datalekken zijn geen ‘faits divers'” aldus Debreuckelaere.
Fout opgemerkt of meer nieuws? Meld het hier