Datalek bij autobedrijven treft mogelijk miljoenen Nederlanders, bracht NOS op 25 maart 2021 naar buiten. Het gaat om een datalek bij RDC en het is misschien wel één van de grootste Nederlandse datalekken ooit. De gegevens van ruim 7 miljoen Nederlandse autogarage-klanten liggen op straat. Of beter gezegd: op een populair hackersforum is de database met daarin voertuig- en contactgegevens te koop. Gelukkig zien we dat steeds meer betrokken autobedrijven aan hun wettelijke verplichting voldoen en de gedupeerden informeren. Aangezien ook wij vragen krijgen — hoewel wij hier compleet los van staan —, lijkt het ons goed hierover te schrijven.
Wie of wat is het RDC, waar de gegevens lekten?
RDC is een softwareleverancier die applicaties verkoopt aan autogarages. Applicaties die klantgegevens bijhouden, proefritten registeren en die het mogelijk maken berijders te benaderen over de APK of om ze te herinneren aan de onderhoudsbeurt van hun voertuig. Heb je onderhoud ingepland bij een autogarage of een brochure aangevraagd? Dan kan het zijn dat jouw gegevens in de database van RDC staan — en dus gelekt zijn.
Het datalek: waar gaat het precies om?
NOS schrijft dat de database van 7,3 miljoen mensen herleidbare gegevens bevat. RDC gaf aan dat dit aantal reëel is. Het gaat om 60% van de gehele database van RDC. De gelekte gegevens bestaan uit:
- NAW-gegevens
- e-mailadressen
- kentekens
- telefoonnummers
- geboortedata
Het gaat om verouderde data — volgens RDC dateren ze uit de periode september 2018 – januari 2019. Maar, let op: dat wil niet zeggen dat er alleen gegevens uit die periode gelekt zijn. De database kan ook oudere gegevens bevatten. NOS vond bijvoorbeeld gegevens van auto’s die meer dan tien jaar geleden bij een autogarage — die gebruikmaakte van een door RDC ontwikkelde applicatie — zijn geweest.
Heeft het datalek mogelijk ook gevolgen voor jou als werkgever?
RDC meldde het lek bij de Autoriteit Persoonsgegevens. Ook de autobedrijven die applicaties van RDC gebruik(t)en moeten deze melding doen. Onder andere brancheorganisatie BOVAG wees haar leden op die wettelijke verplichting om klanten op de hoogte te brengen van het datalek. Inmiddels zien wij dat een aantal autobedrijven ook onze klanten aanschrijven.
Het is voor ons niet mogelijk om inzage te krijgen in de database — wij weten dus ook niet welke berijders er betrokken zijn bij het datalek. Berijders maken vaak zelf onderhoud- en reparatie-afspraken bij de betreffende dealer, dus ook daar hebben wij niet direct zicht op.
In sommige gevallen kan de leasemaatschappij jou als werkgever helpen aan een overzicht van waar werknemers hun auto in onderhoud hebben of bij welke dealers voertuigen zijn afgeleverd. Vaak is hier tussen de klant (jij als werkgever in dit geval) en de leasemaatschappij iets over afgesproken in de Verwerkersovereenkomst. Denk bijvoorbeeld aan het artikel waarin de andere partij verzocht wordt in dit soort gevallen medewerking te verlenen aan het onderzoek en eventueel informeren van betrokkenen.
Informeer medewerkers waarvan de gegevens mogelijk te koop zijn
Vermoed je dat gegevens van (een deel van) je medewerkers in de database voorkomen? Dan kan het nodig zijn je medewerkers te informeren. Leg dit vooral voor aan de daarvoor verantwoordelijke functionaris binnen je bedrijf.
Zijn de gegevens van een van je medewerkers gelekt? Dan kan je werknemer als het gevolg hiervan slachtoffer worden van bijvoorbeeld phishing. Doordat de kwaadwillende partij weet waar je medewerker woont, wat de geboortedatum is en welke auto zij of hij rijdt of reed, kan deze het vertrouwen wekken een legitieme partij te zijn. Met alle gevolgen van dien.
Hulp nodig? We helpen waar we kunnen!
Hoewel wij geheel losstaan van RDC en het datalek (en daardoor ook weinig invloed kunnen uitoefenen), helpen we natuurlijk graag waar we kunnen. Heb je bijvoorbeeld informatie nodig over wie volgens onze gegevens allemaal een auto van de zaak reed? Of heb je hulp nodig bij het aanschrijven van je medewerkers? Ook dan staan we natuurlijk voor je klaar.