Wellicht heb je het al gehoord of opgevangen dat hackers hebben ingebroken in de database van RDC op 25 maart jongstleden. De politie heeft Pon Porsche Import op de hoogte gesteld van deze digitale inbraak als gevolg van het datalek bij RDC eerder deze week. Helaas kan dit tot gevolg hebben dat niet alleen Pon Porsche zelf maar ook haar klanten getroffen zijn. En dus zijn misschien ook jouw NAW gegevens, zoals emailadressen, voertuiggegevens, telefoonnummers enz. in handen zijn gekomen van criminelen. Pon Porsche waarschuwt dan ook extra alert te zijn op spam, phishing via emails, sms, whatsapp of zelfs telefoon.
Pon Porsche zal je nooit benaderen met een verzoek dat ze werkzaamheden aan jouw auto willen uitvoeren en daarvoor willen langskomen op jouw huisadres of je vragen de auto ergens langs te brengen.
Pon Porsche laat weten dat de klanten inmiddels zijn geïnformeerd. En dat klopt, ook ik kreeg inmiddels een email waarin ik werd geïnformeerd. Verder verklaarde ze “Wij doen op dit moment onderzoek en zijn in nauw contact met de relevante autoriteiten Wij zullen onze klanten zo spoedig mogelijk informeren en doen er alles aan om eventuele overlast voor hen zoveel mogelijk te beperken.“
Het RDC komt met de volgende verklaring
Op 24 maart kreeg RDC het bericht dat er op internet voertuig- en persoonsgegevens te koop zijn die mogelijkerwijs afkomstig zouden zijn van RDC. Direct na de melding is RDC een onderzoek gestart waarmee achterhaald kan worden of die gegevens inderdaad via RDC verkregen zijn. Nader onderzoek wees uit dat de gegevens inderdaad van RDC afkomstig zijn. Het gaat om verouderde gegevens (uit september 2018 tot eind januari 2019). Uit onze security-loggegevens blijkt dat er geen sprake is (geweest) van een hack. We onderzoeken nu hoe de gegevens dan wel buiten ons domein terecht zijn gekomen. Wanneer we daar meer over weten, komen we direct bij u terug met nadere informatie. We zijn hier enorm van geschrokken. Als vanzelfsprekend hebben we direct een melding bij de Autoriteit Persoonsgegevens gedaan. We kunnen ons voorstellen dat u vragen heeft. U kunt daarvoor bellen met de medewerkers van onze servicedesk op nummer 020 – 644 55 53.
We hebben inmiddels Fox-IT, expert op het gebied van computer- en netwerkbeveiliging, in huis gehaald om met ons te onderzoeken hoe de gegevens buiten ons domein terecht zijn gekomen. Ook zijn we in contact met de politie om aangifte te doen. In het belang van het onderzoek zullen we relevante informatie delen wanneer dat kan.
Verder hebben zij de meest gestelde vragen hieronder voor je op een rij gezet.
Staat uw vraag er niet tussen? Neem gerust contact op met onze helpdesk, bereikbaar op 020-644 55 53 of per mail op servicedesk@rdc.nl.
Vraag 1: Zijn mijn data in handen gekomen van kwaadwillenden?
De kans is aanwezig dat dat zo is. De verkoper van de voertuig- en persoonsgegevens zegt over 60 % van door ons verwerkte data te beschikken.
Vraag 2: Welke data zijn er gelekt?
Het betreft persoons- en voertuiggegevens van klanten van autobedrijven: naw-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata. Het gaat uitdrukkelijk niet om BSN en rekeningnummers
Vraag 3: Hoe zijn de data gelekt?
We onderzoeken nu samen met Fox-IT hoe de gegevens buiten ons domein terecht zijn gekomen.
Vraag 4: Wat is de status van het datalek?
Op dit moment is de exacte omvang van het datalek nog niet bekend. Wij doen er nu samen met Fox-IT alles aan om de precieze oorzaak en impact te achterhalen.
Vraag 5: Wat betekent dit voor mij/mijn bedrijf?
RDC heeft aan de Autoriteit Persoonsgegevens aangegeven dat de bron van het datalek bij haar ligt. RDC zal over dit datalek en de melding richting de Autoriteit Persoonsgegevens nog via formele kanalen, richting de media en de betrokken autobedrijven communiceren.
Vraag 5a: Wat betekent dit voor consumenten?
De mogelijkheid bestaat dat u via e-mail, post en of telefonisch benaderd wordt door iemand die zich voordoet alsof hij/zij een medewerker is van het autobedrijf waar u zaken mee doet/deed. Verifieer altijd of u daadwerkelijk te maken heeft met een medewerker van uw autobedrijf.
Vraag 6: Zijn er ook wachtwoorden van consumenten gelekt?
Voor zover tot nu toe bekend zijn er geen wachtwoorden van consumenten gelekt.
Vraag 7: Zijn er onbevoegden in de omgeving van RDC geweest?
Dat weten we nog niet. Daar doen we nu samen met Fox-IT onderzoek naar.
Vraag 8: Wat betekent dit voor de software van RDC?
We zijn op dit moment de beveiliging van de verschillende softwareproducten aan het onderzoeken en verbeteren. Er worden voortdurend maatregelen getroffen om er voor te zorgen dat de software veilig gebruikt kan (blijven) worden.
Vraag 9: Zijn er ook mailadressen en IP-adressen gelekt?
Ja, er zijn rond 2,5 miljoen mailadressen gelekt. Er zijn geen ip-adressen gelekt.
Vraag 10: Moeten autobedrijven nu een melding doen bij de Autoriteit Persoonsgegevens?
Ja. Maar wij helpen u daarbij. Er is een document opgesteld waarin wij stap voor stap uitleggen wat te doen. Alle direct betrokken autobedrijven hebben dit document inmiddels van ons ontvangen.
De melding kunt u hier doen:
https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Vraag 11: Gaat RDC ook consumenten informeren over het datalek?
Nee, dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten. Wel doen wij er alles aan om de autobedrijven zo goed en uitgebreid mogelijk te informeren, en te ondersteunen in hun communicatie naar de consument.
Vraag 12: Zijn autobedrijven verplicht al hun klanten van het datalek op de hoogte te brengen?
Wij raden dat dringend aan. De autobedrijven als verwerkingsverantwoordelijke beslissen zelf of zij hun klanten informeren. In het kader van de AVG-wetgeving en zorg voor hun klanten is het goed als autobedrijven hun klanten proactief benaderen.
(Uit de Guideline van de Autoriteit Persoonsgegevens) “Wanneer de inbreuk in verband met persoonsgegevens (het datalek) waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee. Dit risico bestaat als de inbreuk kan leiden tot lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn. Voorbeelden van dergelijke schade zijn discriminatie, identiteitsdiefstal of -fraude, financieel verlies en reputatieschade.
Factoren waarmee rekening moet worden gehouden bij de beoordeling van (hoog) risico zijn onder andere:
- De omvang en gevoeligheid van de persoonsgegevens;
- Het gemak waarmee personen kunnen worden geïdentificeerd;
- Ernst van de gevolgen voor personen;
- Het aantal getroffen personen.
De beoordeling en de verdere afweging om de betrokkenen te informeren ligt bij de verwerkingsverantwoordelijke(n).”
Wij hebben voor autobedrijven een bericht klaargezet in CaRe-Mail dat zij aan hun klanten kunnen doorsturen, maar zij kunnen ook voor een ander bericht kiezen. Aangezien het incident in de landelijke pers geweest is, is een proactieve benadering van klanten aan te raden.
Vraag 13: Ik gebruik CaRe-Mail nog niet zo lang. Moet ik toch melding doen?
Wij adviseren dat wel te doen. Hoewel wij er, op basis van wat wij nu weten, nog steeds vanuit gaan dat het oudere gegevens betreft, kunnen we dat helaas nog steeds niet met zekerheid stellen.
Vraag 14: Wie is de eigenaar van de gegevens die buiten het domein van RDC terecht zijn gekomen: RDC of het autobedrijf?
RDC is een Business to Business-bedrijf. We leveren softwarediensten waarmee de autobedrijven onder andere mailings kunnen versturen. De autobedrijven zijn eigenaar van data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. RDC is voor deze diensten ‘in de zin der wet’ de “Verwerker” van de gegevens; wij handelen in opdracht van de autobedrijven. Zo kan RDC alleen in opdracht van de autobedrijven gegevens aanpassen of verwijderen..
Vraag 15: Hoe kan het dat er gegevens van meer dan 10 jaar oud in de Dealer Management Systemen van autobedrijven voorkomen? Waarom worden deze data zo lang bewaard?
De autobedrijven zijn eigenaar van de data die zij in hun systemen hebben opgeslagen; zij bepalen zelf welke gegevens zij met welk doel in hun systemen opslaan. Dit zal bijvoorbeeld het geval zijn wanneer u koopt, huurt of in onderhoud heeft. Persoonsgegevens mogen volgens de AVG-wetgeving niet langer bewaard worden dan nodig is. De AVG gaat uit van een eigen verantwoordelijkheid van de verwerkingsverantwoordelijke.
Vraag 16: Hoe kunnen consumenten achterhalen of hun gegevens buiten het RDC-domein zijn terecht gekomen?
We kunnen niet met zekerheid zeggen welke gegevens buiten het RDC-domein terecht zijn gekomen. De heler van de voertuig- en persoonsgegevens zegt over 60% van door ons verwerkte data te beschikken; we weten niet welke gegevens tot die 60% behoren. U als consument heeft vanuit de wet het recht (van betrokkene) om te weten of en welke van uw persoonsgegevens worden verwerkt door de eigenaar van de gegevens. Omdat uw autobedrijf eigenaar is van de gegevens die zij in haar systemen heeft opgeslagen (zie het antwoord op de vorige vraag), moeten we u hier helaas voor doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.
Vraag 17: Kan ik als consument RDC aanspreken op het feit dat mijn persoons- en voertuiggegevens mogelijkerwijs buiten het RDC-domein terecht zijn gekomen?
Nee, dat is juridisch niet mogelijk. Autobedrijven zijn de eigenaar van uw klantgegevens; RDC is de verwerker van die gegevens (zie ook vragen 11 en 14). Mocht u vragen hebben over gegevens, dan moeten we u hiervoor helaas doorverwijzen naar het autobedrijf waarmee u zaken doet. We lopen niet voor onze verantwoordelijkheid weg, maar zijn gebonden aan wet- en regelgeving.
Inmiddels heeft het RDC ook haar klanten benaderd
RDC-onderzoek datalek (update 28 maart) |
Beste klant, Zoals u vast wel uit de media zult hebben vernomen, hoorden wij op woensdag 24 maart dat er op internet voertuig- en persoonsgegevens te koop stonden die mogelijkerwijs afkomstig zouden zijn van RDC. Uit het onderzoek dat wij direct opstartten bleek dat de gegevens inderdaad tot RDC te herleiden waren. We hebben afgelopen dagen dag en nacht doorgewerkt om te achterhalen hoe het kan dat de gegevens die afkomstig waren uit onze tool CaRe-Mail, buiten ons domein terecht zijn gekomen. Zoals eerder gemeld hebben wij op basis van onze security-loggegevens geen aanwijzingen gevonden dat er sprake is geweest van een hack op ons netwerk. Om hier zeker van te zijn, hebben de cybersecurity-experts van Fox-IT dat uitvoerig getoetst door middel van onder andere een pentest (penetratietest) die eventuele kwetsbaarheden van de CaRe-Mailomgeving aan het licht moet brengen. Het forensisch onderzoek heeft vooralsnog geen sporen van een hack aangetoond. Daarnaast zijn er een aantal inzichten naar boven gekomen die ons dichterbij de daadwerkelijke oorzaak van dit datalek brengen. Helaas kunnen wij hangende het onderzoek nog niet aangeven wat dit concreet betekent. Wij zetten het onderzoek met Fox-IT door om achter de oorzaak te komen. Om er zeker van te zijn dat er geen nieuw datalek ontstaat, hebben we samen met Fox-IT voor de hele RDC-omgeving ‘verhoogde dijkbewaking’ ingevoerd. Zo hebben we onze omgeving nog veel verder dicht gezet dan al het geval was om zo veel mogelijk veiligheidsrisico’s te elimineren. Is alle software van RDC gewoon te gebruiken? Ja, dat kan. Door alle maatregelen die we afgelopen dagen hebben getroffen, hebben we er vertrouwen in dat de hele RDC-omgeving en al onze applicaties veilig zijn. Natuurlijk blijven we onze omgeving scherp monitoren om de veiligheid te waarborgen. Jan-Willem Gefken (directeur RDC): ‘We zijn hier enorm van geschrokken. Sinds woensdag zijn we met man en macht aan het werk om ervoor te zorgen dat we de overlast voor onze zakelijke klanten en hun klanten zoveel mogelijk beperken. Wij zijn met hen in contact en proberen hen zo goed mogelijk bij te staan. Het moge duidelijk zijn dat we er alles aan doen om de onderste steen boven te krijgen. Zodra we meer informatie hebben, zullen we die met alle betrokkenen delen.’ Heeft u vragen? Bekijk dan onze pagina met de meest gestelde vragen en antwoorden. Staat uw vraag daar niet bij? Neem dan contact op met onze servicedesk op 020-644 55 53. Met vriendelijke groet, RDC |
Samen slachtoffer
Laten we afwachten wat de uitkomst van het onderzoek van de autoriteiten zal zijn en intussen vooral alert blijven. Een ding is wel duidelijk; ook Pon Porsche is net als wij ook slachtoffer geworden van deze criminelen.
Merk je wat vreemds en heb je twijfels en/ of vragen, neem dan gerust contact op met jouw Porsche Dealer.