beantwoord

Melding, fout in omgang met persoonsgegevens Mijn NS.

  • 8 oktober 2015
  • 39 reacties
  • 1248 Bekeken


Toon eerste bericht

39 reacties

Ik communiceer liever met mensen die er verstand van hebben of rechtstreeks met de Privacy Officer.
Even een update voor de liefhebbers:

Kort na mijn laatste bericht in dit topic heeft NS mij via een privébericht laten weten dat verscheidene medewerkers van NS even met mij wilden 'sparren' over dit onderwerp. Het verzoek was of ik daarvoor een e-mailadres of telefoonnummer wilde doorgeven. Dat heb ik gedaan. Sindsdien heb ik er niets meer over gehoord.

Inmiddels heb ik geen zin meer om NS er verder mee te helpen.
Dus het 'lek' is er nog steeds:?🆒
Of is het probleem opgelost zonder jou te informeren:?
Het is deels geen lek, maar een bewuste keuze van NS... En voor het andere deel zijn ze nog niet in staat geweest het te reconstrueren, maar volgens hen kan het ook zo zijn dat ze iets over het hoofd zien... Ik weet zeker dat dat laatste het geval is.
Onze Privacy Officer heeft de case inmiddels in beheer. Als er iets terug te koppelen is doe ik dat.
De communicatie verloopt inmiddels via mail en privébericht.
De communicatie verloopt inmiddels nauwelijks. Er is geen contact geweest tussen mij en de Privacy Officer. NS gelooft niet dat er een lek is en wil er blijkbaar alleen telefonisch met mij over spreken. NS ziet niet in dat het fout is dat gegevens in de Mijn NS-omgeving gewijzigd kunnen worden via een formuliertje dat elders op de website van NS te vinden was (op het moment dat ik het testte). Daarbij wordt niet (of beperkt) gekeken naar het IP-adres van de gebruiker, maar alleen naar een combinatie twee van de parameters 'naam', 'geboortedatum' en 'mailadres'. In principe is het daarmee niet mogelijk om een account over te nemen. Dat verandert echter als er een bepaalde handeling met de nieuwe gegevens uit het account wordt uitgevoerd.
Roger van Boxtel is geboren op 8 februari 1954. 😉
@De Luchmacht 2
Is dit lek nog altijd open?
Ik ben er niet meer mee bezig geweest, Pe-pe. Ik denk het wel. Uit de beperkte correspondentie die heeft plaatsgevonden, maak ik op dat NS er het gevaar niet van inziet en dat ze denken dat de boel wel degelijk veilig is.

Ik heb overigens wel een uitnodiging ontvangen om er in Utrecht over te komen praten. Ik heb daar niet op gereageerd. Dat kost me een hele (werk)dag. Daar heb ik geen zin in.
Gewoon wachten tot 1 januari en dan gaat de nieuwe wet datalekken in. Daarin is veel beter vastgelegd welke verantwoording een bedrijf hierover. De boetes zijn ook niet mals, verder dient een bedrijf binnen 72 uur te melden ook aan de betrokken klanten indien zij er last van kunnen ondervinden.
En hoe nu verder:?
Ik zal er binnenkort eens mee aan de slag gaan. Ik heb een mooi lijstje met namen van mensen die ik hier graag mee in verlegenheid breng.

Reageer