RTV Utrecht RTV Utrecht RTV Utrecht RTV Utrecht

Gegevens op straat door datalek bij sportbond: 'Mensen beseffen niet hoe gevaarlijk dit is'


PROVINCIE UTRECHT - Dankzij een doodnormale zoekterm kwam RTV Utrecht vanmiddag per abuis terecht op een zeer volledige ledenlijst van een sportbond, waarvan de naam bij de redactie bekend is. Het gaat om een lijst met de volledige persoonsgegevens van zo'n achthonderd leden in de regio Utrecht en het Gooi. "Dit gaat alle grenzen te buiten".

Namen, adressen, telefoonnummers (van zowel de vaste als de mobiele telefoon), geboortedata, e-mailadressen; er is zelfs te zien wie er is overleden. De zeer volledige lijst met adresgegevens staat niet pontificaal op de website van de organisatie vermeld, maar via een simpele zoekterm kom je onbedoeld in de krochten van de webpagina terecht en zie je alle bovenstaande gegevens.

NIETS TE VERBERGEN

De voorzitter van de organisatie reageert geschokt als hij het nieuws hoort. Dit hadden hij en zijn bestuursgenoten niet door. "Dat zou natuurlijk niet mogen!" Hij geeft aan dat er in 2018 wl een AVG verklaring op de site is gezet, vanaf dat jaar moesten alle verenigingen en bedrijven aan de nieuwe privacyregels voldoen. Maar dat deze persoonsgegevens openbaar waren, dat had het bestuur niet door.

Ook een aantal leden heeft niet door dat hun gegevens online zo makkelijk te vinden zijn. Dat blijkt uit een rondgang van RTV Utrecht onder een aantal mensen op de lijst, die uiteraard anoniem worden opgevoerd. Niemand is zich ervan bewust dat hun gegevens zo volledig op internet te vinden zijn. En na erop geattendeerd te zijn, blijkt dat eigenlijk niemand het ook maar iets kan schelen. "Ik heb niets te verbergen!", zegt er n. Een ander: "Ach, iedereen mag mij bellen, ik antwoord altijd vriendelijk". En als laatste: "Ik kan wel boos worden, maar ik zou niet weten wat je met de informatie kunt, dus ik weet ook niet zo goed waarm ik dan boos moet worden".

Men noemt dit soort data 'het nieuwe goud'"
Tanya Wijngaarde

DATA IS GOUD WAARD

Dat het niemand iets kan schelen dat zijn of haar gegevens online staan, is een kwalijke zaak. Want dit soort informatie is voor een cyberdief wat een schat voor een piraat is: goud waard. Dat verduidelijkt Tanya Wijngaarde van Fraudehelpdesk nog eens, die aangeeft dat er allerlei vormen van fraude mogelijk zijn met bovenstaande informatie. "Het belangrijkste is dat slachtoffers met deze informatie heel persoonlijk worden benaderd. Ze worden gebeld of gesmst en daders spreken slachtoffers aan met naam en toenaam. Als ze je adres weten, sturen ze nepboetes of doen zich voor als de belastingdienst."

Een geboortedatum weten is al helemaal gevaarlijk, zo blijkt. Wijngaarde: "Een geboortedatum wordt heel vaak gebruikt als identificatie. Bel je je bank? Dan wordt vaak gevraagd of je je geboortedatum ter controle nog door kunt geven. Zodoende kan een dief een adreswijziging doorgeven of geld wegsluizen."

"Mensen realiseren zich niet hoe gevaarlijk dit is", vervolgt Wijngaarde. "Met data zijn allerlei fraudevormen mogelijk. Men noemt dit soort data niet voor niets 'het nieuwe goud'." Meldingen van een datalek komen bij de Autoriteit Persoonsgegevens regelmatig voor, meldt een woordvoerder. Als mensen zien dat hun gegevens openbaar zijn gemaakt, kunnen ze de bron (bijvoorbeeld een website) aanspreken. Mocht dat niet helpen, dan kan iemand een klacht indienen bij de Autoriteit Persoonsgegevens. "Privacy is erg belangrijk. Het is zaak dat persoonsgegevens goed beschermd worden en dat als ze worden verspreid, men daar toestemming voor geeft", aldus de woordvoerder. Na een klacht onderneemt de Autoriteit Persoonsgegevens actie.

DATALEK

Bij eerder genoemde sportbond is het in elk geval duidelijk dat er geen kwade bedoelingen in het spel zijn. Na de waarschuwing van RTV Utrecht gaat de voorzitter dan ook meteen over tot actie: die lijst moet van de website, en het liefste vandaag nog. Er wordt meteen contact gezocht met de webmaster.

Je kunt dit een datalek noemen"
Paul Wouters

Volgens Paul Wouters van Stichting AVG Verenigingen is die haast meer dan terecht. "Sportverenigingen moeten zich absoluut houden aan de AVG en dat gaat zelfs heel streng. Je mag nog geen sportfoto publiceren zonder iedereen op de foto om toestemming te vragen. Dus zo'n hele lijst met namen en mailadressen: dat is absoluut niet in lijn met alle regels die er zijn. Je zou dit een datalek kunnen noemen." Wouters legt uit dat dergelijke informatie alleen met toestemming van leden gepubliceerd mag worden, "maar of dat in dit geval is gebeurd, vraag ik mij af. En als sportvereniging moet je je afvragen of je dat met dit soort gegevens uberhaupt moet willen."

Aan het einde van de dag stuurt de voorzitter een berichtje: "Kijk ff". En na een klik op de desbetreffende link blijkt dat de leden van dze Utrechtse sportbond in elk geval weer opgelucht adem kunnen halen: '404-page not found'.

Op de werkelijke lijst stonden nog veel meer gegevens dan hier zichtbaar is.

Per abuis kwam RTV Utrecht terecht op de internetlink met alle persoonsgegevens van zo'n achthonderd mensen in de regio Utrecht en het Gooi. Daarop is meteen contact gezocht met de desbetreffende organisatie. De naam van die organisatie en de naam van de voorzitter zijn bij de redactie bekend. Om te voorkomen dat dergelijke gegevens in verkeerde handen terecht komen, is besloten om dit verhaal te anonimiseren. RTV Utrecht acht het wl van belang om het verhaal te melden om lezers erop attent te maken wat de gevaren zijn van het niet goed schuilhouden van je persoonsgegevens.


Heb je een tip of opmerking? Stuur ons je nieuws of foto via WhatsApp of mail naar nieuws@rtvutrecht.nl.






Nieuwsoverzicht