Verkeerde mail

flowe94 schreef: ↑

06-08-2018 16:10

Ik zal het even duidelijker maken
Ik werk ergens en wij moesten iets opsturen naar een klant. Verzendkosten waren voor rekening klant en zij heeft haar cc gegevens gemaild en ik heb perongeluk die mail naar iemand anders gestuurd met dezelfde naam als die persoon. Ik heb op doorsturen ipv beantwoorden geklikt en bij automatische aanvulling kwam het mailadres van die andere dame. Ik heb dat niet gezien dus dacht dat ik gewoon geantwoord had.
Ben erop aangesproken door leidinggevende. Begrijpelijk ook want het is nogal een stomme fout...
Die andere dame mailde dus terug dat de gegevens niet voor haar bestemd zijn. Werk kent haar goed en ze heeft alles gewist.

Er is dus geen lek, het is gewoon heel dom van mij! Maar omdat het toch om cc gegevens gaat (en haar adres stond er dus ook nog eens) ben ik bang dat er onderzoek oid zou kunnen komen van bijv recherche?

Dat is wel degelijk een datalek hoor.
Ik zou me meer met de klant bezig houden, wiens cc-gegevens in andersmans handen zijn gevallen dan met je eigen hachje. Als klant zou ik dit absoluut willen weten, zodat ik er actie op zou kunnen zetten (denk aan cc blokkeren en nieuwe aanvragen). Is die klant wel ingelicht? Als ik als klant netjes ingelicht zou worden, zou ik nog denken dat het inderdaad een menselijke fout is. Als ik er later per ongeluk achter zou komen en niet geïnformeerd zou zijn, dan zou ik zomaar andere stappen kunnen ondernemen omdat ik dan zou menen dat het opzettelijk zou gebeuren en zou ik een melding of aangifte niet ondenkbaar vinden. Want ja; jullie kunnen die derde persoon (per ongeluk geadresseerde wel kunnen kennen en vertrouwen); ik zou dat als klant echt niet zomaar doen.
Overigens begrijp ik ook niet dat klant cc-gegevens mailt. Echt zo dom.

En of dit een datalek is! Ook als de ontvanger het inderdaad permanent gewist heeft, zijn gevoelige gegevens van een klant bij een ander terecht gekomen. Dit moet gemeld worden bij de relevante instantie, volgens de procedure van je bedrijf. Dat betekent waarschijnlijk dat je leidinggevende of bijvoorbeeld een privacy officer het moet melden.
Op zich hoeven dit soort dingen niet per se enorme gevolgen te hebben, maar niet melden heeft dat zeker wel als ze er achter komen (daar staan hele hoge boetes op).
Als het netjes gemeld wordt, is er een stuk minder aan de hand. De betreffende klant zal ingelicht worden (en terecht), en het bedrijf moet zijn procedures na lopen om te zien hoe dit voorkomen kan worden. En dat lijkt me niet meer dan terecht, want dit zou niet zomaar moeten kunnen (het bedrijf zou cc gegevens nooit zomaar via mail mogen versturen).

Van jou is het een stomme fout, dat weet je zelf ook wel. Maar dat valt op zich in de categorie: mensen maken nou eenmaal fouten. Daar kun je niet persoonlijk verantwoordelijk voor gehouden worden, tenzij ze echt kunnen aantonen dat je het express gedaan hebt (stel dat de ontvanger bv heel toevallig jouw beste vriendin is, en die heeft er meteen als een malle mee geshopt, dan is het natuurlijk een ander verhaal dan nu). Als jij het bij leidinggevende hebt gemeld, en voortaan tien keer kijkt of dit niet meer gebeurd, heb jij gedaan wat je moest. Het feit dat het uberhaupt kon is eigenlijk erger en het bedrijf moet wel actie ondernemen.

(Overigens is dit niet echt een gevolg van die nieuwe wet hoor, ook onder de oude wet was dit een datalek wat gemeld had moeten worden).

Wow, dus jullie sturen creditcardgegevens van een klant door naar iemand anders en dan informeren jullie de klant niet eens?

En dan ben je eigenlijk vooral benieuwd of je hiervoor aansprakelijk gesteld zou kunnen worden

Ik mag toch hopen dat de klant ingelicht is. Zodat zij alert kan zijn of haar creditcard kan inactiveren, zou ze dat willen.

De klant moet hiervan op de hoogte gebracht worden. Ik zou het willen weten iig.

En waarom denk je dat de recherche langskomt??

Ondanks dat de betrokkene alle gegevens heeft gewist, is dit wel degelijk een datalek en dient dit gemeld te worden ipv dat je het op een openbaar forum neerplempt.
Tevens dient dit gemeld te worden bij de eigenaar van de cc.
Ik vind het ronduit maf dat jij (en het bedrijf) beschikt over de cc gegevens van een klant.
Dat mag gewoonweg niet, dat is een overtreding.

Als ik die persoon was waarvan de cc gegevens naar een ander zou worden gestuurd, had ik een politiemelding gedaan.

Hoe kom je uberhaupt aan die gegevens?

Wat een slechte zaak .

Jij hebt een menselijke fout gemaakt (de meeste datalekken ontstaan door menselijk handelen), en je leidinggevende ingelicht. Meer kun je nu niet doen; hoe verder te gaan ligt bij je leidinggevende. Het feit dat jullie werkprocessen zo zijn ingericht dat dit zo gemakkelijk heeft kunnen gebeuren, is niet jouw schuld of verantwoording. Ik zou me hier dus niet meer druk over maken.

Lieveling schreef: ↑

06-08-2018 15:02

In dat geval is het toch geen datalek want je hebt geen persoonsgegevens naar onbevoegden gemaild toch? Het grootste risico is dan dat die verkeerde Anne de bedrijfscreditcard gebruikt om eigen aankopen te doen.

Een creditcardnummer valt wel onder persoonsgegevens. Het nummer is te herleiden naar een persoon.

Sara9876 schreef: ↑

07-08-2018 15:55

Een creditcardnummer valt wel onder persoonsgegevens. Het nummer is te herleiden naar een persoon.

Lieveling heeft het over als het een bedrijfscreditcard is, niet gebonden aan een bepaald persoon dus.
Maar het bleek later toch over een persoonlijke creditcard te gaan.

Zelfs bij een mail terug aan een klant die creditcardgegevens stuurt zou ik de cc-gegevens vervangen door sterretjes, dat heb ik tenminste altijd zo gedaan. Ook in een reply ipv een forward zijn die gegevens overbodig om mee terug te sturen en kunnen ze onderschept worden door een verkeerde persoon. In het onmogelijke geval dat ik al mijn creditcardgegevens in een mail naar een bedrijf stuur, zou ik direct op mijn achterste benen staan als ik ze in een reply van het bedrijf weer terug zag staan. Ik denk dus dat jullie hele bedrijf nogal een matige policy heeft op dit gebied.

Ga je nog reageren TO? Vooral de vraag of de eigenaar van de CC wel geïnformeerd is dat zijn/haar cc-gegevens bij een ander terecht zijn gekomen, houdt ons hier bezig.

yasmijn schreef: ↑

07-08-2018 09:46

Ik vind het ronduit maf dat jij (en het bedrijf) beschikt over de cc gegevens van een klant.
Dat mag gewoonweg niet, dat is een overtreding.

hoezo?
waarom zou dat niet mogen, als de klant zelf het nummer doorgeeft?
als je een hotel boekt of een auto reserveert geef je ook je cc nummer door.

flowe94 schreef: ↑

06-08-2018 16:10

Ik zal het even duidelijker maken
Ik werk ergens en wij moesten iets opsturen naar een klant. Verzendkosten waren voor rekening klant en zij heeft haar cc gegevens gemaild en ik heb perongeluk die mail naar iemand anders gestuurd met dezelfde naam als die persoon. Ik heb op doorsturen ipv beantwoorden geklikt en bij automatische aanvulling kwam het mailadres van die andere dame. Ik heb dat niet gezien dus dacht dat ik gewoon geantwoord had.
Ben erop aangesproken door leidinggevende. Begrijpelijk ook want het is nogal een stomme fout...
Die andere dame mailde dus terug dat de gegevens niet voor haar bestemd zijn. Werk kent haar goed en ze heeft alles gewist.

Er is dus geen lek, het is gewoon heel dom van mij! Maar omdat het toch om cc gegevens gaat (en haar adres stond er dus ook nog eens) ben ik bang dat er onderzoek oid zou kunnen komen van bijv recherche?

Er is dus wel een lek, en gezien de ernst verplicht melden bij de AP binnen 72 uur, en in dit geval ook bij de klant waarvan je nogal gevoelige info hebt gelekt.