Een ethisch hacker heeft Arriva gewaarschuwd voor een datalek in het contactformulier. Hij was in staat om van 195.000 klanten alle gegevens in te zien die zij hadden ingevuld op het contactformulier op de website van het vervoersbedrijf.
Telefoonnummer
Arriva vroeg op het formulier behalve om de voornaam, achternaam en het e-mailadres ook om het telefoonnummer en de geboortedatum. “Doordat Arriva het telefoonnummer vroeg, heeft het ov-bedrijf mensen met bijvoorbeeld een geheim nummer in de problemen gebracht”, verklaart beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom. “Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen.”
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) heeft laten weten dat de privacywetgeving hier duidelijk over is. “Een bedrijf mag alleen gegevens opvragen die nodig zijn voor het doel waarvoor je het formulier invult”, licht woordvoerder Mark Schenkel toe. “Heb jij een vraag aan een bedrijf, en wil je dat dat bedrijf contact met je opneemt per e-mail? Dan is je naam en mailadres in de meeste gevallen voldoende.”
Beveiliging
Na de ontdekking heeft Arriva het formulier tijdelijk offline gehaald. Vervolgens heeft het vervoersbedrijf onderzoek gedaan naar het datalek. De beveiliging zou inmiddels weer zijn hersteld. Alle klanten die door het datalek zijn getroffen, zijn volgens de woordvoerder persoonlijk ingelicht.
Klik hier voor het bericht van Arriva over het datalek.