De website en app MyFitnessPal is getroffen door een datalek. Daarbij zijn waarschijnlijk gegevens van 150 miljoen gebruikers waaronder gebruikersnamen, e-mailadressen en versleutelde wachtwoorden op straat te liggen. Wie er achter het lek zit, is niet bekend. Maar belangrijk voor nu is vooral dat alle gebruikers hun wachtwoord resetten om erger te voorkomen. Want niemand wil dat anderen zonder jouw weten meekijken. Of het nu echt is of een 1-april grap… (je weet het maar nooit rond deze tijd), de kans om gehackt te worden neemt wel toe. Beangstigend want we doen ook steeds meer online. We versturen documenten, informatie en gevoelige gegevens. Van onszelf, maar zwembaden verzamelen ook veel gegevens van anderen. Bijvoorbeeld van de kinderen op zwemles. Waar moet je dan eigenlijk op letten?
Wat moet ik doen bij een datalek?
Sinds 1 januari 2016 geldt de meldplicht voor datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Er is sprake van een datalek wanneer persoonsgegevens worden vernietigd, gewijzigd of vrijkomen zonder dat het de bedoeling is van de organisatie. Om de schade (voor gedupeerden, maar ook
het imago van de organisatie) zoveel mogelijk te beperken is het van belang om een protocol te hebben, zodat bij een datalek conform protocol kan worden gehandeld. Let op: vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). Hoewel de meldplicht datalekken blijft bestaan, verandert er mogelijk ook voor sommige organisaties. In het AVG-dossier van de Autoriteit Persoonsgegevens staat hier meer over.
Ben jij op zoek naar een leverancier die kan helpen bij de bouw of renovatie van jouw zwembad of zwemschool? 👉 Klik hier.
Informeren gedupeerden
Wanneer je gebruikers informeert over een datalek wijs hen dan op het volgende:
- Wijzig het wachtwoord, maar ook voor elke ander account met hetzelfde wachtwoord.
- Controleer de accounts op verdachte activiteiten.
- Wees voorzichtig met ongevraagde communicatie die om persoonlijke gegevens vraagt of verwijst naar een webpagina die om persoonlijke gegevens vraagt.
- Vermijd het klikken op links of het downloaden van bijlagen van verdachte e-mails.
Lees voor meer informatie over AVG ook: Wet privacy en persoonsgegevens: is jouw zwembad al AVG proof?
Wat moeten jouw klanten doen na een hack?
In een voorkomend geval moet je dus een datalek ook melden bij de betrokkene waarvan de gegevens zijn gelekt. In de nieuwe wet AVG staat precies omschreven wanneer. Maar belangrijk is dus ook om de gebruikers dringend te adviseren hun wachtwoord(en) te wijzigen in een veilig nieuw wachtwoord. En dat is best lastig omdat mensen heel vaak wachtwoorden hergebruiken of toch kiezen voor makkelijk te hacken wachtwoorden. Sommige mensen wijzigen niet eens het wachtwoord dat zij in eerste instantie hebben gekregen. Daarnaast staan mensen op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel en hoe vaak dit is met hetzelfde wachtwoord. Het vergt ook enige creativiteit want het een beetje variëren met cijfers en hoofdletters ben je er niet, dit kan nog gemakkelijk zijn voor geautomatiseerde programma’s om te hacken. Waar moet je op letten bij het kiezen van een veilig wachtwoord?
- Gebruik voor elk platform een ander wachtwoord
- Verander regelmatig van wachtwoord
- Zorg dat een wachtwoord langer is dan acht tekens
- Het kan geen kwaad om wat langere wachtwoorden te gebruiken
- Zet geen herkenbare, makkelijk te raden elementen in het wachtwoord
Mag ik eigenlijk wel met de nieuwe AVG gegevens van kinderen verwerken?
Zwembaden verzamelen veel gegevens over kinderen. Door de AVG gaat het straks veel veranderen met betrekking tot het verzamelen en verwerken van persoonsgegevens. Komen er straks ook speciale regels komen voor het verwerken van persoonsgegevens van kinderen? En mag je dan nog wel gegevens van kinderen verwerken? Organisaties mogen nog steeds gegevens van kinderen verwerken onder AVG. Maar in sommige gevallen is wel toestemming van de ouders nodig. Verwerkt je gegevens van kinderen online zoals bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag dit bij kinderen onder de 16 jaar alleen als de ouders hiervoor toestemming hebben gegeven. Je moet ook controleren of die toestemming daadwerkelijk is gegeven.
Kijk voor meer informatie over de AVG bij de Autoriteit Persoonsgegevens. In de volgende uitgave van ZwembadBranche die binnenkort verschijnt, staat ook meer info over AVG.