Menu

Filter op
content
PONT Data&Privacy

0

Risico op datalek bij AVG-inzageverzoek

Tijdens de Black Hat-conferentie in Las Vegas heeft James Pavur aangetoond dat een AVG-inzageverzoek risico’s met zich meebrengt. De onderzoeker aan de Universiteit van Oxford demonstreerde hoe via deze verzoeken gevoelige gegevens van anderen bemachtigd kunnen worden.

Informatiebeveiliging Nederland 13 augustus 2019

Onderdeel van de Algemene verordening gegevensbescherming (AVG) is dat Europese burgers recht hebben op inzage. Mensen kunnen aan een organisatie vragen welke gegevens over hen zijn opgeslagen.

Zonder identiteitsbewijs

“Mijn onderzoek richtte zich op een praktische casestudy waarin ik via recht op inzageverzoeken zoveel mogelijk informatie over mijn verloofde probeerde te stelen (met haar toestemming),” vertelde Pavur. Voor zijn onderzoek benaderde hij ruim 150 organisaties, zonder dat hij een identiteitsbewijs van zijn verloofde liet zien. Hij communiceerde met deze organisaties via een e-mailadres met haar naam.

Persoonsinformatie

Bijna een kwart (24 procent) van de aangeschreven organisaties verschafte persoonsinformatie aan Pavur. Hierbij ging het om allerlei onbekende persoonsinformatie zoals telefoonnummers, IP-adressen, reisgegevens en aankoopgeschiedenis. In 15 procent van de gevallen betrof het gevoelige data waaronder een social security-nummer, creditcardgegevens en wachtwoorden uit datadumps.

Advies

Pavur raadt organisaties aan om inzageverzoeken via een ingelogd account te laten verlopen. Tevens adviseert hij om elektronische identiteitsverificatie via een externe partij te laten lopen, als de organisatie dit zelf niet kan. Ook doet hij de aanbeveling om verdachte inzageverzoeken te weigeren.

Dit nieuwsbericht is ook te vinden in de dossiers AVG en Datalek

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.

KENNISPARTNER

Jitty van Doodewaerd