Risico op datalek bij AVG-inzageverzoek

13-08-2019

Tijdens de Black Hat-conferentie in Las Vegas heeft James Pavur aangetoond dat een AVG-inzageverzoek risico’s met zich meebrengt. De onderzoeker aan de Universiteit van Oxford demonstreerde hoe via deze verzoeken gevoelige gegevens van anderen bemachtigd kunnen worden.

Onderdeel van de Algemene verordening gegevensbescherming (AVG) is dat Europese burgers recht hebben op inzage. Mensen kunnen aan een organisatie vragen welke gegevens over hen zijn opgeslagen.

Zonder identiteitsbewijs

“Mijn onderzoek richtte zich op een praktische casestudy waarin ik via recht op inzageverzoeken zoveel mogelijk informatie over mijn verloofde probeerde te stelen (met haar toestemming),” vertelde Pavur. Voor zijn onderzoek benaderde hij ruim 150 organisaties, zonder dat hij een identiteitsbewijs van zijn verloofde liet zien. Hij communiceerde met deze organisaties via een e-mailadres met haar naam.

Persoonsinformatie

Bijna een kwart (24 procent) van de aangeschreven organisaties verschafte persoonsinformatie aan Pavur. Hierbij ging het om allerlei onbekende persoonsinformatie zoals telefoonnummers, IP-adressen, reisgegevens en aankoopgeschiedenis. In 15 procent van de gevallen betrof het gevoelige data waaronder een social security-nummer, creditcardgegevens en wachtwoorden uit datadumps.

Advies

Pavur raadt organisaties aan om inzageverzoeken via een ingelogd account te laten verlopen. Tevens adviseert hij om elektronische identiteitsverificatie via een externe partij te laten lopen, als de organisatie dit zelf niet kan. Ook doet hij de aanbeveling om verdachte inzageverzoeken te weigeren.


Dit nieuwsbericht is ook te vinden in de dossiers AVG en Datalek

bron: Informatiebeveiliging Nederland

Van onze partners

Privacy voor finance professionals

→ Lees meer

Actualiteitencursus AVG

→ Lees meer

Magazine: Eén jaar AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer