Blogs

Datalek bij Tikkie Pay?

24/01/19 Bekijk reacties Verwachte leestijd: 5 minuten

Uit onderzoek van RTL Nieuws is gebleken, dat het voor gebruikers van de betaal-applicatie Tikkie mogelijk was om het IBAN-nummer van hun contactpersonen te achterhalen. Handelt ABN Amro met Tikkie Pay in strijd met de Algemene Verordening Gegevensbescherming (AVG)? 

Tikkie Pay

De nieuwe functie van Tikkie “Tikkie Pay” maakt het mogelijk voor gebruikers om geld over te maken naar een andere Tikkiegebruiker, zonder dat zij daarvoor een betaalverzoek hebben ontvangen. De gebruiker die het geld wil overboeken, kiest in zijn adresboek simpelweg de persoon naar wie hij het geld wil overboeken en betaalt vervolgens via iDeal.

Onderzoekers van RTL Nieuws hebben ontdekt, dat het voor een gebruiker mogelijk was om door middel van deze functie de IBAN-nummers van contacten uit zijn adresboek, waarvan het mobiele nummer aan Tikkie gekoppeld is, te achterhalen.

Het IBAN-nummer van een contact kon worden achterhaald, door via Tikkie Pay een betaling naar dat contact op te starten, maar voordat het bedrag daadwerkelijk werd overgeboekt de betaling te annuleren. In de omschrijving van de overboeking was dan het IBAN-nummer van het ontvangende contact te lezen.

ABN Amro heeft Tikkie Pay na de melding van RTL Nieuws direct offline gehaald.

Tikkie Pay AVG compliant?

Tikkie Pay lijkt in strijd te zijn met één van de uitgangspunten van de AVG: “Privacy by Design”.

Privacy by Design houdt in dat een organisatie er al bij het ontwerp van een nieuw product of een nieuwe dienst voor zorgt, dat het nieuwe product of de nieuwe dienst AVG compliant is. Dat lijkt ABN Amro hier niet te hebben gedaan. Er is geen sprake van een hack of een bug, het ontwerp van deze functie heeft ertoe geleid dat gebruikers onbedoeld de persoonsgegevens (de IBAN-nummers) van andere gebruikers hebben kunnen zien.

Overigens, ook als het wel de bedoeling was geweest dat gebruikers die gegevens konden inzien, dan lijkt dat op het eerste gezicht ook in strijd met de AVG. De vraag zou immers kunnen worden gesteld of het kunnen zien van het IBAN-nummer van een contact uit het adresboek, in lijn is met het noodzakelijkheidsvereiste van de AVG. Het noodzakelijkheidsvereiste van de AVG houdt in dat niet meer gegevens worden verwerkt dan noodzakelijk is, ook wel dataminimalisatie genoemd. Het openbaren van de IBAN-nummers, het inzichtelijk maken van die IBAN-nummers voor andere gebruikers, is ook een verwerking.

Meldingsplichtig datalek?

Naast het feit dat het ontwerp van Tikkie Pay dus niet voldoet aan de AVG, is het de vraag of hier sprake is van een datalek. Het gaat dan kort gezegd om de vraag of het een inbreuk op persoonsgegevens betreft. Daarbij is van belang dat betaalgegevens onder de AVG worden aangemerkt als persoonsgegevens. In dit geval hebben gebruikers van de betaal-applicatie Tikkie  kennelijk onbedoeld toegang gekregen tot persoonsgegevens, hieruit volgt dat het gaat om een inbreuk op de vertrouwelijkheid van persoonsgegevens. Wij menen dan ook, dat sprake is van een datalek.

De volgende vraag is of dit datalek ook gemeld moet worden aan de Autoriteit Persoonsgegevens (AP) en de betrokkenen. Met de betrokkene wordt hier bedoeld de gebruiker van Tikkie Pay, wiens IBAN-nummer onbedoeld toegankelijk is geweest voor een andere gebruiker van Tikkie Pay.

Hoofdregel voor melding bij de AP is: ‘Melden, tenzij..’. Dit betekent dat elk datalek in principe gemeld moet worden bij de AP. Een datalek hoeft alleen niet aan de AP gemeld te worden, als het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Als een datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, moet het datalek ook aan de betrokkenen gemeld worden. De onbedoelde toegang tot IBAN-nummers houdt waarschijnlijk een dergelijk hoog risico in voor de rechten en vrijheden van de betrokkenen. In het artikel van RTL Nieuws wordt als voorbeeld gegeven dat cybercriminelen “zeer geloofwaardige phishing-aanvallen” kunnen verrichten, doordat zij over het IBAN-nummer van het slachtoffer beschikken.

Gezien het bovenstaande, zijn wij van mening dat het datalek zowel aan de AP als aan de betrokkenen gemeld moet worden. De laatste berichtgeving van RTL Nieuws is overigens dat ABN Amro bevestigd heeft dat het lek aan de AP gemeld wordt.

Heeft u te maken met een datalek  of twijfelt u of u een datalek moet melden aan de AP of aan betrokkenen, neemt u dan contact op met onze privacyrecht specialisten.

Wilt u op de hoogte gehouden worden van nieuws op het gebied van privacyrecht? U kunt zich onderaan op deze pagina, in de footer, inschrijven.

Plaats zelf een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Terug naar alle blogs