Een ethisch hacker waarschuwde het openbaar vervoersbedrijf Arriva vorige week voor een datalek in het contactformulier op de Arriva-website. De hacker kon daardoor alles zien wat 195.000 mensen op het formulier hadden ingevuld.
Arriva vroeg in het formulier niet alleen naar de voornaam, achternaam en het e-mailadres. Maar ook om bijvoorbeeld het telefoonnummer en de geboortedatum.
„Doordat Arriva het telefoonnummer vroeg, heeft het ov-bedrijf mensen met bijvoorbeeld een geheim nummer in de problemen gebracht“, zegt beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom. „Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen.“
Volgens de Autoriteit Persoonsgegevens (AP) is de wet helder. „Een bedrijf mag alleen gegevens opvragen die nodig zijn voor het doel waarvoor je het formulier invult“, zegt woordvoerder Mark Schenkel. „Heb jij een vraag aan een bedrijf, en wil je dat dat bedrijf contact met je opneemt per e-mail? Dan is je naam en mailadres in de meeste gevallen voldoende.“
Unternehmen verlangen schnell zu viele Daten
Laut Datenschutzexperte Zenger kommt es häufig vor, dass Unternehmen mehr Daten von Ihnen verlangen, als sie benötigen. Seiner Meinung nach sind Websites von Spirituosengeschäften ein gutes Beispiel.
„Warum muss ein Online-Spirituosenhändler Ihr Geburtsdatum kennen? Sie tun dies wahrscheinlich, um festzustellen, ob Sie achtzehn Jahre oder älter sind, aber das Geburtsdatum ist dafür nicht erforderlich. Der Online-Spirituosenverkäufer kann auch einfach fragen, ob jemand ist älter als achtzehn.“
„Ein Unternehmen benötigt grundsätzlich weder Ihr Geburtsdatum noch Ihr Geschlecht, Ihr Foto, Ihre Social-Media-Konten oder andere persönliche Daten für die Zwecke eines Kontaktformulars“, sagt Schenkel von der AP. Das Unternehmen darf diese Daten daher nicht anfordern. Es sei denn, es gibt einen guten oder logischen Grund, Sie um diese Informationen zu bitten.
Rufen Sie an oder geben Sie falsche Informationen ein
Wenn Sie gezwungen sind, auf einer Website mehr Informationen einzugeben, als Sie für notwendig halten, können Sie laut Zenger auf zwei Arten damit umgehen. „Sie können sehen, ob Sie das Unternehmen anrufen können. In diesem Fall entscheiden Sie, welche Informationen Sie bereitstellen.“
Sollte ein Anruf nicht möglich sein, könne man laut dem Datenschutzexperten auch bewusst falsche Angaben machen. Zenger: „Wenn ich ein Produkthandbuch von einer Firma anfordere, glaube ich nicht, dass sie meine Telefonnummer oder mein Geburtsdatum benötigen. Wenn sie danach gefragt werden, gebe ich etwas Zufälliges ein.“
Daten von fast allen sind bereits irgendwann durchgesickert
Es mag harmlos erscheinen, mehr Informationen einzugeben, als das Unternehmen benötigt. Aber wie das Beispiel von Arriva zeigt, stehen im Falle einer Datenpanne mehr Daten zur Verfügung.
Die AP vermutet, dass fast alle Niederländer in den letzten fünf Jahren bereits Opfer einer Datenpanne geworden sind. Laut Datenschutzexperte Zenger kombinieren böswillige Parteien zunehmend Daten aus verschiedenen Datenlecks. Diese Informationen können beispielsweise für einen Phishing-Angriff oder sogenannten „Friend-in-Emergency“-Betrug missbraucht werden.
Wenn eine Organisation Sie dazu verpflichtet, mehr Daten bereitzustellen, als Sie für notwendig halten, müssen Sie laut Schenkel Widerspruch dagegen einlegen. „Wenn das Unternehmen nicht auf Ihre Anfrage reagiert, können Sie eine Beschwerde bei der AP einreichen.“
