FAQ Datalek

Datalek Ticketcounter

Helaas heeft zich bij Ticketcounter een datalek voorgedaan. Dit datalek hebben wij op maandag 22 februari jl. ontdekt. In dit bericht leggen we uit wat er is gebeurd en welke stappen wij hebben ondernomen.

Wat is er gebeurd?

Het systeem van Ticketcounter is niet gehackt. Wat er wel is gebeurd; begin augustus 2020 hebben wij een back-up gemaakt van onze database. In deze database stonden diverse persoonsgegevens (NAW-gegevens, geslacht, geboortedatum, contactgegevens en in sommige gevallen het bankrekeningnummer) van consumenten. Een kwaadwillende heeft de mogelijkheid gehad om bij deze back-up te komen. 

Welke stappen hebben wij ondernomen?

Wij hebben de back-up direct verwijderd en al onze zakelijke klanten geïnformeerd over het datalek. Daarnaast hebben wij een melding gedaan bij de Autoriteit Persoonsgegevens. Onze zakelijke klanten hebben de mogelijkheid om de betrokkenen wiens persoonsgegevens zijn gelekt, verder te informeren. Het is niet meer dan logisch dat wij het enorm betreuren dat de data is gelekt. Wij zijn gelukkig geen gegevens ‘kwijt’ en er zijn geen wachtwoorden of pasfoto’s verkregen. Wel adviseren wij iedereen om extra alert te zijn op zogenaamde ‘phishing mails’. Heb je vragen over het datalek? Aarzel dan niet om contact met ons op te nemen via info@ticketcounter.nl.

Voor diverse partijen verzorgt Ticketcounter de online ticketing. Door een menselijke fout in onze organisatie zijn persoonsgegevens gelekt. Het betreft persoonsgegevens van mensen die online tickets en/of abonnementen hebben gekocht bij partijen die werken met ons systeem.
Ticketcounter heeft direct alles op alles gezet om het lek te vinden. Dat is gevonden en is direct dichtgezet. Daarmee is het probleem opgelost en is er geen vervolgactie meer nodig. Ticketcounter heeft al haar klanten geïnformeerd en een melding gedaan bij de Autoriteit Persoonsgegevens.
Het betreft persoonsgegevens, van minimaal 6 maanden oud, die consumenten voor 5 augustus 2020 hebben gebruikt bij de aankoop van online tickets en/of gegevens die gebruikt worden bij abonnementen. Het kan dan gaan om naam, mailadres, telefoonnummer, adres en/of geboortedatum. Indien er met iDEAL is betaald, is ook het IBAN nummer verkregen. Er zijn geen wachtwoorden, pasfoto’s of creditcardgegevens buitgemaakt. Er is dus geen noodzaak om een account te resetten of om u zorgen te maken over toegang tot uw (bank)rekening. Dit is niet aan de orde.
Er is geen direct gevaar. Wij adviseren u om extra alert te zijn op zogenaamde phishing-activiteiten. Een hacker kan zich (bijvoorbeeld) voordoen als een medewerker van een bank en uw gegevens gebruiken om te bewijzen dat hij ‘echt van de bank’ is. Wij benadrukken dat wij, onze partners of uw eigen bank u NOOIT telefonisch, per mail, per app, of op welke andere wijze dan ook zullen vragen om pincodes, persoonlijke inloggegevens of om overboekingen tussen bankrekeningen of andere vertrouwelijke financiële handelingen uit te voeren. Mocht u een verdacht bericht of verzoek ontvangen in deze trant, neem dan altijd contact op met de betrokken instantie via de vaste contactgegevens die u van deze genoemde partijen heeft.
Voor en/of door onze partners wordt een speciale pagina opgesteld waarop u uw mailadres kunt invullen. Vervolgens kunnen we u exact vertellen (per email) welke data er van u bekend is voor die specifieke partner. U zult hier uitsluitend per mail over worden ingelicht door onze partner indien uw gegevens betrokken waren bij het datalek.
Dat kan. Stuur hiervoor een mail naar info@ticketcounter.nl en zij zullen dan de gegevens conform de AVG richtlijnen (Algemene Verordening Gegevensbescherming)/GDPR-richtlijnen uit het systeem verwijderen.
Ook wij vinden het heel erg vervelend dat uw persoonsgegevens gelekt zijn. Dit had echt niet mogen gebeuren. Voor de afhandeling van het datalek volgen wij de stappen en procedures uit de privacywetgeving AVG (algemene verordening gegevensbescherming).
Als er geen daadwerkelijk aantoonbare schade is geleden, zien wij geen aanleiding om over te gaan tot het betalen van een schadevergoeding. Bent u het niet eens met deze beslissing? Dan heeft u de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens via: deze link.  
Met al onze partners hebben we een verwerkersovereenkomst en/of zijn we die nog aan het opstellen. Met nog niet alle partners zijn concrete afspraken gemaakt over de periode van waaraf persoonsgegevens moeten worden verwijderd. Sowieso is dat voor abonnementhouders niet mogelijk aangezien deze altijd bekend moeten zijn zodra deze zich melden voor entree tot een park en/of een attractie.
U loopt geen direct gevaar. De data kan enkel gebruikt worden voor ‘phishing’ contacten in een poging tot oplichting. Bijvoorbeeld iemand die zich voordoet als ‘de bank’ en op basis van controlevragen, met de bij de hacker bekende informatie, vertrouwen probeert te winnen bij de consument om zodoende pincodes en/of wachtwoorden te verzamelen of iemand te verleiden om op een link te klikken. Het verdient dan ook expliciet de aanbeveling om waakzaam te zijn op partijen die nu per post, per mail, per WhatsApp of telefonisch contact op gaan nemen. Iets waar normaliter ook voor wordt gewaarschuwd is nu extra belangrijk.
Ticketcounter hecht enorm veel waarde aan privacy en beveiliging van persoonsgegevens. Het recente datalek is ontstaan doordat we bezig waren met een ICT-project dat toeziet op het anonimiseren van persoonsgegevens. Dit project heeft vertraging opgelopen en wij liepen achter met het anonimiseren van persoonsgegevens. Het anonimiseren heeft onze grootste prioriteit en aandacht en we zien erop toe ons zo snel als mogelijk binnen de gestelde termijnen te begeven.