Een datalek moet gemeld worden, maar er zijn situaties waarin het niet melden nooit zal opvallen. Voorbeeld van een dergelijke situatie deed zich eerder deze maand voor in Duitsland waar een server voor online marktplaatsen onafgeschermd bleek te zijn.
De case in Duitsland gaat om te beginnen al over een complexe situatie. Grotere winkelketens staan toe dat andere handelaren aanwezig zijn op de de groter online marktplaatsen. Dat is in principe het idee dat BOL ook handelaren toestaat. Verschil is echter dat in Duitsland de online omgevingen van bijvoorbeeld supermarkt Kaufland door een derde partij wordt geëxploiteerd en onderhouden.
Hoofdhuurder – onderhuurders
De hoofdhuurder staat medehuurders of onderhuurders toe. Die kunnen zo profiteren van veel bezoek aan de generieke website. Wat dat betreft is het echt de online variant van het shop-in-shop concept. De verhuurder van het winkelpand is hier de exploitant van de online marktplaats.
Voor de virtuele shop-in-shop levert de exploitant webruimte en natuurlijk de nodige koppelingen voor backend processen. Daar is iets goed fout gegaan. Elke huurder kon de databases van de overige huurders inzien. Omdat die databases gevuld zijn met klantdata is er dus sprake van een datalek.
Complexiteit
De complexiteit is om te beginnen dat partijen niet wisten van deze fout. Toen het de pers haalde viel het kwartje nog steeds niet. Vervolgens kwam de vraag wie dit zou moeten melden. Communicatie naar de betroffen klanten moet een week na dato nog worden opgestart. De meeste onderhuurders lijken geen idee te hebben van de eigen verantwoordelijkheid op dit punt. Dat zegt ook het nodig over de professionaliteit van zowel de naamgevers / hoofdhuurders als de exploitant. Die hebben in het contract waarschijnlijk de AVG in het beste geval slechts zijdelings genoemd.
Wat de zaak ook lastig maakt is dat de kans aanwezig is dat gedupeerden het datalek nooit zal opvallen. Elke onderhuurder die dat begrijpt heeft daarom een reden stil te zitten. Onterecht, maar het is wel de praktijk.
