• E-mail
    wordt gesponsord door

Anderen als u kochten ook…. V&D stuurt privégegevens door aan klanten

Anderen als u kochten ook…. V&D stuurt privégegevens door aan klanten

Bij V&D heeft iemand gisteren een foutje gemaakt. 1500 klanten die een bestelling bij het warenhuis plaatsten kregen een extra vereassing; een excelbestand met daarin de gegevens van 6000 andere klanten. In het bestand stonden persoonsgegevens van andere klanten. Naam, bestelling, het huisadres en het e-mailadres. Een zogenaamd “orderbestand”, dat bij V& D intern wordt gebruikt om bestellingen af te handelen. De originele email was bedoeld om aan te geven dat de bestelling van de klanten was vertraagd, maar had natuurlijk nooit dit attachment mogen bevatten.

Menselijke fout

Er was hier sprake is van een menselijke fout, laat de woordvoerder weten. Op het moment dat V&D merkte wat er aan de hand was, hebben ze de verzending stop gezet. Maar toen waren er al 1500 emails de deur uit. Nu kan het natuurlijk voorkomen dat er een fout wordt gemaakt. Maar dit is wel erg schrijnend. Het kan niet zo zijn dat deze email ook maar enigszins serieus getest is voor verzending. Dat is het minimum wat je mag verwachten, zeker van een partij met een webshop op deze schaal.

Het lijkt misschien een simpele fout, maar hoe kan ooit een excelsheet als bijlage worden meegestuurd? Wanneer verstuurd vanuit een webomgeving is dit niet drag and drop (je sleept een bestand niet in de mail zoals bij outlook), maar er zullen daar toch minstens meerdere handelingen voor moeten worden verricht, inclusief het uploaden of aanklikken van het bestand om deze in te voegen. Toch?

Beterschap

Er wordt beterschap beloofd vanuit V&D, de procedure wordt bekeken en ook wordt gekeken waar er eventueel geautomatiseerd kan worden om het in de toekomst te voorkomen. De 6000 klanten krijgen een cadeaubon opgestuurd van tien euro. Dat goedmakertje vertegenwoordigd dus een totaalbedrag van 60.000 euro, ervanuitgaand dat alle tegoedbonnen worden ingeleverd. Dat lijkt misschien heel wat, maar de 1500 klanten hebben nog iets veel waardevolllers opgestuurd gekregen: de meest recente gegevens van 6.000 actieve internetshoppers inclusief productvoorkeuren. Reken maar uit hoeveel dat waard is.

Privacy staat voorop?

Is een tegoedbon waar mensen op zitten te wachten? Indien privacy uiteraard voorop staat, zoals in het bericht van RTL-Z wordt aangegeven,  moet het bestuur van V&D zich hier even achter de oren krabben en serieus het boetekleed aantrekken. Sorry is niet genoeg. De procedures zullen door een externe partij moeten worden herzien / getoetst en aangepast, waarna serieus gecommuniceerd moet worden naar de betrokken personen wat er precies is verbeterd.

Procedures en leveranciers tegen het licht

In het licht van recente beveiligingsinbraken bij Amerikaanse Email Service Providers (ESPs) is er een discussie ontstaan over de veiligheid van systemen en wat de “weakest link” is in de beveiliging van persoonsgegevens. Zoals we zien is het is aan te raden voor iedere verzender om zowel hun systeem als hun eigen procedures eens goed tegen het licht te houden.


Geplaatst in

Delen

0
0


Er zijn 12 reacties op dit artikel

  • "Dat lijkt misschien heel wat, maar de 1500 klanten hebben nog iets veel waardevolllers opgestuurd gekregen: de meest recente gegevens van 6.000 actieve internetshoppers inclusief productvoorkeuren. Reken maar uit hoeveel dat waard is."

    Aangezien 1500 mensen deze lijst nu hebben, is hij geen rode cent meer waard ;-)

    geplaatst op
  • Ik zal het even doorrekenen: een 10 euro cadeaubon / 6000 adressen = 0.0016 per adres van een actieve online koper. Dat is dus 1/6 cent per adres (zowel email als fysiek). Tenzij ze allemaal binnen een week verhuizen en een ander e-mailadres nemen natuurlijk.

    geplaatst op
  • hehe och dat doet de rabobank dan toch beter ;)

    geplaatst op
  • Inderdaad een stomme, menselijke fout. Maar dit uberhaupt kan gebeuren, is een fout in het proces. Het is namelijk helemaal niet nodig om handmatig een bestand toe te voegen aan een email bij vertraging. Dit lijkt op een 'houtje-touwtje' proces waar nog wat verbetering in mogelijk is. Waarbij natuurlijk de menselijke fout factor zoveel mogelijk uitgesloten moet worden.

    geplaatst op
  • Zit de menselijke fout hier niet gewoon bij het management? Die blijkbaar nooit geïnvesteerd hebben in een degelijk systeem?

    Ja, maar we zitten nu eenmaal met legacy systemen? Ja, maar dat kan niet volgens de huidige software. Ja, maar weet je wel wat dat kost om het goed te doen? Weet je wat, laten we maar de goedkope oplossing doen, handmatig kan best...

    Menselijke fout: ja, maar wel op de juiste plek leggen: het management dat voor dit systeem gekozen heeft en de directie die het heeft goedgekeurd.

    geplaatst op
  • Sorry hoor maar is het niet heel makkelijk om gelijk te roepen dat het systeem falende is?

    Menselijke fout blijft menselijke fout. Zet het systeem zo dicht dat dit soort zaken niet meer kunnen gebeuren en de eerste klacht is dat het systeem zo inflexibel is...

    Het blijft uiteraard een blunder van jewelste, maar aangezien wij niet weten wat er precies gebeurt is lijkt het mij onzinnig om te roepen waaraan het ligt en wat de oplossing is.

    (daarbij, een consultant die direct roept dat er een externe partij bij moet komen om de procedures te herzien doet mij ook een beetje denken aan "Wij van WC-eend...")

    geplaatst op
  • Mooie toevoeging Rik,

    Maar ik zei inderdaad externe partij en daarbij doel ik dan op officiele instanties / partijen die dit vaker doen. Ik doe zelf nooit security audits.

    V & D is bijvoorbeeld lid van Thuiswinkelwaarborg, nu zijn zij er (waarschijnlijk) niet voor de security audits, maar ik geef wel met nadruk aan dat het door extern moet. Het is namelijk erg makkelijk is om te zeggen "we gaan de procedures herzien" en daarna weer verder te gaan op dezelfde voet. Ook vraag ik mji af of die kennis in huis aanwezig is, anders zou waarschijnlijk deze fout nu ook niet gemaakt zijn.

    geplaatst op
  • Ik kan me op zich wel voorstellen waar die fout vandaan komt. Bij mailingprogramma's als YourZine e.d. is het gebruikelijk om het adressenbestand als Excel-bestand te uploaden. Op basis daarvan wordt dan de verzending uitgevoerd. Ik denk dat de marketeer zich vergist heeft in de plek waar dat adressenbestand geüpload moest worden.

    Wat natuurlijk wel een grote blunder is, is dat er geen testmail verzonden is - of dat die testmail niet goed genoeg is bekeken om die fout op te merken.

    geplaatst op
  • @Jordie Goede toevoeging! Blijf er wel bij dat ik het nogal ver vind gaan om na een menselijke fout direct een onderzoek naar de procedures in te stellen.

    Mijn ervaring is dat je de techniek nog zo slim kan maken, er is altijd wel een mens die er niet mee om kan gaan...

    geplaatst op
  • Een voucher of tegoedbon heeft kost het bedrijf niet de volle 100%, maar ongeveer 50%.. dit grapje kost dus waarschijnlijk geen 60.000 euro maar 30.000 euro. Neemt niet weg dat het nog steeds een hap geld is voor een menselijke fout.

    geplaatst op
  • @rikkoopman Een procedure is een reeks instructies die op volgorde moet worden uitgevoerd. Daar gaat het dus om handelingen, vaak van mensen. Deels worden de mogelijke procedures bepaald door de vrijheid van systemen, maar bijvoorbeeld een goed testproces of regels hoe om te gaan met klantgegevens hebben daar vaak minder mee te maken. Procedures aanpassen gaat in veel gevallen juist niet om de techniek.

    NB: Als dit geen reden is voor een grondig onderzoek, dan weet ik het niet meer.

    geplaatst op
  • Ik zie het probleem niet zo. Doe ff relaxt allemaal. Iedereen mag weten dat ik een boek heb besteld.

    Ja natuurlijk privacy blablabla. Ja natuurlijk menselijke fout. Stom. Niet meer doen. Foei!

    Maar ik vind het wel jammer dat ik er niet bij zat. Voucher gemist.

    Of krijg ik nu boeven op mijn dak omdat ik een boek in mijn huis heb? Of krijg ik nu heeeeel veel spam omdat er tussen die 1500 een Russische sex site zat?

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.