Vision Direct heeft een datalek primeur – een dure ook

Vision Direct is een internationaal opererende webshop uitbater. Het bedrijf levert vanuit verschillende EU lidstaten contactlenzen, lenzenvloeistof en dergelijke. Mooie business met veel klanten. Veel lovende recensies ook en aangesloten bij de nodige clubjes die kwaliteit pretenderen. Vision Direct heeft een heel groot probleem en dat is een datalek.

Britse flaters

Als Troy Hunt in een tweet een bedrijf noemt dan weet je dat er iets vervelends aan de hand is. Dat is zondag Nederlandse tijd weer eens gebeurt. Troy zette een melding door over een datalekje bij Vision Direct waarvoor het bedrijf zich vanzelf verontschuldigde. Die verontschuldiging was oprecht en gemeend. Tegelijkertijd is het totaal onvoldoende. Vision Direct heeft namelijk te maken gehad met een geïnfecteerde website. Van 3 tot en met 8 november is de invoer (klantbestellingen) op listige wijze meegelezen. Dat is best vervelend, want die invoer betreft NAW e-mail gegevens, creditcard nummer, cvv en vervaldatum. Dat Vision Direct de klanten adviseert de bankafschriften in de gaten te houden en wachtwoorden te wijzigen is het type melding dat weliswaar terecht is maar totaal ontoereikend. Wat minstens gemeld had moeten worden is of de toezichthouder al is geïnformeerd. Zolang de Britten in de EU zitten zijn ze immers gebonden aan de AVG/GDPR regels. En ook nu (maandag) is er nog steeds niet duidelijk of de ICO (De Britse tegenhanger van onze AP) een belletje van Vision Direct heeft ontvangen. Over flaters gesproken.

Nederland

Het verhaal is echter nog niet af. Vision Direct is zoals gezegd in meerdere landen actief. Het security en daardoor datalek is niet beperkt gebleven tot de .co.uk website. De tweet van @gwillem spreekt heldere taal. In alle EU landen waar Vision Direct actief is, dus ook in Nederland is er sprake van een datalek. Via de tweet kun je trouwens achterhalen waar het precies mis is gegaan. Elke hoster en website bouwer moet daar eens goed naar kijken.

Vreemd

Direct Vision heeft tot zover bekend op dit moment de Nederlandse klanten nog niet geïnformeerd. De website laat op de frontpage niets zien dat lijkt op een waarschuwing. Daar laat het bedrijf een steek vallen.

Dat andere media, die anders wel datalekken aan de grote klok hangen, hier zo lang stil zijn is ook wel vreemd. We hebben hier waarschijnlijk te maken met het eerste serieuze paneuropese datalek (niet in omvang, maar wel naar impact) sinds die beruchte 25ste mei. Dat betekent dat we hier ook een serieuze kandidaat hebben voor een mooie onderzoeks- en boeteprocedure. Dat is trouwens een status waar niemand trots op zou moeten zijn. Uit de tweets valt te halen is dat ze bij Vision Direct 2 critical security patches uit 2017 (!) over het hoofd hebben gezien. Grappen over dat ze zelf ook wel een bril of lenzen kunnen gebruiken zijn voorspelbaar, maar zullen niet helpen. De AVG is wat dat betreft zeer duidelijk. Dit is geen overmacht of onmogelijkheid geweest. Alles wijst erop dat Vision Direct verwijtbaar tekort geschoten is.