Hackers stelen data McDonald's-klanten
Gepubliceerd: Maandag 13 december 2010
Auteur: Tonie van Ringelestijn
Hackers hebben gegevens van een onbekend aantal klanten van fastfoodketen McDonald's buitgemaakt. De data is gestolen uit een database van een e-mailbedrijf.
McDonald's informeert mogelijk getroffen klanten via e-mail over deze datadiefstal. Het publiceert ook een bericht hierover op zijn website, meldt de IDG-nieuwsdienst. De hack vond plaats bij Arc Worldwide, een businesspartner van McDonald's, dat klantinformatie verzamelde voor promotionele acties van de fastfoodketen. Dat heeft een McDonald's-woordvoerder dit weekend bevestigd.
McDonald's heeft Arc ingehuurd voor het versturen van promotionele e-mailnieuwsbrieven. Arc schakelde weer een ander e-mailbedrijf in voor het beheer van de verzamelde klantinformatie. De naam van die onder-onderaaannemer is niet bekend gemaakt. Op de systemen van dit bedrijf is er ingebroken. Het is nog niet bekend van hoeveel mensen de gegevens zijn ontvreemd of in welke landen deze mensen allemaal wonen.
Telefoonnummers
De gegevens, die klanten zelf hadden opgegeven, bevatten volgens de McDonald's-woordvoerder geen creditcardnummers of andere gevoelige financiële gegevens. Wel gaat het onder meer om volledige namen, telefoonnummers, postadressen en e-mailadressen.
McDonald's waarschuwt klanten alert te zijn als ze worden gecontacteerd door personen die zich uitgeven als medewerkers van de fastfoodketen. Het bedrijf werkt nu ook samen met opsporingsdiensten aan het onderzoek naar deze digitale inbraak.
Nederlandse meldplicht
In Nederland pleit privacytoezichthouder College Bescherming Persoonsgegevens (CBP) al enkele jaren voor een bredere meldplicht voor dit soort datalekken voor alle bedrijven en overheidsdiensten. Dat zou betekenen dat ook bedrijven als McDonald's moeten melden als er sprake is van inbreuk op persoonsgegevens van Nederlanders door bijvoorbeeld hackers.
Toenmalig Justitie-minister Hirsh Ballin vertelde in maart dit jaar aan de Tweede Kamer dat zo'n bredere meldplicht wordt onderzocht. Al direct na de aanname van een EU-richtlijn eind 2009 was er de kritiek dat de meldplicht veel te beperkt is. De wet zou voor alle databankbeheerders moeten gelden, werd gesteld. De richtlijn zoals die er nu ligt, verplicht meldingen alleen voor internet- en telecomproviders.
