Op 13 juni 2012 komt Webwereld met een bericht dat een hacker een bankgegevens van een miljoen klanten van de ING gestolen zou hebben. Dit blijkt een grote fout geweest te zijn van het ANP waar ik de oorzaak nog niet van weet. Dat is heel lullig voor de ING en de ING komt snel met een persbericht om dit recht te zetten. Toch denk ik dat de ING veel fout heeft gedaan.

ING Persbericht

De situatie, voor zover die publiekelijk bekend is, is als volgt: Iemand waarvan bekend is dat hij in het verleden veelvuldig fraude heeft gepleegd heeft klantgegevens van de ING verzameld.

Met alleen deze informatie is het voor mij heel duidelijk wat de ING als eerste hoort te doen: De getroffen mensen op de hoogte stellen. Als ik verantwoordelijk zou zijn voor de voorlichting bij de ING zou ik als eerste een email naar de 1280 getroffen klanten sturen.

Geachte klant van de ING,

Op 13 juni berichtten de media dat een hacker 1 miljoen klantgegevens van de ING heeft gestolen. Dit is onjuist. De systemen van ING zijn niet gehackt. Iemand heeft van 1280 klanten van de ING het rekeningnummer en naam achterhaald. Deze gegevens zijn niet direct te misbruiken. U bent een van de getroffen klanten en wij willen u zo goed mogelijk informeren over wat er met uw gegevens is gebeurd.

De persoon die die deze informatie heeft achterhaald zit momenteel vast op verdenking van fraude. Er is geen aanwijzing gevonden dat gegevens van de ING misbruikt zijn, maar we werken samen met justitie om alle eventuele misbruik op te sporen. Omdat het aannemelijk is dat de gegevens verzameld zijn met als doel fraude te plegen vragen wij u de komende tijd extra oplettend te zijn. Als u iets verdachts opmerkt in uw bankafschriften, phishing mails of op een andere plek vragen wij u direct contact op te nemen met de ING zodat wij direct actie kunnen ondernemen om misbruik van uw gegevens op te sporen en tegen te houden.

Zodra meer bekend is over deze zaak zullen we u direct op de hoogte stellen.

Onze excuses voor de overlast. ING Nederland

Pas daarna zou ik een persbericht uitsturen om uit te leggen dat de berichtgeving in de media onjuist is. De vermelding dat klanten geen risico lopen vind ik kwalijk. Hoe meer accurate gegevens over klanten bekend zijn hoe effectiever phishing campagnes zullen zijn. De gegevens zijn overduidelijk verzameld door iemand met als doel om er misbruik mee te plegen de mededeling dat ze niet misbruikt kunnen worden is wat mij betreft volkomen ongeloofwaardig.

Laat zien dat jullie meer kunnen dan alleen reageren op foutieve berichtgeving en laat zien dat jullie echt geloven dat jullie alle zaken op orde hebben door jezelf een beetje kwetsbaar op te stellen en voor de klanten op te komen. Ik weet zeker dat ik zo’n opstelling heel erg zou waarderen!

Update: De ING zegt geen gegevens verstrekt te hebben aan de “hacker”. Maar wat de ING doet voldoet aan de definitie van “verstrekken van persoonsgegevens” (Wbp art. 1). En volgens art. 35.2 hebben degenen van wie gegevens zijn verstrekt het recht om te weten dat hun gegevens verstrekt zijn aan deze persoon.