Bij de ingebruikname van nieuwe software, waarbij persoonsgegevens in het geding zijn, blijft een scherp oog nodig voor mogelijke datalekken. Zo voerde opticienketen Hans Anders een nieuwe website in waar ondanks een grondige voorbereiding toch een onvoorziene fout zat. Het bedrijf moest aangifte doen bij de Autoriteit Persoonsgegevens en heeft zijn gestandaardiseerde test-aanpak aangescherpt.
Sinds medio juli is de nieuwe webshop van Hans Anders in de lucht. Robin Varma, als adviseur digitale transformatie bij bQuind extra alert op kinderziektes en grotere fouten bij vernieuwingen, stuitte als klant (na het bestellen van nieuwe lenzen) op een datalek in deze vernieuwde online-winkel en stuurde daar een tweet over uit. ‘Via orderdetails in mijn account kreeg ik de order- en adresgegevens van een andere klant van Hans Anders te zien en even daarvoor een error in de string. Aanvullend kan ik ook simpel het orderID aanpassen in de adresregel om andere complete bestellingen in te zien.’
Nadat een reactie in eerste instantie uitbleef, zocht hij contact met de ‘group it director’ van Hans Anders die hij nog kende van een eerdere samenwerking. Na een escalatie in de organisatie werd het datalek een dag later gedicht. De opticienketen liet daarna in een verklaring weten dat ‘in de periode van 12 tot en met 22 juli klanten van Hans Anders die inlogden in de ‘Mijn Hans Anders-omgeving van de vernieuwde website, informatie konden inzien en/of wijzigen die geen betrekking had op hen, maar op andere klanten van Hans Anders.’ Het ging daarbij om algemene persoonsgegevens zoals naw-gegevens, contactgegevens, aankoopgegevens, aantekeningen van klantgesprekken en bijzondere persoonsgegevens zoals bankrekeningnummer en oogmeetgegevens.
In totaal hebben enkele tientallen personen in die genoemde periode ingelogd. Volgens het brillenconcern bestond er een kans dat zij daarna onjuiste oogmetingsgegevens hebben overgenomen van hun ‘Mijn Hans Anders-account’. Ook zouden zij gegevens hebben kunnen wijzigen in profielen van andere klanten. Het bedrijf zegt in de verklaring alle noodzakelijke maatregelen te hebben genomen om het datalek te beëindigen. ‘Alle klantgegevens op de website zijn ge-reset naar de oorspronkelijke situatie. De klanten, die tussen 12 en 22 juli hebben ingelogd in de Mijn Hans Anders-omgeving van de nieuwe website, zijn per email geïnformeerd. Ook is hen gevraagd om met een nieuw wachtwoord opnieuw in te loggen in de Mijn Hans Anders-omgeving.’
Interne controle
In navolging van de officiële verklaring geeft directeur corporate communications Rian van Koulil namens Nexeye nog een toelichting op een aantal aanvullende vragen:
Welke nieuwe webshop-software gebruiken jullie?
‘De introductie van het nieuwe e-commerceplatform van Hans Anders in Nederland is de start van een internationale multibrand replatforming van alle merken binnen Nexeye (de naam voor de Europese optiekgroep die onder verschillende namen in vijf landen actief is, RS). Hans Anders gebruikt bij voorkeur bewezen software als het aankomt op het ontsluiten van de webshop naar consumenten. We willen kwaliteit kunnen garanderen, óók wat betreft onze omnichannel-aanpak. Voor de klantenkant (of accounts) maken we gebruik van het cloudgebaseerde platform Salesforce, zodat deze aansluit bij onze customer relationship management-strategie. Dat stelt ons in staat om complexe customer journeys in te richten en te accelereren op het gebied van innovatie. De implementatie, operationele en technische invulling van de website wordt gedaan door de specialisten van Nexeye in nauwe samenwerking met onze partner Emakina.’
Om wat voor fout ging het?
“Om een interne controle tussen de reeds opgeslagen klantinformatie in ons legacy-systeem (van SAP, RS) en de nieuw aan te maken accounts op ons nieuwe platform die door de gebruiker zelf geïnitieerd moest worden. Het incident deed zich gelukkig slechts voor in een beperkte situatie met enkele tientallen klanten. Er was geen sprake van een hack of diefstal van gegevens door derden.’
Jullie zijn getipt over het datalek. Maar had dit er niet al bij een performance test uit moeten komen en had Hans Anders achteraf gezien meer moeten testen?
‘Zeker, er zijn altijd lessons to be learned. Na het incident zijn we overgegaan naar een robuustere wijze van de integriteitscontrole op de interfacing tussen de webshop en het achtergelegen legacy-systeem alvorens deze informatie direct op de webshop te tonen. Daarbij hebben we deze specifieke situatie opgenomen in onze gestandaardiseerde testaanpak binnen alle software-ontwikkelingen van Hans Anders, Eyes + More en Direkt Optik.’
Hoe reageerde de Autoriteit Persoonsgegevens op jullie melding?
‘Een reactie van de Autoriteit Persoonsgegevens bestaat uit een gestandaardiseerde bevestiging van zowel de melding als de definitieve vaststelling van de melding. Deze zijn inderdaad beide door Hans Anders ontvangen.’
Euvel is me niet onbekend, een soortgelijke casus ken ik van andere webapplicaties. Zoals ook het gebruikelijke zwijgen over constateringen.. En typerende in het verhaal is dat een ontdekker van de fout een shortcut had in de escalatie, de ‘what if’ als dit niet het geval was laat zich raden. Want het excuus over legacy is zorgelijk als we het hebben over 30 jaar oud architectuur paradigma waarin er gegevens ontsloten worden middels een toegevoegde laag van webapplicaties. Ik snap er natuurlijk niks van maar als je orderID aan kunt passen in adresregel ben ik benieuwd welke mogelijkheden er nog meer waren in de SQL statements naar de back-end.