Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens van alle huidige en ex-werknemers van Strukton Rail zijn gestolen

Door een datalek bij spoorbouwer Strukton Rail zijn gegevens van alle huidige en ex-werknemers gestolen. Mogelijk gaat het om duizenden medewerkers. Van hen zijn naast naw-gegevens ook bankrekeningnummers buitgemaakt.

Dat blijkt uit een brief die naar medewerkers is verstuurd en die Tweakers na een tip van een lezer inzag. Inmiddels heeft Strukton zelf ook een verklaring uitgebracht. In de brief waarschuwt Strukton dat de gegevens van de ontvanger mogelijk zijn gestolen. Een tijdelijke medewerker met toegang tot personeelsgegevens had foto's gemaakt van de data. Een woordvoerder van Strukton wil niet zeggen welke functie die medewerker precies had.

Het gaat om namen, voorletters, adresgegevens, geboortedatums, datums van in- en uitdiensttreding en om bankrekeningnummers. Vanwege de omvang van het lek waarschuwt Strukton voor de kans op identiteitsdiefstal en het bedrijf geeft in de brief tips om dat te voorkomen. Het gaat alleen om medewerkers van Strukton Rail, en niet de andere afdelingen van Strukton. Ook zijn gegevens van Eurailscout-medewerkers gestolen. Strukton deed de personeelszaken voor dat bedrijf.

Strukton hoorde van de politie voor het eerst over het lek. Een oud-medewerker had daar aangifte gedaan van gegevensdiefstal. Toen de politie verder onderzoek deed bleek dat er meer gegevens waren buitgemaakt. Daarop lichtte de politie Strukton in. Die deed vervolgens nader onderzoek en concludeerde dat de diefstal op 11 juni plaatsvond. Het lek werd op 1 oktober aan Strukton gemeld en op 4 oktober concludeerde het bedrijf dat er inderdaad gegevens waren gestolen. Medewerkers werden op 7 oktober per brief ingelicht. Het bedrijf heeft toen ook aangifte gedaan bij de politie en bij de Autoriteit Persoonsgegevens. Dat laatste is verplicht bij een datalek.

Het is volgens de woordvoerder niet exact te zeggen hoeveel medewerkers precies slachtoffer zijn geworden van het lek. Omdat de oud-medewerker foto's maakte is bijvoorbeeld niet met logs in te zien hoeveel gegevens hij wist te stelen. Strukton gaat daarom van het slechtste scenario uit en heeft alle huidige en oud-medewerkers benaderd. Dat gebeurde met name via de fysieke post. "Veel oud-medewerkers krijgen nog steeds ons eigen bedrijfsblad thuisgestuurd omdat zij dat leuk vinden", zegt de woordvoerder. "Daardoor hebben we nog veel contactgegevens van ex-medewerkers." Strukton wil niet zeggen hoeveel medewerkers er aangesproken zijn, maar dat zijn er waarschijnlijk honderden en mogelijk duizenden. Strukton zegt dat er naast de eerste medewerker die aangifte deed inmiddels ook een andere medewerker heeft aangegeven dat zijn gegevens mogelijk misbruikt zijn.

Door Tijs Hofmans

Redacteur privacy & security

09-10-2019 • 11:59

80 Linkedin Google+

Submitter: AnonymousWP

Reacties (80)

Wijzig sortering
volgens mij moet je voor de belastingdienst 7 jaar de basisadministratie bewaren.
Volgens mij valt daar ook onder het uitbetalen van medewerkers en dus ook de storting op hun bankrekeningnummer en hun NAW-gegevens.

https://www.ondernemenmet...e-werknemersgegevens.html
Edit: Ik snap wel ivm wetgeving dat je het 7 jaar moet bewaren, maar dat slaat nergens op,
Blijkbaar snap je het dus niet.

Je moet dit echt zeven jaar bewaren. En soms nog veel langer want als jij een probleem krijgt met je pensioenfonds lijkt het me toch wel fijn dat je ex werkgever dat nog kan laten zien nietwaar? Dit is op geen enkele wijze een overtreding van de AVG. Dit doet werkelijk elk bedrijf. Je verontwaardiging is onterecht. Vraag maar eens aan je huidige werkgever. Of aan je oude universiteit etc. Die hebben allemaal nog data van je. Op geen enkele wijze een overtreding van de AVG.

Overigens lijkt het zeer onwaarschijnlijk dat ALLE gegevens op straat liggen omdat het hier gaat om foto's van het scherm. Dan moet het wel om duizenden foto's gaan. Laat staan dat ze op straat liggen.
Alleen je snapt dat het bewaren van al deze gegevens niet is zodat jij je zooi op orde hebt toch? Het gaat er om dat bedrijven het 7 jaar moeten bewaren omdat ZIJ gecontroleerd kunnen worden. Of jij 30 anderen banen in die tijd hebt gehad doet er niet toe, want ze controleren het bedrijf en niet jou persoonlijk.

Prima dat je je niet helemaal hebt verdiept in de wetgeving, maar roepen dat een wetgeving onzin is terwijl je er niks van weet is een beetje zonder rijbewijs roepen dat stopborden nutteloos zijn.
En wat denk jij dat rechten beheer precies doet tegen een foto camera? Als je een kwaadwillende hebt die toegang heeft (ook gerechtvaardigd) dan ben je het bokje. Het is een illusie te denken dat je iets kunt doen tegen boze opzet.
De dingen die jij noemt werken alleen als mensen geen toegang zouden moeten hebben tot de gegevens. Zo'n scherm werkt niet tegen de HR functionaris die het zat is en gewoon foto's gaat nemen. Dan heb je nog meer aan een screening en psychologische tests.

Mijn punt blijft: als een geathoriseerd iemand kwaad wil ben je het bokje. Punt.

Het feit dat er foto's genomen zijn en het niet simpelweg is geknipt en geplakt via de mail zegt me dat er al een flinke beveiliging op zat.

Ik heb zelf ook bij een militair project gewerkt met geheime informatie. Inclusief fouilleren, geen tel/camera/etc.. Ik kan je vertellen: zelfs daar lukt het een creatief persoon om data te stelen.
Het feit dat er foto's genomen zijn en het niet simpelweg is geknipt en geplakt via de mail zegt me dat er al een flinke beveiliging op zat.
'T zegt eigenlijk niks over de beveiliging, de persoon in kwestie heeft misschien gedacht dat die op deze manier zo min mogelijk sporen achter kon laten. Het kan zelfs een kwestie van puur gemak zijn (even snel een foto maken en er dan gelijk overal bij te kunnen).

Je punt verder ben ik volledig mee eens, als iemand toegang heeft en die besluit dan iets kwaads te willen doen ben je ver van huis. Je kan er niet aan ontkomen, wel zou het enigsinds mogelijk zijn om de gevaren te limiteren. (X aantal toegang per keer, X keer toegang in Y tijd, om de Y tijd een controle wat je met de gegevens gedaan hebt etc) Dat zijn maar even voorbeelden zodat een lek niet in 1x heel groot is. Alleen weerhoud het ook niet iemand om bijv maanden lang fotos te maken en dan opeens te besluiten dat het genoeg is.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True