Nuance: hoe zit het met het datalek van Allianz dat 2,3 miljoen mensen trof?

Allianz Global Insurance heeft te maken gehad met omvangrijke datadiefstal, waarbij gegevens van 2,3 miljoen mensen betrokken zouden zijn. Het zou daarmee één van de grootste Nederlandse datalekken ooit zijn. Van wie welke gegevens zijn gestolen, blijkt echter lastig te zeggen.

Wat is het nieuws? Sinds vanochtend kregen we bij Tweakers veel submits en tips binnen van lezers. Allianz Global Insurance, een grote autoverzekeraar, stuurde brieven naar potentiële slachtoffers van een datalek. Die krijgen we wel vaker binnen, maar zelden in zulke hoeveelheden als nu. Inmiddels koppen sommige media dat het gaat om '2,3 miljoen slachtoffers' of 'gegevens van 2,3 miljoen personen'. Dat getal klopt, bevestigt een woordvoerder van Allianz Global Insurance aan Tweakers.

Het gaat echter niet om een nieuwe diefstal, maar een oude. We schrijven hier bewust 'diefstal' en niet zozeer 'lek', want dat was wat er vorige maand gebeurde. Op 19 september bleek dat er een kluis was gestolen bij Allianz Global Insurance waarin klantgegevens zaten. Het gaat daarbij om een fysieke kluis, vertelt de woordvoerder, die was opgeslagen bij een externe leverancier. Hij wil niet zeggen wie dat is. Hoe en waarom de kluis is gestolen, is niet bekend. Daar wordt nog onderzoek naar gedaan. Wel is bekend dat er in de kluis een back-up werd bewaard van bepaalde klantgegevens, die op een digitale gegevensdrager stond. Niet bekend is of de data versleuteld is. Tegenwoordig melden bedrijven dit wel vaak als gegevens gestolen zijn. Het gaat in ieder geval om magnetische opslagtapes waarvoor een speciale lezer nodig is om ze uit te lezen, maar ook daarover wil de woordvoerder verder weinig kwijt, uit veiligheidsoverwegingen.

De diefstal

Op 19 september begon Allianz met een onderzoek. Al vrij snel werd bekend dat het ging om gegevens van 260.000 klanten die in de afgelopen jaren een directe polis hadden bij Allianz. Die gegevens betroffen in ieder geval naw-gegevens, en 'voertuiggegevens', ofwel het kenteken en type auto. Van 'een deel' van die 260.000 klanten waren ook andere gegevens bekend, zoals hun bankrekening. "Dat was alleen het geval bij klanten die bijvoorbeeld hun rekeningnummer hebben laten wijzigen bij ons, of met wie correspondentie is geweest over zulke informatie", zegt de woordvoerder tegen Tweakers. Ook andere gevallen, zoals eventuele schadeafhandelingen, zaten tussen die gegevens. Maar om hoeveel van die 260.000 klanten het gaat bij wie méér bekend was dan de voertuiggegevens kan Allianz niet zeggen.

Allianz heeft de 260.000 polishouders op 19 september al een waarschuwing gestuurd per brief. Omdat zij een polis hadden, was het makkelijk hen direct te bereiken. Op 19 september heeft het bedrijf daarnaast ook aangifte gedaan bij de Autoriteit Persoonsgegevens. Dat moet volgens de Meldplicht Datalekken binnen 72 uur nadat een datalek bekend is. Het is niet verplicht slachtoffers te informeren, maar het wordt wel aangeraden.

Pechhulpklanten

Maar waar komt dat aantal van 2,3 miljoen dan vandaan? Dat is het aantal klanten dat in de afgelopen vijf jaar recht op 'pechhulp' had die via Allianz liep, maar niet direct bij Allianz was afgesloten. Het gaat dan bijvoorbeeld om mensen die een verzekering via hun autodealer hebben lopen, of die een leaseauto hebben, zegt de woordvoerder. Ook van hen zijn de voertuiggegevens, dus het kenteken en type auto, bij de diefstal buitgemaakt. En ook bij hen gaat het in sommige gevallen om andere gegevens zoals namen, adressen en woonplaatsen, bankrekeningnummers, of schadeafhandelingen.

Maar ook wat betreft deze grotere groep is niet bekend van hoeveel personen deze gevoelige data in handen van de dieven zijn. De woordvoerder kan geen cijfer of zelfs een percentage noemen. Dat wordt mogelijk inzichtelijker als alle slachtoffers benaderd zijn. Dat gebeurt in etappes. "Het versturen van zoveel berichten gaat niet zomaar", zegt de woordvoerder.

Hij voegt toe dat het zo lang duurde voor slachtoffers bericht kregen omdat Allianz via de dealers moest achterhalen welke klanten bij welke auto's hoorden. "Dat is een tijdrovende klus."

Volgens Allianz zijn er op dit moment geen aanwijzingen dat er gegevens misbruikt zijn. Wel waarschuwt Allianz in de brief voor phishingmails die uit naam van de verzekeraar worden verstuurd. Daarin zouden de criminelen om meer persoonlijke gegevens kunnen vragen. Ook daarvan zijn nog geen signalen. Het bedrijf verwijst verder naar een inzageformulier waarmee klanten kunnen opvragen welke gegevens Allianz van hen heeft.

Reacties (73)

Eek8 24 oktober 2019 19:18

“ Het is niet verplicht slachtoffers te informeren, maar het wordt wel aangeraden”

Artikel 34 AVG:

“Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.”

Of deze partij aan de uitzonderingen voldoet op basis waarvan deze melding niet verplicht is blijkt onvoldoende uit de informatie omdat veel niet vrijgegeven wordt in het nieuwsbericht (b.v. of de gegevens passend beveiligd zijn).

Wordt vervolgd

Auteur

TijsZonderH Nieuwscoördinator @Eek8 • 24 oktober 2019 20:53

Buiten of het al dan niet aan uitzonderingen voldoet, ze delen het nu alsnog. Dat het lang duurt komt (volgens Allianz) door de tijd die het kostte om uit te zoeken welke auto bij welke klant hoorde. Valt dat onder 'omverwijld'?

Eek8 @TijsZonderH • 25 oktober 2019 00:57

Of dat onder onverwijld valt daar kun je nog hele discussies over voeren wanneer verder onderzoek is uitgevoerd maar daar hebben we een toezichthouder en/of rechter voor. Je zou b.v. ook het bericht eerder kunnen versturen via andere kanalen zoals nu gedaan wordt zodat betrokkenen zich tijdig kunnen beschermen. Ik ben in ieder geval blij dat ik niet de persoon ben die de afweging daar moet maken

joco @Eek8 • 25 oktober 2019 08:36

Hoe gaan betrokkenen zich tijdig beschermen?
Wat zal de gemiddelde Alliance klant (van de 2.x miljoen) nu doen dan?
Ik kan het wel verklappen, helemaal niks

Giku @TijsZonderH • 25 oktober 2019 09:24

Voor jou ook, zodat het de volgende keer meegenomen kan worden in de artikelen: artikel 42 UAVG is de uitzondering op de regel van artikel 34 AVG voor financiële ondernemingen.

Eek8 @Giku • 25 oktober 2019 12:03

Goede toevoeging

Cbr @TijsZonderH • 25 oktober 2019 08:38

Onverwijld betekent zoiets als zonder uitstel. Als ze het zo snel als mogelijk doen dan neem ik aan dat ze daar in ieder geval geen problemen mee krijgen.

Thystan @TijsZonderH • 25 oktober 2019 10:57

Volgens mij staat er in het artikel dat het niet verplicht is, maar wel wordt aangeraden, maar @Eek8 geeft aan dat de wet aangeeft dat het 'onverwijld' oftewel zo snel mogelijk, bekend moet worden gemaakt.

[Reactie gewijzigd door Thystan op 23 juli 2024 06:26]

Eek8 @Thystan • 25 oktober 2019 12:06

Dat staat niet in de wettekst die ik heb aangeleverd. Als aan de voorwaarden wordt voldaan en er geen uitzondering van toepassing is dan pas zou er onverwijld moeten worden gemeld. Of dat van toepassing is kan niemand beoordelen aan de hand van de voor ons beschikbare informatie. Dit alles nog los van de goede toevoeging van Giku m.b.t. artikel 42 van de UAVG.

kodak

Datalek
Beveiliging en antivirus
Autoriteit Persoonsgegevens
Privacy
Nederland

@Eek8 • 24 oktober 2019 20:47

Er blijkt wel een punt wat zwaar behoort mee te wegen: niet direkt weten welke persoonsgegevens opgeslagen zijn en op welke wijze. Als je dat als bedrijf niet weet kan je ook niet makkelijk stellen dat het wel mee valt. Ik denk dat de toezichthouder dat wel het meest kwalijk gaat nemen. Je hoort als bedrijf te weten wat je waarom aan persoonsgegevens waar verwerkt en wat de beveiliging is. Het bedrijf lijkt dat niet op orde te hebben en nu er veel persoonsgegevens niet meer onder hun controle zijn kan het pas weken later bekennen dat er wel meer persoonsgevens weg zijn dan ze eerder lieten blijken. Dat je een speciale tapedrive of ander hulpmiddel nodig hebt om de gegevens uit te lezen is niet bepaald een beveiliging of controle te noemen die daarin verzachtend is.

Sergelwd @kodak • 25 oktober 2019 00:12

Aangezien het om gegevens van een verzekeringmaatschappij gaat lijkt het mij toch aardig privacy-gevoelig..
Ik snap ook niet dat hier nogsteeds zo laks mee om word gegaan, ik ga er vanuit dat zo'n beetje al onze gegevens wel op straat(zwarte markten) liggen en nogsteeds kleven hier voor verantwoordelijke totaal geen gevolgen aan.
Ik vind dit toch wel prioriteit genoeg hebben om dat hoofdkantoor eens even door te lichten en eventuele verantwoordelijken te berechten.

Giku @Eek8 • 25 oktober 2019 09:22

Artikel 42 UAVG (de uitvoeringswet) bepaalt dat financiële ondernemingen niet onder artikel 34 van de AVG vallen. Ze zijn dus inderdaad niet verplicht om betrokkenen te informeren.

Eek8 @Giku • 25 oktober 2019 12:21

Correct vanuit de AVG en UAVG, ik heb onvoldoende parate kennis wat er in overige wetgeving wel of niet verplicht is zoals b.v. de wft omtrent zorgplicht, informatie/meldplicht etc.

alionfire @Eek8 • 25 oktober 2019 13:17

Het hoeft ook niet per se een hoog risico te zijn voor de betrokkenen. Als bijvoorbeeld sterke encryptie toegepast is, is het risico zeker aanwezig, maar is de impact niet 'hoog'.

Tweakwondo @Eek8 • 30 oktober 2019 17:14

Beetje laat maar ik heb inmiddels een brief ontvagen dat bestanden met de NAW gegevens zijn gestolen.. benieuwd wat ik er nu tegen kan doen, waarschijnlijk niets

loewie1984 24 oktober 2019 19:11

Ik heb dit bericht al twee a drie weken geleden gekregen aangezien het ook klanten betreft met een fietsverzekering bij Alianz.

Het verhaal was gelijknamig. Een harde schijf met de klant informatie van Alianz was door onbekenden ontvreemd. Hoe het ook zij. Het is enigszins merkwaardig te noemen hoe men ongeautoriseerde toegang kon krijgen tot de kluis en de gegevens dragers heeft kunnen ontvreemden, roept natuurlijk alleen maar meer vragen op.

Anoniem: 310408 @loewie1984 • 24 oktober 2019 19:25

Het is enigszins merkwaardig te noemen hoe men ongeautoriseerde toegang kon krijgen tot de kluis en de gegevens dragers heeft kunnen ontvreemden, roept natuurlijk alleen maar meer vragen op.

De hele kluis is gestolen..... Dat kan je ongeautoriseerde toegang noemen maar dat lijkt me wat vreemd.

[Reactie gewijzigd door Anoniem: 310408 op 23 juli 2024 06:26]

graey @Anoniem: 310408 • 24 oktober 2019 20:07

Je jat een kluis waarin niet-versleutelde gegevens zitten. Dat lijkt me nogal slordig, en valt ruimschoots onder ongeautoriseerde toegang.

Wouterkaas @graey • 24 oktober 2019 20:54

Dat het om niet-versleutelde gegevens gaat is toch niet duidelijk op dit moment?

EraYaN @Wouterkaas • 24 oktober 2019 21:21

Als de gegevens versleuteld waren, was er niet eens een data lek. Dan was er helemaal niets aan de hand, vooralsnog is AES block encryptie op schijven nog niet gekraakt, en dat zal ook nog wel even duren.

Groningerkoek @EraYaN • 24 oktober 2019 21:24

Versleuteld of niet maakt niet uit omtrent of iets een lek is of niet.

EraYaN @Groningerkoek • 24 oktober 2019 21:25

Zeker wel, want versleutelde data is zonder de key gewoon random noise. En als alles er plain text op staat is dat toch echt een groter probleem.

De vraag zal eerder zijn hoe het met key management zat.

[Reactie gewijzigd door EraYaN op 23 juli 2024 06:26]

Groningerkoek @EraYaN • 24 oktober 2019 22:01

Je verzint je eigen feiten.

Het maakt voor de meldplicht uit in hoeverre het vrijkomen van de gegevens is te verwachten, een goede versleuteling kan ervoor zorgen dat het datalek niet onder de meldplicht valt, maar het blijft een datalek.

https://autoriteitpersoon...meldplicht-datalekken#faq

EraYaN @Groningerkoek • 24 oktober 2019 23:13

Als je hem niet hoeft te melden dan had het net zo goed niet kunnen gebeuren. Daarbij specificeert de sectie waar je naar linkt vrij duidelijk "het verlies van een USB-stick met niet-versleutelde persoonsgegevens" als voorbeeld, dat doen ze niet voor niets.

Het is ook niet zo gek, want op de meeste netwerken (alle eigenlijk) "lekt" er constant versleutelde data, het zou wat zijn als dat een probleem zou vormen.

Ubartu @EraYaN • 25 oktober 2019 09:27

Ik deel je standpunt en heb hier eerder ook discussie over gevoerd met deskundigen op gebied van de AVG. De experts waren unaniem dat versleuteling van persoonlijke gegevens niet het feit verandert dat het nog steeds persoonlijke gegevens zijn en dat er dus bij diefstal van de gegevens een melding gemaakt moet worden aan de autoriteit persoonsgegevens.
Dit geldt dus ook als er versleuteling op zit die jaren duurt om te kraken, waarbij de data zonder sleutel absoluut onleesbaar is.

Tegelijk wordt versleuteling wel gezien als een passende maatregel om je gegevens te beveiligen. Er bestaan tenslotte geen betere methoden voor opslag van data.

EraYaN @Ubartu • 25 oktober 2019 11:09

Gelukkig schrijft de AP in de link hierboven dus dat dat niet hoeft, ze zetten het zelfs niet bij de voorbeelden van datalekken en nogmaals dat zou ook raar zijn want dan zijn 4G netwerken constante gigantische datalekken iedere keer als iemands smartphone een pakket met persoonsgegevens verstuurd. Dit is tenslotte alleen maar beschermd door encryptie. Dus dan zou het raar zijn als dat op een fysieke drager in eens anders zou zijn.

Groningerkoek @EraYaN • 25 oktober 2019 00:07

Mensen die het verdommen te lezen zijn zo gruwelijk vermoeiend omdat ze wel denken de waarheid te kennen. Een datalek is een datalek en of die dat 1.000x versleuteld is veranderd daar helemaal niets aan.

j1b2c3 @EraYaN • 24 oktober 2019 23:10

Die hadden vast de sleutel tot de kluis

Christoxz @Anoniem: 310408 • 24 oktober 2019 22:59

Maar de kluis stond wel in een extern beveiligde locatie.
Zo goed beveiligd was het dus niet.

rob12424 @loewie1984 • 24 oktober 2019 19:21

Ik heb mijn mobiel verzekerd via Allianz (wel internationaal via post in Zwitserland)
Lagen die gegevens daar ook?

P.S.: misschien zijn de mogelijke daders wel Tim en Tom

powerboat @rob12424 • 24 oktober 2019 20:03

Doei Doei!!

j1b2c3 @loewie1984 • 24 oktober 2019 23:09

Nou niet echt je maakt een back-up bewaar jij die gewoon naast de machine waar je die backup maakt of wil je het zekere voor het onzekere nemen, we hebben het hier althans over verzekeraars. En bewaart die off-site mocht er wat gebeuren met de locatie dan zijn de gegevens veilig. Tja dit is wat dieven doen ouderwets kluizen stelen.

MCP cloud @loewie1984 • 24 oktober 2019 19:17

Ik heb dit bericht al twee a drie weken geleden gekregen aangezien het ook klanten betreft met een fietsverzekering bij Alianz.

Het verhaal was gelijknamig. Een harde schijf met de klant informatie van Alianz was door onbekenden ontvreemd. Hoe het ook zij. Het is enigszins merkwaardig te noemen hoe men ongeautoriseerde toegang kon krijgen tot de kluis en de gegevens dragers heeft kunnen ontvreemden, roept natuurlijk alleen maar meer vragen op.

Tim en Tom Coronel zijn boos over contract breuk

Humor even hier

phosporus @loewie1984 • 25 oktober 2019 09:31

"Het verhaal was gelijknamig. Een harde schijf met de klant informatie van Alianz was door onbekenden ontvreemd."

Als je dezelfde brief hebt gehad als de rest zou het een tape moeten zijn

"Het is enigszins merkwaardig te noemen hoe men ongeautoriseerde toegang kon krijgen tot de kluis en de gegevens dragers heeft kunnen ontvreemden"

Nja dat heet inbraak.

xFeverr 24 oktober 2019 19:45

Ik ben wel benieuwd waar de klanten vandaan komen. Ikzelf via Kia Internationale Wegenhulp (KIW) die bij mijn auto zat. Ik kreeg er vorige week ook een brief over dat mijn gegevens er mogelijk bij zijn.

Aangezien het bij Kia raak was, had ik eigenlijk ook verwacht dat Hyundai-klanten (met Mobiliteitsgarantie, zoals het daar heet) ook de sjaak waren, aangezien het bij dezelfde familie hoort. Wij hebben een Hyundai als tweede auto mét pechhulp/'Mobiliteitsgarantie', maar daarover geen brief ontvangen. Misschien weet iemand daar meer over?

Jupiter2 @xFeverr • 24 oktober 2019 19:57

Vandaag brief ontvangen voor mijn Hyundai

Picaroon @xFeverr • 24 oktober 2019 21:15

Vandaag een mail van Allianz ontvangen dat mijn gegevens op die bewuste mediadrager staan. Ik heb mobiliteitsgarantie voor mijn Toyota.

Toch maar even een belletje eraan gewaagd of men mij meer details kan verschaffen: "gegevens zijn versleuteld op de HD, betreft alleen NAW + kenteken". Ik zal het er maar mee moeten doen, maar er heerst een onderbuikgevoel; ze hebben me tenslotte gemaild over de diefstal.

dnzm @Picaroon • 25 oktober 2019 11:05

Dit is de eerste keer dat ik iets over "versleuteld" lees, dat zou - als dat voor alle gegevens geldt - wel wat breder uitgedragen mogen worden. Waren dat daadwerkelijk hun woorden?

Picaroon @dnzm • 27 oktober 2019 14:41

Dat was inderdaad het antwoord toen ik er expliciet naar vroeg, maar ik neem het met een korrel zout. Ik kreeg eerlijk gezegd het gevoel dat vooral de onrust weg genomen moest worden.

Het nummer (0800-3345000) dat ik gebeld heb betreft een speciaal informatienummer en ze ratelde meteen een lap tekst op toen ik in mijn eerste vraag het woord 'datalek' noemde. Daarnaast ben ik over het datalek gemaild, maar er zou geen mailadressen en telefoonnummers in deze gegevens staan?

JeroenV_ @xFeverr • 25 oktober 2019 11:47

Ik heb 2 weken geleden ook de brief gehad over m'n Kia.
Ding is echter geleased dus geen idee of mijn persoonlijke adres dan bekend is, of dat van leaseplan.

eichelsh @JeroenV_ • 2 november 2019 09:28

Als je een brief op je huisadres hebt ontvangen....

Pazo

24 oktober 2019 19:53

Het lijkt erop dat er ook gegevens bij zitten van mensen met andere verzekeringen als ik het hier zo lees. Iets bekend over hypotheken? Ik heb mijn hypotheek bij Allianz, dus hebben zelfs kopie van mijn paspoort etc.

zojammerhe 24 oktober 2019 22:04

Nu heb ik deze brief ook gehad, nu zit ik met een vraag...

Kan ik nu op kosten van Allianz een ander kenteken aanvragen, om mijn "indentiteit" zoveel als mogelijk veilig te stellen? Dat de tapes op DIT moment versleuteld (?) zijn, doet er niet zo veel toe denk ik.
Ikzelf pleit ervoor dat de data die op die tapes staat, zoveel als mogelijk niet meer klopt, en fraude en oplichting zover als mogelijk van mijn bed liggen..... DAAR wil ik mij tegen verzekeren.... maar daarvoor moet ik vast niet bij een verzekeringsmaatschappij zijn.....

FastPinguin 24 oktober 2019 22:45

Bij dat inzageformulier moet je meer gegevens aan hun prijsgeven dan ze waarschijnlijk al van je hebben. Je moet wel gek zijn om dat formulier te gebruiken. De volgende kluis bevat dan nog meer data van je. Ik ben 2 keer de sjaak geweest, via KIA pechhulp en AON verzekering. Ik vermoed dat het niet versleuteld was, aangezien ze dat niet gelijk erbij vermelden.

Cheap Apps @FastPinguin • 24 oktober 2019 23:09

Die formulieren vragen meer van je dat wat ze weten, om te verifiëren dat jij jij bent. Die gegevens gaan ze niet op slaan (tenminste, dat mag ik hopen), ze hebben het alleen nodig om álle gegevens van jou bij elkaar te zoeken. Te weinig info, en er kan wat achter blijven, te veel info, en ze weten zeker dat ze alles hebben.
Overigens heeft een verzekeraar geen interesse om meer info over je te krijgen, tenzij je aan het frauderen bent

dnzm @Cheap Apps • 25 oktober 2019 11:06

tenminste, dat mag ik hopen

Tja, aannames.

TomONeill 24 oktober 2019 22:59

AllSecur klant hier, geen brief gehad.

TomONeill @TomONeill • 21 november 2019 08:08

Even terug, maar gister wél een brief gekregen...

tweaktubbie 25 oktober 2019 00:20

Kreeg gisteren mail van Allianz dat ze als uitvoerder van Toyota's pechhulp mijn gegevens op de backup hadden staan. Duurt 5 weken voor je dat ineens weet dus, maar ook nog eens dat Allianz zolang nodig had omdat ze van Toyota m'n gegevens (e-mail dus + achternaam) door moesten krijgen - kennelijk. Lees echter in mijn mail dat NAW+kenteken op de backup stonden.
Of ze hadden m'n gegevens dus al. Of Toyota speelt nu mijn naam/mailadres aan ze door. Zit ik ook niet op te wachten. Dacht bij de diefstal nog, gelukkig dat ik daar niet tussen zit.

Iets klopt er niet aan het hele verhaal dus. Die tapes zijn encrypted of niet. Dan had je op z'n minst iets geroepen over zoveel bits encryptie dat 1000 jaar nodig heeft met brute force..

ArawnofAnnwn @tweaktubbie • 25 oktober 2019 12:59

De meeste mensen weten niet wat encryptie is, dat zou de brief lastiger maken voor veel mensen. Zo'n "100 jaar nodig heeft met brute force" verhaal is ook niet afdoende. Dat dat op dit moment zo is, kan best, maar over een week kan dat anders zijn. Daarnaast ga je dan vaak uit van 1 computer, niet van een cluster of botnet dat er voor ingezet kan worden.

slijkie 24 oktober 2019 19:05

Volgens mij had ik dit Woensdag 16 oktober al naar jullie gesubmit

SuperDre 24 oktober 2019 21:30

Uhm, wat is er dan zo nieuw aan dit onderwerp, er is niets meer bekend dan dat er indertijd al bekend was. Toen was het ook al bekend dat het waarschijnlijk om zoveel mensen ging.

Op dit item kan niet meer gereageerd worden.

Nuance: hoe zit het met het datalek van Allianz dat 2,3 miljoen mensen trof?

De diefstal

Pechhulpklanten

Lees meer

'Cyberverzekeringen' worden normaal

Reacties (73)

Sorteer op:

Weergave: