Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen

Een database met gegevens van 3,6 miljoen klanten van de Nederlandse webshop Allekabels is buitgemaakt en vermoedelijk verkocht aan criminelen. Dat concludeert RTL Nieuws na onderzoek. Allekabels waarschuwde eerder slechts 5000 mensen voor een datalek.

De database is door RTL Nieuws ingezien en geverifieerd. Er staan 2,6 miljoen unieke e-mailadressen in, die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn er nog een miljoen entries met gegevens van klanten die via handelsplatforms als Bol.com en Amazon bij Allekabels hebben besteld. Daar zitten geen e-mailadressen of wachtwoorden bij.

In februari stuurde Allekabels een e-mail naar 5000 gebruikers om hen te informeren over een datalek. De webwinkel zei toen dat de data waarschijnlijk gestolen was door een thuiswerkende ex-medewerker. In de weken voordat deze mail werd verstuurd, gingen er al geruchten over een datalek bij de webwinkel, omdat op een forum een database met klantgegevens werd aangeboden.

De anonieme hacker Chippy1337, die de database aanbood, zegt tegen RTL Nieuws dat hij in augustus vorig jaar de webwinkel heeft gehackt en dat die al sindsdien op de hoogte is. Volgens hem reageren ze niet op zijn mails. Allekabels ontkent op de hoogte te zijn geweest en zegt geprobeerd te hebben om contact op te nemen met de persoon die de database aanbood, maar dat zou niet zijn gelukt.

Het lijkt erop dat Allekabels alleen klanten met een uniek of aangepast e-mailadres voor de webshop heeft geïnformeerd over het datalek. Klanten met zo'n adres merkten al langer op dat ze spam of phishingmails ontvingen, wat duidt op een datalek. Verschillende tweakers merkten dat vorig jaar al op, bleek uit reacties.

RTL Nieuws verifieerde dat door dertig mensen uit de database met zo'n uniek e-mailadres op te bellen. Die hebben allemaal een bericht gehad van Allekabels in februari. De webshop claimt dat zij toevallig onderdeel waren van de 5000 gegevens die door een ex-medewerker gestolen zouden zijn. Wel zegt de site nu een intern onderzoek te doen 'naar de hele situatie'. De Autoriteit Persoonsgegevens gaat naar aanleiding van de berichtgeving informatie en documenten opvragen bij Allekabels.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

15-04-2021 • 15:52

505 Linkedin

Submitter: juliank

Reacties (505)

-15050488+1216+220+31Ongemodereerd236
Wijzig sortering
Op het forum loopt ook een topic waaruit blijkt dat o.a. communicatie niet de sterkste kant is van AlleKabels.

Datalek allekabels.nl
De pagina die nu live is up hun site zelf is echt een schande met zinnen zoals “een datalek is nooit leuk”
Nee gvd...niet “leuk” nee...

https://www.allekabels.nl/faq-1504.php
Ondertussen is de hele site offline, of in ieder geval te druk om nog te bezoeken.

Edit: iig om 21:30 is de site weer bereikbaar met een kleine banner bovenaan met meer info (die niet helemaal volledig lukt overigens)

[Reactie gewijzigd door Raymond Deen op 15 april 2021 21:36]

En de informatie die daar staat klopt ook niet. Daniel Verlaan twitterde dat het wachtwoord waar de wachtwoorden gesalt zijn is ook gelekt.
Hier nog steeds geen communicatie ontvangen van hen...
Zelf heb ik op 4 februari een mail hierover gehad van ze.
In die mail werd geen nader info gegeven over welke data er precies naar buiten is gekomen, maar als dat echt inclusief bedrijfsnaam, geboorte-, telefoon-, naw- en bank-gegevens is dan heeft een potentiële boef behoorlijk wat gegevens bij de hand om geloofwaardig over te komen bij een poging tot fraude. ;(
En vergeet niet, zo'n compleet basisprofiel valt uitstekend te matchen en aan te vullen met wat andere lekken zoals bij de testregistratie. Heb je meteen ook nog een BSN erbij. Nu nog een hotelletje ergens dat overijverig kopie paspoort opslaat, of een API ergens waar je zoiets met BSN en andere gegevens uit je gestolen profiel kan trekken en je bent helemaal compleet met miljoenen digitale identiteiten om abonnementen en meer op af te sluiten. Ik mag hopen dat we snel meer gaan zien van IRMA:
https://www.sidn.nl/en/irma-powered-by-sidn

IRMA = I Reveal My Attributes (and nothing more ;))

[Reactie gewijzigd door OruBLMsFrl op 16 april 2021 00:12]

ik lees bijna elke week wel meerdere leaks van klantgegevens. We mogen ervan uitgaan dat criminelen nu al weten dat we meerdere e-mail adressen hebben, ons adres, welke auto we wellicht nog rijden en wat onze nummers zijn. Het is ook super handig om zomers te bellen of ze langs kunnen komen om te horen dat het niet past of dat ze op vakantie zijn. BINGO. Goh autoonderdelen nodig even kijken in je eigen database auto x op adres x top.
Het wordt nog mooier: ik heb op 3 februari 2021 (dus +/- 6 maanden na de hack) voor het eerst wat besteld op mijn "unieke" e-mailadres, 27 uur later kreeg ik de e-mail.

Het lijkt er dus sterk op dat ze ook niet getroffen e-mail adressen hebben geïnformeerd, en simpelweg geen idee hadden (hebben?) wat er is gebeurd.
Voor de geinteresseerden, dit is de mail die naar 5000 mensen is gegaan. In m'n mailbox even opgezocht.

https://i.imgur.com/s9cPCu0.png
Ik schrik er van dat ik VANDAAG pas een mail krijg met de mededeling dat mijn IBAN, NAW etc al vanaf AUGUSTUS 2020 op straat lagen. Wat een slechte klanten'service' is dit! Direct gevraagd mijn overige accountgegevens direct te laten verwijderen.
Dit is echt onvergeeflijk. Ik heb er meerdere keren besteld en met tevredenheid, maar nu gun ik ze niets minder dan een faillissement. Al was het maar als signaal naar andere bedrijven dat je niet moet liegen op een datalek.

In plaats van klanten te informeren, hebben ze dus actief gezocht naar mogelijkheden om het lek kleiner te doen laten lijken. Terwijl ze beter wisten; een hack of een diefstal door personeel is echt heel iets anders en daarin kun je je gewoonweg niet vergissen. Echt onbegrijpelijk en wat mij betreft ook onvergeeflijk.

Edit: ja, een faillissement toewensen is niet niks. Dat is sneu voor de eigenaren en werknemers, maar laten we niet relativeren hoe ernstig dit vergrijp (liegen over datalek) is. Het betreft hier miljoenen Nederlanders.

Edit: en nog steeds liegen ze. Op hun site staat dat geen betaalgegevens zijn gelekt, maar RTL meldt dat er IBAN-nummers tussen zitten. En erg duidelijk is het ook niet. Want wachtwoorden zijn versleuteld, maar hoe?

Edit 3: aha met MD5 en een uitgelekte salt: https://twitter.com/danielverlaan/status/1382731713495904256. Die encryptie is dus niets waard.

[Reactie gewijzigd door StephanVierkant op 15 april 2021 18:42]

Echt onbegrijpelijk en wat mij betreft ook onvergeeflijk.
Wat mij betreft heel begrijpelijk maar inderdaad onvergeeflijk. Onvergeeflijk dat er in 2021 nog steeds geen wetgeving bestaat die het onnodig verzamelen en (onveilig) opslaan van gegevens strafbaar maakt.

Zonder goede wetgeving en handhaving gaat er helemaal niets veranderen aan dit soort lekken en is dit er 1 in een hele hele hele hele lang reeks komende lekken en nog veel grotere data lekken.

Is er hoop voor de toekomst? Ik denk het niet, want de regering die verantwoordelijk is voor het maken en handhaven van wetten die lekken voorkomen is zelf de grootste gierigste data-verzamelaar van allemaal. Zomaar een voorbeeld: de belastingdienst met hun machine learning obsessie.

Mijn mening: dit gaat niet stoppen tot het hele administratie systeem van de overheid volledig vastloopt door massale identiteitsfraude. En/of het financiële systeem in de soep loopt.

[Reactie gewijzigd door GeoBeo op 15 april 2021 17:10]

Onvergeeflijk dat er in 2021 nog steeds geen wetgeving bestaat die het onnodig verzamelen en (onveilig) opslaan van gegevens strafbaar maakt.
Die is er wel; die heet AVG. Die stelt al dat je niet onnodig persoonsgegevens mag verzamelen en wat je dan verzamelt moet dan goed beveiligd moet zijn.

Handhaving is natuurlijk wel een heikel punt erbij... En de formulering van 'onnodig' en 'goed beveiligd' is expres vaag, zodat ze niet elke maand een nieuw amendement moeten toevoegen omdat er een nieuw type beveiligingslek oid bekend is geworden. Maar de keerzijde daarvan is dat het open staat voor interpretatie...

Het zou wel interessant zijn als de AP in staat zou zijn steeksproefgewijs controles uit te voeren. En dan de bevindingen - zonder namen te noemen - publiceert. Dan is het enerzijds afschrikwekkend en anderzijds helpt het de rest van de markt met wat de interpretatie volgens de AP in die situaties is.
knap als je md5 hashing kunt schuiven onder "veilig" :o
[...]
Die is er wel; die heet AVG. Die stelt al dat je niet onnodig persoonsgegevens mag verzamelen en wat je dan verzamelt moet dan goed beveiligd moet zijn.
Ik was een beetje onduidelijk: ik bedoel ECHT strafbaar. Dus niet met een pakkans van 0 als rechtspersoon beboet worden, maar privé aansprakelijke directieleden die de gevangenis in gaan bij lekken als deze en/of bij verzamelen van data die totaal onnodig is (zoals geboortedatum in het geval van deze webwinkel).

Geldboetes betekenen voor een goed draaiend bedrijf helemaal niets.

Als de straf voor een illegale activiteit een geldboete is, dan is het geen illegale activiteit voor rijken.
Zou jij nog voor een bedrijf willen werken als systeembeheerder als je voor een fout de gevangenis in zou moeten?
De directie is altijd verantwoordelijk, niet de systeembeheerder.
Inderdaad... Maar zo'n database kan je dat niet gewoon encrypten? Je hebt van die HTTPS verbindingen om te zorgen dat je data in transitie mooi versleuteld is maar in rust staat alles gewoon in plain text? Misschien de passwords wel netjes versleuteld maar de rest niet? Is dat niet mogelijk?
Daar zijn wel mogelijkheden voor, maar zitten ook een aantal nadelen aan.

Ten eerste is een wachtwoord meestal gehasht (versleuteling één kant op), je kunt met die versleuteling niet meer terug naar het originele wachtwoord. Het wachtwoord verifiëren gaat dan ook door het ingevoerde wachtwoord bij inloggen nog een keer te versleutelen en dat resultaat te vergelijken met wat er in de database staat.

Het (2-weg) versleutelen van klantgegevens kan logischerwijs niet op die manier, want je moet het terug kunnen lezen. Het zoeken in een versleutelde database wordt hierdoor ingewikkeld, duur en traag en zal daarom niet zo heel vaak gebruikt worden, of gebruikt kunnen worden.
Iemand met een client die verbonden is met die database maakt het echt niet uit of die db encrypted is en opgeslagen op encrypted disks die benaderd worden door een systeem met encrypted memory.
Wat wel zou helpen is om de rechten op die database en tabellen zodanig in te stellen dat een gebruiker niet met een simpele query een lijstje met genoemde gegevens uit het systeem kan trekken.
Per soort gegeven een encryptie instellen die alleen via bepaalde api's uitgelezen kan worden die "leven" op gescheiden systemen, is ook een mogelijkheid; er is niet slechts één weg naar Rome natuurlijk.

Edit: spelvaut die het verhaal wat onduidelijk maakte weggehaald...

[Reactie gewijzigd door Raymond Deen op 15 april 2021 23:01]

Stap 1: waarom heeft een website die kabeltjes levert in godesnaam telefoonnummers en geboortedata van mensen nodig?!

Ik durf zelfs zo ver te gaan als stellen dat een email adres niet eens nodig is: geef mensen gewoon een username en password (optioneel gekoppeld aan email adres).

En naam? Is dat echt super nodig? Ik heb te weinig verstand van het post systeem om te weten of je post onder nicknames kunt versturen, maar het zou me niks verbazen als het kon.

Alleen al met het weglaten van die onnodig opgeslagen gegevens kan een hoop ellende voorkomen worden en het maakt het bestellen nog makkelijker ook (minder in te vullen voor de klant).

Daarna komt pas stap 2: goed beveiligen van de gegevens die je als winkel dan toch echt nodig hebt.
Je telefoonnummer en geboortedatum wordt gevraagd en opgeslagen wanneer je kiest voor achteraf betalen.
Er is toch een manier nodig om je wachtwoord te resetten dus een externe contact manier is wel nodig om te bevestigen dat jij het echt ben. Je naam is wel handig voor de postbode (bijvoorbeeld in een flat om te controleren of hij/zij de juiste huisnummer heeft) of zelf nodig als je moet tekenen voor een pakket. En ook als jij je pakket gemist heb en moet ophalen dan moet jij je identificeren. En nickname lijkt me ook niet handig om mee te versturen. Genoeg websites gebruiken geen nickname maar emailadres om in te loggen. Dan zou emailadres dus bekent zijn bij de bezorgers. Dat is toch al de halve gegevens om in te loggen dan mits je geen 2fa gebruik. Of men kan dit aanmelden bij sites zodat je spam krijgt. En ik heb geen id kaart me mijn emailadres of gebruikersnaam dus bij ophalen van gemiste pakketjes wordt het lastig. Je zou de emailadres kunnen laten zijn op je telefoon maar daar zullen dan ook wel weer truckjes voor komen. In plaats van email dat men een plaatje laat zien met gewijzigde emailadres.
Er werken heel veel mensen op alle niveau's. Ook zijn ze redelijk actief met het aanbieden van werk aan mensen die normaal niet zo makkelijk aan een baan kunnen komen.

Moeten al die mensen nu thuis gaan zitten omdat dit gebeurd is? Dit moet hard aangepakt worden, geen twijfel. Maar om nu iedereen zijn brood te ontnemen voor fouten van het management, lijkt mij erg overdreven.
Dat is niet 100% hoe het werkt. Op de korte termijn is het vervelend, ja. Maar de vraag naar kabels is er, dus die moet ondergebracht worden in andere bedrijven. De werkgelegenheid gaat op de lange termijn niet significant naar beneden door een faillissement.
Natuurlijk gaat de werkgelegenheid naar beneden. Dit bedrijf heeft een positie in de markt weten te veroveren met een schaalgrootte, die niet makkelijk te herhalen is anno 2021. Er zal een deel werkgelegenheid terugkeren, maar veel consumenten zullen zich ook gaan richten tot Aliexpress en consorten.
Het probleem is dat we geen 'creative destruction' meer toelaten in het systeem, omdat we bang zijn werkgelegenheid te verliezen.
Ik ben het er niet mee eens dat de werkgelegenheid naar significant naar beneden gaat.

Dit is wel het nadeel van het kapitalistische model dat we nu hanteren. De beste bedrijven worden zo groot dat we er eigenlijk niet meer omheen kunnen, ook qua werkgelegenheid. Tijdens de bankencrisis zijn veel banken overeind gehouden omdat het slecht zou zijn voor de economie om ze om te laten vallen. Maar het jaar erop wordt de manager weer een bonus uitgekeerd voor zijn geweldige prestaties.

Ik zag vandaag ook een bericht van een ziekenhuis dat aangaf dat de boete voor wanbeleid een slecht idee was omdat daardoor de 'klanten' minder zorg zouden krijgen.

Maar we hebben in Nederland weinig mogelijkheid om degene die verantwoordelijk is voor het wanbeleid te straffen voor z'n acties. We kunnen hooguit het bedrijf straffen waardoor het bedrijf getriggerd wordt om z'n verantwoordelijke hierop aan te spreken.

Maar als deze zogenaamde managers prachtige contracten hebben waarin bonussen zijn opgenomen zonder relatie met dit soort wanbeleid. Of wanneer de manager allang met de noorderzon vertrokken is naar een ander prachtig bedrijf veranderd er weinig.

En ja, het is nog veel lastiger om bij buitenlandse bedrijven de juiste mensen verantwoordelijk te maken. En het is heel goed mogelijk dat dit goedlopende bedrijf niet 1 op 1 terugkomt. Maar de kans dat er een doorstart komt met nieuw management is ook aanwezig.

Vanuit de huidige werknemers gezien is dit natuurlijk heel crue en snap ik je uitspraak helemaal. Die zijn niet schuldig, zitten niet op zulke onzekerheid te wachten.

Dus faillissement is niet iets wat ik zou toejuigen, maar als consument het bedrijf links laten liggen is wel het enige middel om duidelijk te maken dat dit beleidt niet wordt gewaardeerd.
Zullen voornamelijk magazijnmedewerkers en ITers zijn, die 2 vakgebieden verzuipen nu in het tekort aan personeel.
Gewone consumenten wel, maar denk dat deze site ook gebruikt word door veel kleinere zelfstandigen die geen 2 maand kunnen wachten op een kabeltje uit china, nog niet van te spreken van al het extra papierwerk bij officieel importeren voor commercieel gebruik.
Misschien moet je dat eens vragen aan de mensen die worden ontslagen bij een faillissement. Ik kan je verzekeren dat zij niet niet denken aan de lange termijn, maar of over 2 maanden de huur/hypotheek nog betaald kan worden. Dan denk je niet echt aan vervelend, mensen raken soms gewoon hun huis en haard kwijt en relaties gaan kapot onder de financiële stres.

Dat gezegd hebbende, ik denk wel dat hard aanpakken op z'n plaats is. Beste zou zijn celstraf, boetes worden toch afgewenteld op anderen meestal.
Tuurlijk is het vervelend, dat zal je me ook niet horen ontkennen. Maar dat is geen reden om bedrijven die niet meer zouden moeten bestaan dan maar overeind te houden. Eén van de problemen is dat mensen tegenwoordig niet meer kunnen sparen voor dat soort situaties, omdat hun spaargeld verdampt door inflatie en je geen rente meer krijgt op de bank... Als je spaargeld had, zou het in veel gevallen geen probleem zijn om je baan twee maanden kwijt te zijn, maar omdat dat niet meer zo is, worden niet-functionerende bedrijven met geld van de maatschappij continu overeind gehouden en zijn we bang geworden voor faillissementen.
Sparen voor dat soort situaties kan ook prima als er beperkte inflatie is hoor, maar in NL stoppen we het geld als het kan liever in de huizenbubbel. En als het niet kan worden we door de haves nog steeds gedwongen het in de huizenbubbel te stoppen door exorbitante huurverhogingen.
Zelfs met beperkte inflatie (bv 2%) ben je na 10 jaar 20% van je vermogen kwijt. Daarnaast, inflatie is niet één getal, maar voor ieder product verschillend. Zoals je inderdaad aankaart is de inflatie in huur veel hoger dan 2%, dus als je spaart voor huur, dikke pech. Je bent over 10 jaar véél meer dan 20% kwijt.

Ook belangrijk: we worden niet "door de haves gedwongen" om het in de huizenmarkt te stoppen. Ook "de haves" zijn slachtoffer in deze kwestie, alleen hebben zij een manier gevonden om er minder last van te hebben. Zeggen dat de huizenbubbel de schuld is van de haves is als zeggen dat het zinken van de titanic de schuld is van de mensen die wél op de reddingsboot passen. Daarmee zeg ik overigens niet dat het allemaal prima is zo, maar wel dat we de oorzaak ergens anders moeten zoeken, en niet bij het symptoom.
Met de haves doel ik op de huisjesmelkers die de huurprijzen des te harder laten oplopen
Ik denk niet dat jij iets heel anders zou doen in hun situatie. Het is gewoon hoe het spel gespeeld wordt. Door mensen 'huisjesmelker' te noemen, los je niks op. Je leidt af van wat de kern van het probleem is.
Ik kies er bewust voor om geld dat ik over heb op andere manieren en voor de eigen vermogenspositie veel lager renderend in te zetten. Dus ik denk toch dat je dat misgeschoten hebt.
Als dit al een celstraf moet opleveren, welke straf ga je die hacker geven dan?
Onzin, mensen raken hun baan kwijt, een klein aantal zal iets anders kunnen vinden. De rest eindigt in de WW.

Betere oplossing is de verantwoordelijken binnen het management ontslaan.
Eigenlijk moeten de verantwoordelijken strafrechtelijk vervolgd kunnen worden.
Te vaak komt men weg met ontslag. En vaak nog met een afscheidsbonus ook.
"Klein aantal". Yeah, right. De werkeloosheid in Nederland voor Corona was zo'n 3% van de beroepsbevolking, en dat was inclusief bijstand. Concreet vond meer dan 95% van de mensen in de WW een baan voordat de WW ophield. (en in die overige 5% zit dus ook de AOW).
"Klein aantal". Yeah, right. De werkeloosheid in Nederland voor Corona was zo'n 3% van de beroepsbevolking, en dat was inclusief bijstand. Concreet vond meer dan 95% van de mensen in de WW een baan voordat de WW ophield. (en in die overige 5% zit dus ook de AOW).
Mensen met AOW vallen toch niet meer onder werkeloosheid? Ze zijn klaar met werken. Dat sommige kiezen om door te werken is een ander verhaal, of was het juist dat als je ingeschreven staat als werkzoekende?
Inderdaad, met een AOW ben je niet meer werkzoekend, en dat is dus een reden waarom je uit de WW stroomt. Dat is dus zeldzaam, maar nog steeds gangbaarder dan doorstromen van de WW naar de bijstand.
De rest eindigt in de WW.
Tijdelijk ja, het is niet alsof de meeste mensen permanent werkeloos zijn, zelfs nu niet.
Betere oplossing is de verantwoordelijken binnen het management ontslaan.
Eigenlijk moeten de verantwoordelijken strafrechtelijk vervolgd kunnen worden.
Tuurlijk, die mensen moeten ook strafrechtelijk verantwoordelijk gehouden kunnen worden mocht dat relevant zijn.
Maar dat gebeurt dus veel te weinig. Er is te vaak een schikking waardoor de daders er mee weg komen, en het bedrijf zelf betaalt de boete.
Ik zou vooral zeggen: diegene die beslist hebben om enkel die mensen te informeren waarvan ze met zekerheid konden vaststellen dat ze een uniek adres hadden voor het bedrijf moeten gestraft worden. De gevolgen daarvan voor de onderneming zijn daarbij spijtig genoeg voor hen die er werken ondergeschikt.

Als je als verdediging gaat gebruiken dat daardoor mensen werkloos kunnen worden, verklaar je bedrijven in essentie vogelvrij, mogen ze doen wat ze willen, want je kan het toch niet maken dat de werknemers er slachtoffer van worden.
Dat is niet wat vogelvrij betekent...
Bedankt, erger mij er vaak in hoe mensen dat verkeerd gebruiken.
En daar bovenop alle mensen die wisten dat er MD5 hashing gebruikt werd.
Dan een ander idee:
1. Iedereen die hiervan op de hoogte was vliegt al direct er uit.
2. Verplicht een grondige audit laten doen om na te gaan of er niet teveel mensen toegang hebben tot gegevens, alles van technische beveiliging wel ok was. Die audit mogen we zelf betalen. En er wordt geen enkele kabel meer verkocht to doe is afgerond. Als die audit te lang duurt en ze gaan daardoor failliet... Sjaaah jong, pech dan, eigen schuld dikke bult.
Het gaat niet om de mensen die op de hoogte zijn van gesjoemel, het gaat om de mensen die verantwoordelijk zijn voor het gesjoemel. Niet de werknemer die wordt gevraagd: zoek uit hoe we de schade kunnen verbergen, maar de manager die deze vraag stelt.

Het is daarnaast wel een goed idee om na te gaan denken over wat we een verantwoorde manier vinden om dergelijke grote datasets te beveiligen. Ik verwacht dat de groep die toegang heeft tot de database login gegevens van de website groot is. Daarmee is het moeilijk om de dader te achterhalen en ook moeilijk om de schade te beperken.

Er zijn mij geen mechanismes bekend die er voor zorgen dat de website wel bij de klantgegevens kan van 1 klant, maar niet bij de klantgegevens van alle klanten.

En als de website het kan, kan iedere programmeur het ook, en met 1 zwakke plek iedere hacker ook.

Dat deze hack heeft plaatsgevonden is heel vervelend, dat een bedrijf liegt over de impact is niet acceptabel.
Maar om nu iedereen zijn brood te ontnemen voor fouten van het management, lijkt mij erg overdreven.
Net als dat bedrijven aangeven dat ze geen liefdadigheidsinstelling zijn wanneer een gunst gevraagd wordt, geldt dat ook andersom.

Ik weet niet of ze failliet moeten gaan. Geld werkt vaak niet, tenzij het risico zo groot is dat het inderdaad het bedrijf de kop kan kosten. Een alternatief is bijvoorbeeld persoonlijke strafrechtelijke vervolging bij nalatigheid, vanaf het niveau van de beslissingsnemer tot en met het hoogste niveau (=eindverantwoordelijk). Dat motiveert om in een functie met verantwoording het juiste te doen om de juiste redenen.

[Reactie gewijzigd door The Zep Man op 15 april 2021 16:21]

Aan de andere kant, waarom zou je een bedrijf wat dit soort praktijken doet (en het is echt niet 1 persoon die dit heeft besloten en uitgevoerd) geld geven als concurrenten dat niet hebben gedaan? Je hebt alle recht om je geld uit te geven waar jij dat wilt met welke reden dat je dat wilt. Ik vind het verdoezelen van een datalek wel een goede reden om niet meer data (en dus verkopen) aan een bedrijf te geven.
Lullig voor die mensen maar ja, en de vraag naar kabels zal niet veranderen dus een ander bedrijf zal groeien en weer mensen nodig hebben. Is de cirkel toch weer rond!
Dus een bedrijf dat nalatig is met klanten gegevens en daarover liegt/dan wel info achterhoudt (beiden strafbaar), moet maar overeind blijven omdat er anders mensen thuis moeten zitten?
Same here.

Gewoon niks meer kopen daar.
Dit inderdaad ja, ik kocht er altijd mijn kabels, en had het zelfs nog gedaan na dit lek. Maar dat je express alleen klanten benaderd die het snel opvalt om je eigen imago te redden heeft mij doen besluiten hier nooit weer wat te halen.

Ik gebruik overal een gegenereerd wachtwoord, dus dat de zwakke hash van het wachtwoord is gelekt maakt me niet zoveel uit.

[Reactie gewijzigd door ZpAz op 15 april 2021 19:05]

Ik vindt het vooral schokkend dat ik hier in dit artikel en de reacties lees dat er al minstens 6 maanden vele signalen waren dat de data was gelekt, maar dat ik nooit - ook vandaag niet - een email van allekabels heb gehad. Zelfs nu is er geen enkel bericht op hun site en kan ik gewoon inloggen.

Zojuist mijn account opgezegd, en ik zal nooit meer iets bestellen op die site.
Dat je gehackt word: kan gebeuren. Maar het bewust negeren en niet communiceren is onvergefelijk

Update: dit kan niet via de website, er is geen email contact mogelijkheid en het inschieten van een ticket in de 'mijn account' sectie leidt consequent tot een '502' error. Dus ingeschoten via de 'bestelling' categorie: dat werkt wel.
Ik vermoed dat hun support afdeling een aantal erg drukke weken gaat krijgen :)

[Reactie gewijzigd door EthirNandor3 op 15 april 2021 20:25]

Ik heb hetzelfde gedaan. Het inschieten van een ticket was traag, maar lukte. Ik had verrassend genoeg al binnen 10 minuten een inhoudelijke reactie.

De klantenservice kan zelf ook geen accounts beëindigen, dus ze hebben het doorgezet naar hun “IT afdeling”...

[Reactie gewijzigd door Apipa op 15 april 2021 21:35]

De HTTP 502 foutmelding geeft in elk geval aan dat de servers in elk geval nu al te druk zijn.
Misschien proberen bedrijven het wel kleiner te maken omdat ze direct aan de schandpaal of failliet moeten volgens half Tweakers. Onder elk bericht over een datalek staan dit soort treurige reacties.

Een beetje inlevingsvermogen kan geen kwaad, bij Allekabels werken ook gewoon mensen die hun best doen om dit in goede banen te leiden neem ik aan.
Als je in 2021 nog wachtwoorden met MD5 hebt gehashed dan verdien je echt geen inlevingsvermogen meer. Als je dan ook nog zo laks met een lek omgaat, en tegen je klanten liegt, dan verdien je ook geen bedrijf meer te zijn.

Ik werk bij een veel kleiner bedrijf, maar we worden laten regelmatig een check-uitvoeren over (security) dingen die beter kunnen. Het gebruik van MD5 hashes zou hier binnen 5 min gevonden zijn.
Vannacht een mail gekregen van Allekabels.
Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig zijn uw gegevens NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Aangezien u klant bent geworden bij Allekabels.nl na het
datalek is het belangrijk om te weten dat het NIET om uw gegevens gaat.

Ondanks het feit dat de wachtwoorden van de klanten zijn versleuteld
werd hedenmorgen in de media melding gemaakt dat er wachtwoorden van
klanten zijn gekraakt. Uit intern onderzoek van Allekabels is komen
vast te staan dat het om een minderheid van de klanten gaat. Alleen de
wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd
hebben, kunnen worden gekraakt.


Om de belangen van de klanten maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van alle klanten die zich voor
1 januari 2018 geregistreerd
hebben te wissen en te vernietigen. Deze
klanten zijn inmiddels van deze maatregelen op de hoogte gesteld, maar
dat geldt dus niet voor u.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
Ik vond dit weer bijzonder aangezien ik een account heb uit 2017 volgens de eerste facturen. Het enige is dat ik mijn mailadres in december heb aangepast, maar dat zou dan toch geen reden moeten zijn als het account al jaren langer bestaat. De zin "Gelukkig zijn uw gegevens NIET gelekt!" klopt in mijn geval dus niet.

[Reactie gewijzigd door Aardwolf op 16 april 2021 06:45]

Ik heb deze mail ook gehad. Maar in februari heb ik de mail ook gehad, dat mijn gegevens WEL buitgemaakt waren.

Ook gek dat ze in deze laatste mail aangeven dat ze meteen melding hebben gemaakt bij de Autoriteit Persoonsgegevens. Dit artikel suggereert anders. Ik denk dat ik meer vertrouwen heb in dit artikel dan in de inhoud van de mail.
gehele management? Want kan de manager van pakweg facilitaire dienst hier nu aan doen? Of wat doe je als je een boete krijgt voor door het rood te rijden, alle inzittende op de bon slingeren? neen idd, enkel de chauffeur.
Als je een tankstation berooft, jat je geld van Shell. Steel je gegevens van een webshop, jat je (ook mijn) persoonsgegevens. Contactgegevens en (anders dan Allekabels nu beweert!) bankgegevens. Je vergelijking gaat alleen daarom al mank.

Het erge is niet het datalek. Ik ben ook ontwikkelaar van een online platform en de vraag is ook niet of, maar wanneer een hacker mij te slim af is. Daarom moet je ook maatregelen treffen om de impact te verkleinen: geen gegevens meer opslaan die je niet meer nodig hebt, wachtwoorden fatsoenlijk encrypten (dus geen md5!), klanten informeren als het misgaat, etc.
De vergelijking gaat mi niet mank, er worden eigendommen op wederrechtelijke wijze ontvreemd.

Die persoonsgegevens(geld) zijn in bezit van de webshop(shell), nu zonder toestemming in handen van hackers(overvaller).

Essentie is dat de hackers(overvallers) de persoonsgegevens(geld) met rust moeten laten.
Dat er persoonsgegevens(geld) ontvreemd wordt is de misdaad.

Dat een hacker(overvaller) binnen weet te dringen door de MD5(schuifdeur) maakt verder niet uit voor de misdaad, hij neemt persoonsgegevens(geld) zonder toestemming mee.
Dus nog steeds, moet Shell op de fles, omdat iemand zich iets toeeigend, wat hem niet toebehoord?

Vervolgvraag, hoe waren de persoonsgegevens(geld) beschermd?
Was dit naar de huidige maatstaven voldoende om de gevolgschade van de overval te voorkomen?
In dit geval met MD5 niet maak ik op uit je antwoord.

Leidt tot de vraag uit mijn eerdere reactie: kan ik hier juridisch iets mee richting alle kabels iets mee in de trant van: Jullie hebben je beveiliging niet voor elkaar, waardoor jullie mij willens en wetens, dermate in gevaar hebben gebracht, dat er juridische gevolgen uit voortvloeien en op een nader te bepalen wijze dienen te compenseren. Maw, heeft allekabels hier een tweede misdrijf gepleegd.

Of zoals hieronder wordt gezegd, op de vingers getikt en op naar de volgende?

Maw, wat doet de autoriteit persoonsgegevens hiermee.

[Reactie gewijzigd door rglasbergen op 15 april 2021 21:43]

Wat stel jij voor? Foei zeggen en weer verder? Ze hebben laten zien dat de privé gegevens van hun klanten hen niet interesseert, ze zijn te beroerd om fatsoenlijk te communiceren hierover... Nee, ik koop er niets meer en hoop dat ze flink aangepakt worden.
Totdat Firefox en/of Safari gehackt wordt...
Jij logt toch in? Dus je hebt een internet verbinding. Dus kan jouw PC geinfecteerd worden en kunnen de gegevens op jouw eigen schijf ook gestolen/gehacked worden. Het eerste het beste virus dat een keylogger op jouw PC weet te installeren kan al een probleem zijn. Dat die wachtwoorden versleuteld zijn zegt niet zo veel. Bij het gros van de hacks zijn de wachtwoorden versleuteld. Toch worden we daar nerveus van...

En los daarvan, de leverancier van jouw password vault kan ook gehacked worden. Of jouw password vault blijkt een achterdeurtje te hebben...

Kortom, een gegenereerd password en een goede password vault is absoluut beter dan username=admin en password=ZeerGeheim, maar waterdicht is het ook niet.
Tegenwoordig zie ik ook vrijwel altijd dat er ook om 06-nummer wordt gevraagd. Deze is niet optioneel, maar verplicht. Ik vul zelf altijd 0612345678 in (ik hoop ook niet dat deze daadwerkelijk bestaat). }> En waarom ook? Er wordt helemaal niks mee gedaan. Het lijkt op een soort data vergaren om er in de toekomst wellicht iets mee te kunnen doen. Ze sturen maar een email.
Dat nummer is officieel uitgegeven aan KPN mobiel. Of het nummer daadwerkelijk in gebruik is kan je zelf achterhalen.

060x en 069x zijn niet uitgegeven, 067 zijn diensten die op termijn allemaal verdwijnen. De kans is zeer laag dat een webshop deze reeksen als ongeldig herkent.

Als vast nummer is de 014 reeks een goede keuze, die bestaat niet als 10 cijferig nummer. Ben nog geen plek tegen gekomen die 014 weigerde.

bron: https://wetten.overheid.nl/BWBR0010198/2020-04-04#Bijlage1
Wel oppassen dat je niet per ongeluk een bug in de 112 routering triggert met die prefix. Lengte 'niet bepaald' wil niet zeggen dat de 10-cijferige code niet een betekenis heeft mbt tot de gerefereerde netwerkdiensten.

Prefixen als 0160 (niet beschikbaar voor toekenning of reservering) lijkt me dan een veiliger prefix om te misbruiken als 10cijferig neptelnr
Ik dacht dat de 112 prefix langer was, maar die is inderdaad ook 10 cijfers in nationale notatie. De kans is echter laag dat iemand precies 1 van de 27 nummers uit een blok met 10 miljoen nummers kiest, maar opzettelijk kan natuurlijk altijd nog.
Bedankt voor deze tip!
Hahaha die gebruik ik ook altijd. Voor alles (nooit problemen overigens) waar het verplicht is maar ik het niet nodig vind.
Ik heb ruim een half jaar geleden ook al mijn volkswagen dealer geinformeerd dat mijn (unieke) emailadres waarschijnlijk gelekt was uit hun systemen. Reactie was dat zij alles perfect op orde hadden. Ik kon alleen maar zelf het probleem zijn. Half jaar later bleek het toch wel degelijk bij hun leverancier te liggen.

Bij allekabels.nl hoorde ik bij de 1e 5000 geinformeerden. Kwalijke zaak dat ze het in de doofpot hebben willen stoppen.

Wordt tijd dat je niet meer je gegevens opgeeft bij bestellen, maar alleen een uniek gegenereerde code door de pakketbezorger. De pakketbezorger kan dan in het sorteerproces alsnog een adreslabel erop plakken. Leeftijd is ook niet nodig. De webshop hoeft hooguit de confirmatie van een betrouwbare bron te hebben dat je ouder bent dan de gestelde grens.
Bij een betaaltransactie is het ook onnodig om het reknr van de afzender te vermelden. Een transactienr is voldoende. De bank kent als enige het nr van de afzender. Of bij nog meer partijen in de keten hoeft een partij alleen maar een transactiecode met een volgende partij in de keten te kennen.
"Ik heb ruim een half jaar geleden ook al mijn volkswagen dealer geinformeerd dat mijn (unieke) emailadres waarschijnlijk gelekt was uit hun systemen. Reactie was dat zij alles perfect op orde hadden. Ik kon alleen maar zelf het probleem zijn. Half jaar later bleek het toch wel degelijk bij hun leverancier te liggen"

Dit probleem had ik ook. Ik had twee (2) unieke email adressen opgegeven bij twee garages.
Dit doe je door middel van +leverancier. Ik had dus +beynum (dealer) en +vag (volkswagen audi groep)
En vorig jaar kreeg ik tegelijkertijd spam op die adressen. Meteen dus geblacklist en de servicedesk gebeld van VW. Die weten dus veel van olielekken en zo maar niks van datalekken. Uiteindelijk kwam ik dus uit security officer. Reactie was dat bij hun geen lek bekend was. Ik hoop dat ze meer verstand hebben van auto's dan van computerbeveiliging.
Hoe lang zou dat naam+tag@gmail.com nog consistent werken? Dat is makkelijk te herkennen en corrigeren. Ik vermoed eigenlijk dat je zo alleen de “luie” spammers er tussenuit pikt.
Net getest bij mijn Hotmail adres, werkt ook gewoon... (nooit geweten, ben best flabbergasted want ik was altijd jaloers op mensen met een Gmail account die dat wel konden).
Ik ga vanavond mijn 100+ logins aanpassen :*)
Zijn punt is dat als een spammer een lijst met emailaddress krijgt, een van de eerste dingen die je doet de +whatever er uitslopen. Wat natuurlijk een kwestie van tijd is, en het zou mij verbazen als ze dat nog niet doen. Vrij makkelijke regex om te schrijven
Waarom zou die spammer zich daarmee bezig houden? Hem maakt het geen fluit uit of jij nu kan weten wie die mails gelekt heeft.

Je zou kunnen zeggen dat ze willen vermijden dat de mails te gemakkelijk gefilterd worden, maar mensen die die + adressen gebruiken zijn sowieso al geen goede doelwitten wegens te technisch onderlegt, dus again de moeite niet.

Spam en phishing is met random mails (<> gerichte aanval) gewoon een numbers game, geen nut van daar tijd in te steken.

[Reactie gewijzigd door mdgf op 15 april 2021 23:01]

Een spammer is zelden de hacker. Ik kan mij zo voorstellen dat de hacker wel actief wil verbergen waar die zijn data vandaan haalt. Dus, wellicht is het woord spammer hier verkeerd maar moet het de hacker zijn die er veel aan heeft.

Overigens, voor de spammer zit er ook iets in. Want iemand die actief +webshop gebruikt, weet ook dat je geen bank mail binnen krijgt op gekkehenkie+coolblue@hotmail.com
Dat niet alleen je kunt ook alles zonder + negeren of een hogere base entry score geven in je spam filter. Handmatige aliasen of tijdelijke forwarders werken beter. Voor 06 kun je burner nemen, en voor adres kun je PostNL afleverpunt gebruiken.
Check, je hebt gelijk hoor, het is ook niet 100% waterdicht. Maar het is beter dan niets.

Bij mij speelt mee dat ik jaren en jaren een heel ‘schoon’ Hotmail (en Outlook) adres heb weten te houden en ik vind Hotmail lekkerder werken dan Gmail.

Totdat ik opeens mega veel spam binnen kreeg. Heb nu de setting staan op ‘alles wat niet op een veilige lijst staat, is spam’. Maar dat is irritant veel werk om bij te houden. Met dit systeem kun je (althans een beetje), nagaan wie of wat jouw mailadres niet zorgvuldig heeft beheerd.
Werkt helaas op heel veel sites niet het aanmaken met een + account.

[Reactie gewijzigd door harrytasker op 15 april 2021 19:13]

Bij Gmail kan je ook ergens een punt voor de @ zetten..
Dat werkt helaas niet. Je kunt wel willekeurig puntjes toevoegen maar die worden genegeerd. Een punt aan het eind met een willekeurig aanvulling is gewoon een ander account.

iemand@gmail.com = ie.mand@gmail.com = iemand+anders@gmail.com

iemandanders@gmail.com = iemands.anders@gmail.com
Ja, ik bedoel aan te geven, dat wanneer het + niet werkt , je ook een uniek mailadres kan maken met Gmail door een punt te plaatsen in jouw adres.
Ja, of je geeft de betreffende website een veeg uit de pan omdat een plusteken een normaal geldig teken is in een e-mailadres. Verbazend hoeveel bedrijven daar niet goed mee kunnen omgaan. Of je kunt in eerste instantie wel een account aanmaken maar er later niet in. Of het is een site die je emailadres doorgeeft aan een ander systeem (gaslicht.com doet dat als je via hun een nieuw energiecontract afneemt. Ze geven dan je e-mailadres door aan de leverancier) wat er niet mee kan omgaan, waardoor je dus niet kan inloggen. Krijg je een mail van een stroomboer dat je nieuwe account klaarstaat met emailadres ikke+stroomboer@gmail.com. Maar mooi dat je niet kunt inloggen omdat de site van die stroomboer geen plusjes slikt. Als ik dat vantevoren had geweten dan had ik daar geen stroom afgenomen.

Echt he. Wanneer nemen softwareleveranciers een paar degelijke testers in dienst? |:(
Het aardige is dat mijn mailserver je de keuze geeft om de volgorde om te draaien. Dus naar keuze alles weg te kieperen VOOR de "+" of juist het gedeelte ER NA. Heb het zelf nog nooit gebruikt omdat ik een aantal eigen domeinen draai en simpelweg als mailadres voor webshops de desbetreffende shop voor de apenstaart zet. En dat werkt prima. Ik zat ook bij dat Allekabels lek en dat adres is inmiddels afgeschreven, net als dat bedrijf overigens, daar koop ik niet meer.
Reactie was dat bij hun geen lek bekend was.
Hoe vaak ik dat heb gehoord.. Ik maak het toch nu bekend bij jullie. Het interesseert ze niet. Ik ben ook gestopt met melden bij de partijen. Zelfs bedrijven met een technisch achtergrond reageren hetzelfde. Meestal zie ik uiteindelijk wel een bericht op Tweakers, maar wel 3 tot 6 maanden later als het uiteindelijk door een journalist ergens is opgepakt.

Volgend bericht welke je gaat zien is in ieder geval van Transip, als die er nog niet is geweest. Ik krijg scam spam op alle info@ domein adressen die ik bij Transip heb lopen. Transip had op hun website wel een waarschuwing dat er scam mails namens hun worden verstuurd, maar had het niet over een datalek. Ze weten ervan dus > doofpot.
Mail datum 11 april for future reference.

[Reactie gewijzigd door HakanX op 15 april 2021 19:05]

Hoe weet een bedrijf dat wat jij zegt waar is? Denk je dat elk bedrijf bij elke melding onmiddellijk in de houding springt? Enig idee hoeveel fake meldingen er binnenkomen?

Het probleem is dat we ons elke keer richten op de bedrijven die (ook) slachtoffer zijn, in plaats van op de daders.

Als we samen - Tweakers voorop - al onze energie zouden bundelen en die kl**tzakken die deze ellende veroorzaken keihard aan zouden pakken, dan levert dat meer op dan met het vingertje te wijzen naar (vaak kleine) bedrijven met beperkte kennis van zaken.
Het probleem is dat we ons elke keer richten op de bedrijven die (ook) slachtoffer zijn, in plaats van op de daders.
BS, zij willen geld aan mij verdienen en vinden het nodig om mijn gegevens bij te houden, dan dienen ze ook het veilig te houden. En als ze geen kennis hebben erover, kopen ze het maar in.

Of denk je dat je daar ook mee weg komt op andere vlakken?

"Sorry, ik heb geen verstand van boekhouden"

"Sorry, ik heb geen verstand van recht"
Hoeveel bedrijven/webwinkels zijn er in Nederland, met minder dan 5 medewerkers? Denk je dat die allemaal voldoende IT skills in huis hebben om hun beveiliging goed te regelen? Nee, natuurlijk niet. Kunnen ze dat inkopen? Nee, natuurlijk niet. Ze weten niet wat en waar en voor veel kleine bedrijven is het onbetaalbaar.

En die bedrijven 'vinden het nodig' om jouw gegevens bij te houden, want dat zijn ze wettelijk verplicht.
Dat is natuurlijk onzin. Waarom zou een webwinkel geen IT skills in huis moeten hebben? Verkopen via Internet is het belangrijkste onderdeel van hun business! Als je niet weet hoe je verkoopkanaal werkt moet het niet gebruiken.

En natuurlijk kunnen ze de kennis en uitvoering inkopen! Één Google search op 'beveiliging webshop' en je weet al heel snel waar die kennis wel kan inkopen. Kun je dat niet betalen? Dan klopt je businessplan niet!

Edit: typo

[Reactie gewijzigd door versc049 op 15 april 2021 22:48]

Ik zeg niet dat ze helemaal geen IT skills moeten hebben, ze moeten per slot van rekening hun webwinkeltje runnen. Ze weten prima hoe het verkoopkanaal werkt, maar dat is wel even wat anders dan voldoende capaciteit en kennis van IT security om de boel waterdicht te houden.

Beveiliging is altijd een kwestie van risico’s inschatten en afwegen tegen de kosten. Voor kleine bedrijven zijn die kosten al snel erg hoog ten opzichte van hun omzet. En kleine bedrijven komen niet ver met een ‘google search’. Zij kunnen totaal niet inschatten of ze daarmee een oplossing of juist een probleem binnen halen.
Ik denk dat het daarnaast nog een probleem is dat iemand 1 keer inhuren helemaal niet werkt, beveiliging vereist continu aanpassingen. In dit geval bij allekabels vermoed ik zo dat ze ooit zijn begonnen met md5 hashes en dat vervolgens nooit meer gewijzigd hebben.
Als ze mijn gegevens niet veilig kunnen onthouden terwijl ze dat wettelijk verplicht zijn, dan moeten ze geen webshop beginnen. Ik begin ook geen autogarage als ik geen verstand van auto's heb.
Ik vind het niet nodig gegevens van klanten bij te houden. De belastingdienst denkt daar echter anders over.

Vooral bij verkopen aan het buitenland willen ze allerlei bewijs vastgelegd zien. (Ivm bepalen welke BTW van toepassing is, etc.)
Als het standaard antwoord is dat er niks bekend is, dan doet dat bedrijf sowieso veel te weinig.
Een goed bedrijf kan vragen om de mail of details, om zo misschien een gemist lek te vinden.

Zeggen dat er geen lek is, is vertrouwen dat iedereen bekwaam is, dat is gelijk de grootste fout. Er zijn te veel "idioten".
Als ik het bedrijf zou aanvallen, zou ik in eerste instantie niet de moeite nemen om een melding te maken. Die melding maak ik vanuit mijn Tweakers gevoel zodat de admin mijn info kan gebruiken om een mogelijk hack/lek uit te zoeken. Ik weet zeker dat ik als admin daar wel van op de hoogte wil zijn als er een onbekende in mijn servers zit.

Ben trouwens wel benieuwd naar je plan hoe we de daders zouden moeten aanpakken? Ik ben iig van de zo goed mogelijk beveiligen én mocht er toch gehackt worden, dat er niet een berg aan data gevonden kan worden die totaal onnodig daar aanwezig zijn.
Dat lijkt me wel heel makkelijk. Iedereen, dus ook kleine bedrijven, heeft zijn / haar eigen verantwoordelijkheid. Jezelf achter verschuilen achter 'dit is niet mijn expertise' voldoet niet. Als je via Internet iets wil verkopen dan zul je ook de spelregels moeten kennen.

Iets samen oplossen (met Tweakers voorop???) betekent dat niemand aangesproken kan worden. Dus wanneer je mee wil spelen in de echte wereld dan zul je echte kennis moeten hebben.
Dat is ook wel heel makkelijk. Er zijn miljoenen websites die hun zaken niet 100% voor elkaar hebben. Wat wil je doen? Allemaal opdoeken? Of gaan we die hackers aanpakken?

Natuurlijk moet een bedrijf zijn uiterste best doen om alles goed te beveiligen, maar waterdicht zal het nooit worden.

Zolang er nog mensen zijn die bij wijze van geintje bedrijven hacken, we aan de lopende band phishing mails en ransomware voorbij zien komen en hackers nauwelijks aangepakt worden, is er ook aan die kant nog veel te winnen.

- veel hogere straffen, die recht doen aan de aangerichte schade
- meer investeren in IT kennis bij politie en opsporingsorganisaties
- betere voorlichting voor bedrijven
- gemeenschappelijk beveiliging regelen (MKB nederland, lezen jullie mee?)
Dat is ook wel heel makkelijk. Er zijn miljoenen websites die hun zaken niet 100% voor elkaar hebben. Wat wil je doen? Allemaal opdoeken? Of gaan we die hackers aanpakken?
Beide denk ik.
Wanneer een website haar zaken niet op orde heeft mag die van mij worden opgedoekt. Voor het gemak ga ik ervan uit dat dit door 'de markt' gebeurt. Als een website slecht is dan zal die, uiteindelijk, ook geen bestaansrecht meer hebben.

Voldoen ze niet aan wet- en regelgeving (Autoriteit persoonsgegevens, Warenwet, etc.) dan mag die door het bevoegdgezag worden beboet of off-line worden gehaald.

Tuurlijk, ook iemand die moedwillig zaken vernield (een hacker) moet worden aangepakt.
Maar als ik mijn gegevens aan een webshop (hoe klein ook) toevertrouw is de webshop, en alleen de webshop, verantwoordelijk voor de goede verwerking en beveiliging van die gegevens. Als die niet goed is moet de webshop daarvoor de consequenties dragen (de boete of de schade), je kan je dan niet verschuilen achter het feit dat je niet beschikt over de juiste kennis.

Nogmaals, wanneer je dat niet hebt (of zorgt dat je die inkoopt) dan moet je je niet in die business begeven.

[Reactie gewijzigd door versc049 op 15 april 2021 22:14]

Zeker mee eens. Als je core business verkopen via Internet is, dan moet je toch op zijn minst weten wat er verkeerd kan. Zelfs al zou je het zelf niet willen weten dan moet je zorgen dat je dit inkoopt.

Een broodbakker die niet weet hoe zijn oven werkt slaat natuurlijk ook nergens op.
Dat is precies het verschil. Voor de bakker is brood bakken zijn core business, en de winkel/kassa zijn verkoopkanaal. Als de software van die kassa een fout heeft kun je dat de bakker kwalijk nemen, maar die heeft daar maar een beetje verstand van. En de risico's zijn daar dan nog relatief goed in te schatten.

Voor de meeste kleine bedrijven is hun core business juist niet de website, maar het maken/inkopen/verkopen van hun product. De website inclusief beveiliging is slechts een verkoopkanaal (misschien zelfs het enige verkoopkanaal), met name een kostenpost dus.

Ik denk dat we allemaal wel weten dat 100% veilig niet bestaat, en 99.99% veilig misschien wel kan maar erg duur is. Dat doet dus niemand. Dus lopen jij en ik risico's. Daar mag je de bakker/kabelboer best op aanspreken, maar laten we de hacker ook proberen te vangen.
Wat mij betreft mogen hackers keihard aangepakt worden. Het kost de economie klauwen vol met geld en het blijft altijd een kat en muis spelletje want jouw en mijn gegevens zijn nou eenmaal veel geld waard. Persoonlijk vind ik dat we meer en beter moeten gaan kijken hoe webshops dit op een andere manier kunnen gaan inregelen.

In dit draadje werd al eerder gezegd dat je op basis van bankrekening eigenlijk al voldoende gegevens hebt, althans voor de consumentenmarkt. De bank heeft jouw NAW gegevens en dus zou het niet noodzakelijk moeten zijn om nogmaals die gegevens bij een webshop achter te moeten laten.

Bijkomend voordeel is dat je ook niet meer met nieuwsbrieven wordt dood gegooid. Het is een lastige kwestie en zolang daar niks aan gedaan wordt zal deze situatie zich blijven herhalen.

Immers, de gelegenheid maakt de dief.
Vertel eens meer? Staat er iets van herleidbare gegevens in zodat het meer is dan gewoon random info@x spammen? Ik heb er ook nogal wat domeinen lopen.
Van: TransIP Support <info@pubg-game.info>
Aan: "***.nl" <info@***.nl>
Onderwerp: Je betaalmethode is niet geldig.


Hallo,

Het spijt ons u te moeten meedelen dat de verlenging van uw domein is mislukt en dat deze op 12 april 2021 uit uw account wordt verwijderd.

Open de volgende link om het domein te verlengen:
h**ps://www.transip.nl/vernieuwen/domeinnaam?=****.nl (h**ps://myaccount-namecheap-com-login-auth***.dalisrenovation.fr/ip/?=AUTH_TOKEN=*specifieke code*)

Met vriendelijke groet,
TransIP
Geen NAW, dus denk geen hack, maar wel een datalek ala Facebook. Ze hebben vast een api misbruikt om een database op te bouwen. De laatste mail die ik op één van de domeinen had ontvangen is van 2012 tot aan deze gerichte scam toe, ik gebruik het puur technisch prive, staat verder ook nergens, ook niet in de whois. Op dit moment is het ook nog stil verder. Slechts één mail wachtend op geld. Database zal later pas verkocht worden en dan komt de massale spam.

Edit: ik zie trouwens nu dat de link verwijst naar een vermoedelijk gehackte IIS server, waar een nietsvermoedende website op runt.

[Reactie gewijzigd door HakanX op 15 april 2021 20:08]

Klinkt toch meer gewoon als spearphishing naar info@ adressen van TransIP geregistreerde domeinnamen.
Dat is geen datalek maar gewoon gangbare spammer way-of-working. Domeinen die bezet zijn is gewoon bekende publieke informatie en heel veel domeinen - zeker bedrijven, die het gros van de domeinen bezitten - hebben "info@domeinnaam" in gebruik.

Dus als jij spam krijgt op "info@domein", dan is dat geen datalek maar gewoon een logische gok van de spammers.

In de ruim 15 jaar dat ik een eigen domein gebruik voor e-mail heb ik dus spam op o.a. advertising@, office@, info@, mail@, support@, accounting@, billing@ en contact@domein ontvangen. Da's allemaal gewoon goed gokwerk van de spammers, die weten dat dit standaard adressen zijn.

De spam die ik ontvang op bijvoorbeeld dropbox@domein - dat is een duidelijk voorbeeld van een datalek - bij dropbox, niet bij TransIP.
Het is geen toeval als je tegelijk met zo'n 10 minuten verschil op verschilende TransIP domeinen die niks met elkaar te maken hebben dezelfde scambericht gericht aan TransIP klanten krijgt. Ook niet te vergeten dat er afgelopen 10 jaar niet 1 email binnen is gekomen ondanks catchall. Time will tell, ik zal jullie taggen :)
toch wel dus.. gewoon een spearphishing run targeted op TransIP domeinen.
En dat is dan gek. Ik heb zo'n 14 domeinen draaien daar en krijg op geen één adres wat daar in de database staat spam binnen. Wel op het adres van een aantal webshops (waaronder Allekabels). Een aantal scammails heb ik inderdaad wel gekregen van elders, maar grappig genoeg op "info@" die ik nergens gebruik omdat dat adres wel erg voor de hand ligt en ik ook als eerste zou proberen te targetten. Alle adressen die ik niet gebruik vang ik af op mijn eigen mailserver met een catchall adres en gaat eerst door de spam-zeef. Wat er overblijft is miniem.
Met hun nieuwe ID.x auto's met over-the-air updates hoop ik toch ook dat ze wat meer verstand van computerbeveiliging hebben.
Een beetj spammer haalt die + er wel uit, allesinds dat zou ik toch doen.
Waarom zou de spammer daar moeite voor doen? Ter bescherming van het bedrijf waar de data vandaan komt? De de spammer wordt daar niet beter van, met of zonder de + is zijn bericht bij jou aangekomen.
Die weten dus veel van olielekken en zo maar niks van datalekken.
:)
Ik denk dat ze net zoveel verstand hebben van distributiekettingen als van mailkettingen
Het is toch ook geen lek bij VAG? Hoe moeten zij nou weten dat een softwareleverancier een lek heeft. Zou jij dat weten als je systeembeheerder was bij VAG?
Dit. Ik begin het spuugzat te worden. Ik maakte een tijdje geleden een proefrit met een auto. Vroegen ze m'n e-mailadres en allerlei andere gegevens. METEEN de volgende dag had ik volkomen willekeurige 06-nummers die ineens via Whatsapp deden alsof ze m'n kind waren en of ik even hun rekeningen wilde betalen. Ik dacht nog, zal ik de garage op de hoogte stellen, wan tik krijg dat soort berichten anders nooit. Daar hoefde ik niet te lang over na te denken, want de volgende dag was in het nieuws dat die softwareleverancier van garages gelekt had.

Het wordt tijd voor iets anders. Bedrijven met wie ik tijdelijk contact heb, bijvoorbeeld omdat ik iets wil aanschaffen, hoeven niet mijn e-mailadres, telefoonnummer en geboortedatum. Ze hoeven alleen een verklaring dat ik 18+ ben. Mijn thuisadres hebben ze nu eenmaal nodig omdat ze de spullen toch ergens naartoe moeten sturen, maar mijn emailadres? Waar is dat voor nodig? Om updates over de bestelling te sturen, okee, maar in mijn ervaring gaan ze je na de bestelling ook weer lastig vallen. Of ik wil aangeven hoe tevreden ik ben. Als ik dat na 2 weken niet gedaan heb vragen ze het nog een keer. En als ik heb aangegeven dat ik GEEN nieuwsbrieven wil krijgen, dan krijg ik die na verloop van tijd toch.

Tijdelijke code van PostNL lijkt me een heel goed idee, al is het een kwestie van tijd voordat PostNL dan gegevens lekt. Tijdelijk e-mailadres voor tijdens de transactie lijkt me ook een goed idee. Nu nog een tijdelijk 06-nummer kunnen scoren. Bedrijven zijn nu eenmaal prutsers, dat blijkt keer op keer opnieuw...
PostNL kan de code na bezorgen weggooien. Webshops hebben de neiging onze gegevens just te bewaren.
Ja, "want makkelijk". Bij je herhaalbestelling kun je dan namelijk direct verder met afrekenen.
Safari en m'n wachtwoordmanager (Bitwarden) kunnen dat prima lokaal opslaan, en indien nodig, invullen.
Helemaal mee eens, ik bracht net nog een pakket weg voor DPD. Moet ik mijn telefoonnummer geven om mijn pakket te volgen. Absurd gewoon!

Je kan toch gewoon een bon geven met een track and trace. Waarom moet ik in godsnaam mijn nummer geven? Alles wordt verstopt onder het kopje 'handig' en 'makkelijk'. Terwijl er zo gigantisch veel betere alternatieven zijn.

Ook hier geven wij nooit meer echte namen telefoonnummers of andere informatie op als we iets bestellen. Enkel mijn adres is echt, anders komt het niet aan. En in een enkel geval doe ik slechts mijn initialen als ik een pakket op moet halen.

Het blijft me verbazen dat de overheid hier niks tegen doet.
. METEEN de volgende dag had ik volkomen willekeurige 06-nummers die ineens via Whatsapp deden alsof ze m'n kind waren en of ik even hun rekeningen wilde betalen. Ik dacht nog, zal ik de garage op de hoogte stellen, wan tik krijg dat soort berichten anders nooit. Daar hoefde ik niet te lang over na te denken, want de volgende dag was in het nieuws dat die softwareleverancier van garages gelekt had.
Met alle respect maar je koppelt nu twee zaken die waarschijnlijk niets met elkaar te maken hebben. Het duurt even voor dat een datalek publiek gemaakt wordt en in de tussentijd wordt dat al misbruikt. De kans dat je op dag 1 je telefoonnummer achter laat, dag 2 je een phisingapp krijgen en dag 3 een data lek bekend wordt met elkaar te maken heeft is niet zo heel groot.
Zou jij een auto meegeven aan een anoniem persoon van boven de 18?
Ik kan het mis hebben, maar je krijgt van de webshop een factuur. Die moet de webshop voor de belastingdienst 7 jaar bewaren. En op die factuur moet je adres staan. E-mail is niet van belang, maar naw gegevens wel.
Dat is naam + adres.
Die bestanden moeten gewoon elk jaar naar cold storage worden overgeplaatst.
99% van de webshops vereisen een tel. nummer, en zullen nooit bellen. Waarom dan niet optioneel?
Ja dat is waar, zelfde als dat ze IBAN gegevens hebben. Daar begrijp ik niets van, als de transactie eenmaal gekoppeld is, kun je IBAN toch gewoon verwijderen. Heb je niets meer aan, hooguit voor een terugstorting. Maar dan kun je ook wel vragen naar een IBAN.

En bij iDeal of dergelijke hoef je al helemaal geen IBAN te hebben.

Wat je niet hebt, kan ook niet gestolen worden.
Als de belastingdienst onderdeel van het probleem is, dan zijn ze dus ook de sleutel naar de oplossing. (Jammer, maar helaas). Als ze dan toch eens goed moeten nadenken over privacy, dan kunnen ze het gebruik van het BSN nummer meteen meenemen. Ok ze hebben eerst nog wat andere schandalen weg te werken.
En dan straks: bank gehackt, miljoenen accounts op straat.. kunnen ze alsnog een link leggen . Nee, hoe het nu gaat is prima. En ben je ook verplicht aan de belastingdienst om die gegevens te overhandigen bij onderzoek. En dat 7 jaar lang.

Laat ze eerder kopie paspoort/id kaart verbieden
"Kopie paspoort" is een persoonsgegeven dat bedrijven alleen mogen verwerken als er een noodzaak voor is. KLM wél, een willekeurige webshop niet. Dat hoeft dus niet verboden te worden, dat ís verboden.
Zeg dat maar bij een willekeurig hotel in europa. Niet afgeven is geen kamer, sta je dan op je eerste dag van je vakantie...
Exact, dit bedoel ik ook.
Ja maar we hebben 5 banken en 5 pakketbezorgers in NL tegen 100.000 webshops. Lijkt me dat die iets meer preventiemiddelen er tegen aan kunnen gooien dan al die webshops. Ik ben met je eens dat hacken niet onmogelijk zal worden.

Je zou ook kunnen bedenken dat bedrijven die meer dan een miljoen klanten hebben aan strengere eisen moeten voldoen dan een bedrijf met 100.000 klanten en die weer dan een bedrijf met 10.000 klanten.
Ik heb ditzelfde gehad met Hello Fresh. Ik gebruikte daar een uniek mailadres: hellofresh@<mijnnaam>.com. Dat werd nergens anders voor gebruikt.

Paar jaar geleden kreeg ik daar een tijdje erg veel spam op ineens. Hello Fresh op de hoogte gebracht, nee hoor, dat zou wel aan mij liggen, mijn mail client zou het zelf wel versturen ofzo 8)7 In ieder geval wilden ze niks doen.

Uiteindelijk is het na een paar maanden gestopt maar vreemd blijft het wel
Als dat ooit gehacked wordt dan hebben ze echt alles. Incl. burgerservicenr.
Je begrijpt mijn reactie, neem ik aan? Je logt toch in in je eigen omgeving met gebruik van een dubbele verificatie, dus geen gebruik meer van een ouderwets wachtwoord.

[Reactie gewijzigd door Multimediaknaller op 16 april 2021 07:10]

Inloggen bij postnl.echtewebsite.ru met je DigiD dat gaat echt helpen tegen phishing
1x wat besteld bij Allekabels. Waarom bewaart dit soort bedrijven al deze gegevens?!
Voor de gegevens die op de factuur staan, moeten ze de factuur bewaren van de belastingdienst voor 7 jaar.

Vervolgens maken veel mensen een account aan zodra ze wat bestellen en niet elke ecommerce oplossing heeft een mogelijkheid om te bestellen zonder account. Gebruikers maken dus zelf een account aan, vaak om in de toekomst makkelijker te kunnen bestellen of om vorige bestellingen in te zien.

De vraag is waarom een geboortedatum wordt gevraagd (tenzij ze zaken verkopen waar een minimum leeftijd aan vast zit). Het issue is niet zozeer dat die gegevens worden bewaard als dat wordt gedaan op verzoek van de klant (account) of dit verplicht is (zoals bij de belastingdienst). Het issue is dat deze data nu op straat ligt en dat wellicht komt door de boel niet goed genoeg te beveiligen.
De vraag is waarom een geboortedatum wordt gevraagd (tenzij ze zaken verkopen waar een minimum leeftijd aan vast zit).
Om vast te stellen dat je handelingsbekwaam bent.
Is de klant dat niet, dan is er geen bindende overeenkomst. Zeker als je diensten als afterpay gaat aanbieden, is dat dus noodzakelijk, anders kan klant X voor honderden euro's materiaal bestellen en vervolgens de factuur niet betalen, want handelingsonbekwaam. Daar ga je als ondernemer nat, dan zegt de rechter dat je bewust dat risico gelopen hebt door niet naar de leeftijd te vragen bij afterpay en kun je fluiten naar je omzet.
Blijkt de klant gelogen te hebben over zijn/haar leeftijd, dan is de overeenkomst nietig en kunnen de gevolgen daarvan ook afgedwongen worden.
Dat ligt wel iets genuanceerder. Ten eerste ben je alleen in beginsel bekwaam als je meerderjarig en niet per definitie onbekwaam als je minderjarig bent, denk aan medisch beslisrecht, bent maar je kan nog steeds de overeenkomst niet begrijpen of ten volle overzien. Kan aan jezelf kunnen maar zeker ook aan de overeenkomst.

Bovendien mag je gerust iets kopen als je minderjarig bent. Ook on line. Je hoeft namelijk helemaal niet handelsbekwaam te zijn om iets te kopen. Je bent als verkoper wellicht tekort geschoten in je, zeer beperkte, zorgplicht waarop je achteraf kan worden aangesproken maar het mag wel. Proportionaliteit is de referentie, je zorgplicht als verkoper van een dropsleutel is anders dan bij een huis.

Bij AfterPay gaat het over een financieel product, daar is de wet dan weer heel helder over. Daar moeten ze een geboortedatum, en achter de voordeur nog wat zaken BKR bijvoorbeeld, voor controleren.

[Reactie gewijzigd door gaskabouter op 15 april 2021 17:34]

Kan ook met een vinkje ‘ik ben ouder dan 18’. Scheelt weer een gegeven dat kan uitlekken...

Ik maak nooit een account aan bij dit soort clubs. Dan vul ik mijn gegevens maar elke keer opnieuw in. Het maakt het risico kleiner ( maar zeker niet 0). En ik gebruik een wegwerp adres wat ik om de zoveel maanden wissel. Vervelend dat het moet, maar ok.

Ik denk ook dat er wat schort aan het toezicht. Ze vragen gewoon meer gegevens dan nodig. Dat is eenvoudig vast te stellen en meteen te beboeten. Geen waarschuwing geven, gewoon meteen doen. Dat is even schrikken misschien maar daarna beginnen ze wel te luisteren.
Bij de meeste webshops vul ik een catchall emailadres in en ik laat Chrome even een tijdelijk wachtwoord genereren. De volgende keer reset ik het wel.
Dat doe ik nu al zo lang dat het mijn standaard procedure is geworden. Als ik denk dat bepaalde gegevens niet nodig zijn, maar wel worden uitgedraaid, vul ik die nep in of gebruik voor de naam zelfs een pseudoniem.

[Reactie gewijzigd door omixium654 op 16 april 2021 07:20]

En vervolgens heb je je geboorte datum in je publieke profiel op Tweakers.net staan...
Goed punt. Maar wat is mijn echte naam? En klopt die geboortedatum eigenlijk? Riddles in the dark...

[Reactie gewijzigd door Delgul op 18 april 2021 03:16]

Als ik op mijn account bij Allekabels kijk dan zie ik op dit moment geen veld voor de geboortedatum. Ik zie alleen mijn NAW en e-mailadres, geen telefoonnummer. Als het dit is i.c.m. mijn uniek wachtwoord, is het voor mij te overzien. Maar wie weet is er meer info in het spel al dan niet voor andere casussen.
Klopt, maar in de regel heb je die gegevens in je boekhoud systeem staan. Nadat de factuur naar je boekhoud systeem is geëxporteerd is er geen reden meer om de klant gegevens in je CMS systeem te bewaren te bewaren.

Geboortedatum als leeftijdcheck hoeft niet bewaard te worden. Na invoer kun je controleren of de leeftijd hoog genoeg is.

Garantie bepalingen zijn ook in de GDPR bepaald. Als de webshop jouw gegevens niet meer heeft omdat ze bijvoorbeeld 90 dagen na levering je gegevens verwijderen, dan moet je als klant middels de factuur aantonen dat je recht hebt op garantie.
Bij consumentenverkoop wordt zeker niet elke factuur naar een 'boekhoudsysteem' gekopieerd. Dat gaat per periode-totalen of met kassysteem zelfs (pas omzet als het op de bank staat).
Denk aan garantie gegevens.
Garantiegegevens?
Ik lees het vaker bij webshops, als je je account wil laten verwijderen.
"Natuurlijk kun je je gegevens bij ons verwijderen, als je dit graag wilt. Dit heeft als gevolg dat je geen klant meer bent van Belsimpel, en dat je garantie komt te vervallen en je eventuele verzekering wordt beëindigd. Dit komt omdat we dan al je gegevens wissen en niet meer weten of je een bepaald product bij ons hebt besteld. ".

Hoe is het mogelijk dat je garantie komt te vervallen als je je gegevens laat verwijderen? Je hebt toch nog steeds de aankoop bon.
Als je in een winkel iets koopt, laat je ook geen gegevens achter en toch heb je wel garantie.

Aanvulling:
De bovenstaande quote tekst komt bij Belsimpel vandaan.

[Reactie gewijzigd door adje123 op 15 april 2021 16:10]

Garantiegegevens?
Ik lees het vaker bij webshops, als je je account wil laten verwijderen.
"Natuurlijk kun je je gegevens bij ons verwijderen, als je dit graag wilt. Dit heeft als gevolg dat je geen klant meer bent van Belsimpel, en dat je garantie komt te vervallen en je eventuele verzekering wordt beëindigd. Dit komt omdat we dan al je gegevens wissen en niet meer weten of je een bepaald product bij ons hebt besteld. ".
Heel leuk, maar wettelijk komen ze hier niet mee weg. Tevens mogen ze van de Belastingdienst geen factuurgegevens van de laatste zoveel jaar verwijderen. Er is dus een wettelijke basis om gegevens te bewaren die niet verwijderd hoeven en kunnen worden. Met een factuur kan men daarom altijd terugvallen op garantie.

[Reactie gewijzigd door The Zep Man op 15 april 2021 16:11]

Facturen kun je ergens offline bewaren, of in ieder geval in een ander systeem dan je webshop zodat het niet onmiddellijk gekoppeld zit aan een online systeem. Exporteer het na een paar weken naar je boekhoud systeem wat niet gemakkelijk online benaderbaar is.. Zet het om naar een jpg en sla het zo op. Is namelijk lastiger te jatten. En op een factuur hoeft niet perse je mail adres te staan. Met wat nadenk werk kun je best voldoen aan die belastingregels met een stuk minder risico hoor...
Hoe is het mogelijk dat je garantie komt te vervallen als je je gegevens laat verwijderen? Je hebt toch nog steeds de aankoop bon.
Als je in een winkel iets koopt, laat je ook geen gegevens achter en toch heb je wel garantie.
Je garantie blijft ook gewoon bestaan. Maar bedrijven willen niet meer moeite doen dan strict noodzakelijk, dus dan krijg je dat soort onzinnige dreigementen.

Als je een aparte dienst, zoals een verzekering, hebt die naast de wettelijke garantie bestaat, dan kunnen daar extra voorwaarden aan gesteld worden. Maar de wettelijke garantie daar moet het bedrijf zich gewoon aan houden zolang jij kunt aantonen dat je het product bij het bedrijf hebt gekocht (b.v. met een aankoopbon).
Het enige wat jij hoeft aan te tonen voor garantie is dat jij het product bij hun gekocht hebt en op welke datum.

Hoe je dat doet maakt helemaal niets uit, of je nu een bankafschrift, een pakbon, een aankoopbewijs of bij wijze van spreken videobeelden hebt van de aankoop, als je het maar kunt bewijzen.
Met een aankoop nota heb je voldoende bewijs.
Die kan je zelf toch ook snel namaken? Op t kassa bonnetje van de MediaMarkt bijvoorbeeld staat op de achterkant nog t logo enzo. (Of is dat niet meer zo? Alweer zoooooo lang geleden) Dat is al wat moeilijker na te maken dan een A4tje wat uit de laserprinter komt met daarop alle details. Of krijg jij een bonnetje bij al je online aankopen :)
Bedrijven hebben de plicht een factuur minimaal 7 jaar te bewaren. Dit kan dus ook los van de webshop.
Die kan je namaken ja. Maar als jij mer een nagemaakte factuur aankomt bij de winkel, dan zullen die normaal gesproken even eea gaan opzoeken in hun systeem.

En als dan blijkt dat jouw nagemaakte factuur volgens hun systeem een paar maanden datumverschil heeft. Of een ander factuurnummer heeft gekregen. Of het serienummer komt niet overeen...

Vul je hem zelf verder in?
Allekabels kwam vandaag ook met dat argument. Heb geantwoord dat in het geval van garantie ik liever mijn verlies neem.
Iban nummer zou niet nodig moeten zijn voor garantie gegevens.
Iban nummer zou niet nodig moeten zijn voor garantie gegevens.
Is om eerste eigenaar aan te tonen. Stel dat jij een 2e hands toestel van mij koopt kan jij geen aanspraak meer maken op de garantie.
Ehm, hoezo? De verkoper biedt x jaar garantie op het product, maakt het dan uit wie dat product in gebruik heeft? Ik heb al garantie kunnen claimen op goederen die voortijdig defect waren met de originele aankoopbon. Dat die bon niet op mijn naam staat moet niet uitmaken, als ik het product in een winkel koop staat mijn naam daar ook niet op en verleent de winkel weldegelijk de garantie. Tevens worden zelfs op V&A hier regelmatig producten verkocht met bon voor de garantie.
Waarom zou de garantie moeten eindigen bij de eerste eigenaar? Garantie is bedoelt om een product te dekken op fabrieksfouten en wettelijke eisen rondom hoe lang een product moet functioneren. Is het echt zo dat ze die eigenhandig kunnen beëindigen?
Als er nog garantie op dat toestel zit, dan kan de volgende eigenaar echt daar nog wel gebruik van maken.
Als het verkopend bedrijf het goed doet weten ze zelfs na het verwijderen van eventuele persoonlijke gegevens, precies wanneer welk toestel is verkocht. Dat is gewoon te registreren op imei nummer. Het enige wat zij dus nodig hebben voor garantie zou zijn imei + verkoopdatum. Bij de meeste telefoons die ik de afgelopen jaren heb gekocht (en meer electronica) staat altijd het serienummer of imei nummer op de bon.
Je gaat toch niet omdat je ook telefoontoestellen verkoopt maar voor elke bestelling het IBAN vastleggen? Er zijn bovendien andere manieren om de eerste eigenaar vast te stellen als je overeenkomt dat (bepaalde) garantievoorwaarden niet overdraagbaar zijn.
Garantie zit op het product en is niet gekoppeld aan de persoon.
Dat geldt alleen voor de wettelijke garantie, niet altijd voor de verkoopgarantie of de fabrieksgarantie.
Zowel winkelgarantie als fabrieksgarantie hebben een wettelijk termijn, 6 maanden en 2 jaar respectievelijk.
Dat klopt niet. In Nederland is er geen wettelijke garantietermijn. Zie hier: https://www.rijksoverheid...ies-heb-ik-op-een-product

Winkelgarantie en fabriekgarantie zijn aanvullend op de wettelijke garantie. Welke rechten je hebt en of die overdraagbaar zijn aan een tweede eigenaar en hoe lang ze gelden wordt bepaald door de garantievoorwaarden. Zie hier: https://www.consuwijzer.n...kocht-maar-kapot/garantie

Die 2 jaar is een EU regel:
Duur van wettelijke garantie
De duur van de wettelijke garantie mag de verkoper of fabrikant niet zelf kiezen. Want dat volgt uit de wet. Veel consumenten denken dat zij volgens de wet standaard recht hebben op 2 jaar garantie. Dit komt uit Europese regels. Maar in Nederland staat geen vaste wettelijke garantietermijn in de wet.
Hoelang hebt u dan wettelijke garantie? Zo lang als u mag verwachten dat uw product meegaat. In onze wet staat namelijk dat een product moet bieden wat u ervan mag verwachten. Dat is per product anders. En dat kan korter of langer zijn dan 2 jaar. Het hangt af van alle eigenschappen van uw eigen product. Gaat uw product eerder kapot dan u mocht verwachten? En hebt u het normaal gebruikt? Dan hebt u volgens de wet recht op reparatie of vervanging.
De 6 maanden is ook geen garantietermijn, de wet zegt alleen iets over bewijslast:
Gaat het product binnen 6 maanden na de aankoop kapot?
Dan gaat de wet ervan uit dat het product al niet goed was toen u het kocht. De verkoper moet het probleem dan voor u oplossen. Zegt de verkoper dat u het product zelf hebt stuk gemaakt? Dan moet hij dat bewijzen. Hij moet aantonen dat het product wel goed was toen u het kocht. En dat u het bijvoorbeeld verkeerd hebt gebruikt.
Ik weet niet hoe bekend je met EU-wetgeving bent, maar dat is ook automatisch Nederlandse wetgeving. EU-wetgeving staat namelijk boven nationale wetgeving. Wij hebben die wetgeving niet omdat de EU dit al regelt. Dus hoe je het wendt of keert, de wettelijke termijnen bestaan gewoon.
Goed lezen: https://www.rijksoverheid...rt%20garantie%20aanbieden.

Er is géén Nederlandse wettelijke garantietermijn. De 2 jaar is een EU richtlijn, geen wet. Dat we die respecteren is fijn, maar het staat niet in de NL wet. Volgens de NL wet kan de garantie zowel langer als korter zijn. Lees de artikelen die hiervoor genoemd werden, die zijn van de NL rijksoverheid.
Richtlijnen zijn ook bindend, net als wetten.
Een EU richtlijn bepaalt het einddoel en laat het aan de lidstaat over hoe deze dat in zijn nationale wetgeving opneemt. Het minimum wordt door de richtlijn bepaalt, maar mag altijd meer zijn als men dat wenselijk acht. Een verordening (zoals de AVG) bepaalt zowel einddoel als formulering.

De nederlandse wet heeft niet de formulering van de richtlijn 1999/44/EG gebruikt, maar dat betekent niet dat deze niet minder van kracht is. De formulering is echter ongelukkig. In de richtlijn wordt onder artikel 6 Garanties, niet gesproken over een termijn. In artikel 5 wordt gesteld dat de verkoper voor minimaal 2 jaar aansprakelijk is en wordt verwezen naar artikel 3 lid 2 om te verduidelijken waar die aansprakelijkheid over gaat.

Je kunt beargumenteren dat daarmee feitelijk gezegd wordt dat de garantie minimaal 2 jaar is, maar je zult daar waarschijnlijk wel zelf van alles voor uit de kast moeten halen om je gelijk te krijgen als je verkoper er onvoldoende van weet of onderuit probeert te komen.

En triest genoeg snapt onze eigen overheid het ook niet zo goed, getuige de informatie die ze zelf publiceren.

Dat we in Nederland voor veel producten zelfs langer (deel) garantie hebben op producten is nog veel beter, maar ook daar geldt dat je vaak wel je best moet doen om je recht ook te krijgen.
Niet voor niets dat verkopers je graag 'extra' garantie bijverkopen, want dan levert het nog iets op, maar hoe vaak heeft o.a. de consumentenbond al niet aangegeven dat dit voor veel producten zoals een wasmachine absolute onzin is. Daar mag je gewoon een langere levensduur van verwachten dan 2 jaar.

[Reactie gewijzigd door Neoldian op 16 april 2021 09:18]

Ook consuwijzer schrijft het verkeerd: je hebt in NL niet wettelijke garantie zolang als je mag verwachten dat het product meegaat. Er bestaat nl. helemaal geen 'wettelijke garantie.' Wat er wel bestaat is een aansprakelijkheid van de verkoper voor non-conformiteit van een aangeschaft goed. Vanuit de EU geldt dat die aansprakelijkheidstermijn minimaal 2 jaar moet zijn, waarbij binnen de eerste 6 maanden omgekeerde bewijslast geldt.

In NL stellen we geen grens aan de aansprakelijkheidstermijn: die blijft permanent bestaan. Dan resteert de vraag: "wanneer is een product non-conform?" En het antwoord daarop bestaat o.a. uit: "als het eerder kapot gaat of kuren krijgt dan je vanuit een normaal patroon van gebruiksslijtage zou mogen verwachten." Ofwel: als je problemen krijgt binnen de verwachtte levensduur.

Dat is waar onze grensstelling vandaan komt.
Dit is dan ook meteen waarom winkels die schermen met wettelijke afschrijvingstermijnen om klachten te verwerpen, stuk voor stuk gebakken lucht verkopen want er is geen harde lijn. Dit moet altijd van geval tot geval bekeken worden.
Een wasmachine die na 5 jaar gaat lekken omdat het rubberen manchet versleten is, is waarschijnlijk gewoon conform. Dat rubber slijt. Een wasmachine die na 5 jaar gaat lekken omdat het slot van de deur tijdens het draaien de deur niet goed meer aanspant? Daar is de machine waarschijnlijk niet conform.
Daar heb je toch een aankoopbon voor?
Nee, want die kunnen vervalst worden. Bedrijven moeten zelf ook documentatie hebben van een aankoop om te kunnen verifiëren dat het allemaal klopt.
En daarom heb je orders die ook een factuurnummer hebben die overeenkomt met het factuurnummer die je als klant hebt gekregen. Die orders kunnen gewoon geanonimiseerd worden, dan kan de order verder intact blijven, en blijft een factuur daar gewoon tegenaan te matchen.
En dat zal de belastingdiens denk ik zo niet accepteren. Dan heb je namelijk allemaal anonieme verkopen.
De fakturen allemaal uitprinten voor de boekhouding en dan uit de db van de webshop zou nog kunnen theoretisch.....maar das dan weer lastig met mailingen enzovoorts....

maar goed ik ben daar al even uit maar volgens mij gaat dan niet goedkomen dan.
Als je een brood koopt bij de bakker is dat ook anoniem, vind de belastingdienst echt geen probleem hoor
Lastig voor welke mailingen? Het gaat in dit draadje om een verzoek verwijdering klantgegevens, daarvoor kan dus prima alleen de gegevens op de facturen bewaard worden voor de belastingdienst (offline storage of op papier) en niets meer binnen de webshop. Als je daarna namelijk nog een mailing stuurt naar het adres ben je in overtreding, want er was verzocht om verwijdering van de gegevens. Daarmee stopt effectief de 'klantrelatie' die je recht gaf op het sturen van de mailing en bleef enkel de juridische bewaarplicht van klantgegevens op de factuur over als legitimering van beschikbaar hebben van de klantgegevens.
Een aankoopbon is wettelijk voldoende als garantiebewijs, niet het enige, maar wel genoeg. Een bedrijf hoeft niets voor jou bij te houden anders dan wellicht een kopie van de aankoopbon. Je hebt zelfs geen bon nodig, als een verkoper jou herkent is het al genoeg.
Daar zou je toch niet al deze NAW info voor nodig hebben. Je stuurt een factuur mee (met uniek factuur nummer). Wanneer je enkel in je eigen DB factuurnummer opslaat + Datum betaling + datum uitlevering of iets in ie orde, dan ben je er.
Ik denk dat bedrijven vaak nog in de veronderstelling zijn dat het hebben van veel gegevens van klanten hun een voordeel biedt, qua marketing, big data, etc. Maar het wordt tijd dat bedrijven gaan begrijpen dat het hebben van data een risico is en dat het het beste is dat ze zo weinig mogelijk data hebben. Dat hele GDPR is nog steeds niet goed door gedrongen in de hoofden van mensen.
Als er een overkoepelende mindset is binnen e-commerce is, dan is het wel dat data alles waard is. Privacy is alleen 'omdat het moet', wordt puur gezien als lastig, extra werk en kosten. Bewaar zoveel als je kan want stel je voor je zou toch eens iets waardevols kunnen doen met die data.

Security en Privacy heeft bij de meeste bedrijven echt de allerlaagste prioriteit, en alleen Financieele prikkels zullen dit veranderen.

Wellicht is het tijd dat voor een data lek we gewoon echt de CEO persoonlijk aansprakelijk kunnen gaan stellen, en dat met dit soort schandelijke lekken de beste meneer maar eens de binnenkant van een cel mag zien.
Sorry, maar de "CEO" is zelden een technicus, die vertrouwd er gewoon op dat het antwoord (van zijn beheer personeel of ict leverancier) op zijn vraag: "is onze boel veilig" ja is. En dan kan zijn beheerder nog gelijk hebben ook. Wellicht vind de hack namelijk plaats via een zero-day van het een of ander.

Als je werkelijk de baas verantwoordelijk wil maken, dan moet je de baas onafhankelijke tooling gaan geven om zijn eigen bedrijf en personeel te verifiëren. Dat betekend in mijn opinie dat de autoriteit persoonsgegevens personeel moet krijgen zodat ze bedrijven kunnen certificeren.

Tot die tijd is een CEO aansprakelijk maken helaas niet redelijk. (Zolang ze de zaak niet moedwillig onveilig maken en dat is zelden zo)
Dat is deels waar, maar hoe vaak wordt juist door de c-level managers adviezen van hun eigen personeel of leveranciers niet gevolgd omdat het een flinke investering is in tijd of geld. Vaak genoeg blijven ze door zagen waar kunnen we projecten kleiner maken, welke shortcuts kunnen nemen, wat gebeurt er als we niet voor de beste optie kiezen etc etc.

Verschuilen achter het feit dat ze geen kennis van zaken hebben is te makkelijk, er wordt namelijk wel degelijk gestuurd van uit die posities. Dus je mag verwachten van een CEO dat deze redelijkerwijs weten wat onder fatsoenlijk omgaan met klant data verstaan wordt.

Want het kan niet dat er maar niemand hoofdelijk verantwoordelijk is voor dit soort massale lekken aan data.
Snap ik, maar tegelijk krijg je dan van de ceo het excuus dat er niet goed is uitgelegd hoe slecht hun beslissingen waren enz enz.. Daarom zie ik als enige oplossing een onafhankelijke test/certificering door de verantwoordelijk autoriteit. Dat geeft een baseline voor waar de verantwoording ligt. Nu is er weinig om aan te toetsen en iedereen heeft een andere maatstaf. hindsight is ook 20/20.
Ik kan je uit ervaring vertellen dat de vraag 'is onze boel veilig?' niet of nauwelijk gestelt wordt. Ook als het antwoord nee is, en de technicus herhaaldelijk aan de bel trekt, krijgt het lage prioriteit, omdat geld verdienen belangrijker is en 'alles gaat toch goed?'. Security kost alleen maar geld. Pas als het fout gaat, is het belangrijk.

En zelfs dan; worden bedrijven echt gestraft voor dit soort datalekken? Stoppen mensen met spullen bestellen of krijgen ze boetes? Ik hoop altijd van wel, maar eigenlijk weet ik donders goed dat dat naief is; niemand interesseert het zich dat zijn data gelekt is ... En waarom zouden ze? Het effect ervan is niet of nauwelijks meetbaar, met uitzondering van een handvol fraude slachtoffers. Het is een kwestie van tijd tot iemand een manier vind om op grote schaal echt serieus misbruik weet te maken van al die persoonsgegevens die op straat liggen. Dus niet een handvol gerichte fraudes, maar grote getalen mensen echt raken in hun dagelijks leven en/of financien. Hopelijk wordt men dan wakker ...
De CEO kan dan wel niet de technische kennis hebben wat betreft de veiligheid. Hij(/zij lees wat je wil) kan wel invloed hebben op de impact. Als hij bepaald dat de gegevens maar kort bewaard blijven dan heeft dit al een behoorlijke invloed op de grote van het lek.
Is dit de reden dat je tegenwoordig bijna overal een account aan moet maken tijdens het bestellen? Dan hebben ze namelijk een excuus om je gegevens te bewaren?

Moet je je even voorstellen dat je bij iedere winkel die je binnen loopt (Jumbo, H&M etc) je gegevens moet geven en een account moet maken. Ik begrijp dat je een adres nodig hebt om te versturen, maar verder niet.

Ik erger me echt kapot bij webwinkels die je gewoon niet als gast af laten rekenen. Ik wil vaak eenmalig iets kopen. Het aller ergste vind ik nog dat er webshops zijn die een account voor jou aanmaken en dat je ineens een mail krijgt met "hier zijn je inloggegevens". BELACHELIJK dat dit kan in een. privacy gevoelig tijdperk.

Wordt het niet eens tijd dat we een " schandpaal" topic maken, waarin we dit soort bedrijven vermelden? Ik heb namelijk het idee dat dit nog wel jaren kan gaan duren voordat de AP de ernst van dit soort praktijken in gaat zien.

[Reactie gewijzigd door Wachten... op 16 april 2021 08:25]

Ik snap je reactie maar technisch gezien maakt het niet zoveel uit toch of je NAW in de 'accounts' table staat of in de 'orders table'?
Het is hooguit een feature om de indruk te wekken dat je gegevens 'niet zijn opgeslagen' als je besteld zonder account.
Daarnaast is een webshop verplicht om je gegevens te bewaren na een transactie.
Gegevens die voortvloeien uit een fiscale bewaarplicht, zoals loonbelastingverklaringen en de debiteuren- en crediteurenadministratie, dienen bijvoorbeeld zeven jaar te worden bewaard. Iedere ondernemer is namelijk wettelijk verplicht zijn administratie voor deze termijn te bewaren. Om de consument wettelijke garantie te kunnen bieden op hetgeen je als webshop verkoopt, moeten ook gegevens worden bewaard. Denk hierbij bijvoorbeeld aan de naw-gegevens van een klant, die je koppelt aan een aankoopdatum.
https://www.thuiswinkel.o...iervoor%20te%20ontvangen.
Dat zou heel mooi zijn, maar zolang de handhaving van de GDPR niet fors wordt uitgebreid zal het helaas niet zo heel snel gaan toch. Er is ook geen keurmerk voor privacy vriendelijke webshops of iets. Komt er jaren later uiteindelijk een definitieve boete vaststelling, dan kunnen ze zeggen, maar we hebben er enorm van geleerd en alles nu op orde.

Bedrijven zullen zich voorlopig ook nog snel en makkelijk in een slachtoffer rol kunnen stellen, want zij zijn aangevallen. Als jij thuis een inbreker krijgt ook overmacht, de gemiddelde consument heeft die gegevens toch ook zelf daar ingevuld, de publieke opinie zal niet vreselijk negatief zijn. Ga jij zelf nu nooit meer bij allekabels.nl bestellen?

De Autoriteit Persoonsgegevens krijgt er voor meer handhaving voorlopig nog nul capaciteit bij, want niemand weet of het 40% meer of 70% meer, of misschien wel het dubbele moet zijn. Dus dan maar helemaal niets erbij...
nieuws: Minister wil capaciteit Autoriteit Persoonsgegevens nog niet uitbreiden
Precies dit.
Enkele webshops kunnen al vrij simpel met beperkte gegevens (en geen account) bestellingen afhandelen. Doorgaans vul ik al vaak een fout telefoonnummer in. Maar voor webwinkels is een e-mail en woonadres vaak wel essentieel. Maar na een bestelling kunnen deze gegevens wel getrashed worden, lijkt me?
Daarom zou het nederlandse cryptobedrijf LTO nog wel eens groot kunnen gaan worden.
Zij bieden GDPR compliant DID's aan bedrijven op een eigen ontwikkelde blockchain.
Ik.vind het veel.opvallender dat er geen wetgeving en handhaving is die ons hier tegen beschermd. Geef alle kabels een boete van 10% van de omzet die is gedraaid in de periode dat die data onterecht is opgeslagen en dit.soort data lekken gaat een stuk minder voorkomen
De belastingdienst eist ook dat je enkele jaren aan NAW-gegevens van klanten bewaart om belastingfraude tegen te kunnen gaan.
Nee, natuurlijk eist de belastingdienst dat niet. Heb jij de laatste keer bij de Albert Heijn ook je NAW gegevens achter gelaten? De AH kan prima BTW afdragen en een goede administratie voeren zonder die gegevens.

De AH wil wel graag je NAW gegevens hebben, maar het feit dat ze een anonieme bonuskaart aanbieden is al een teken dat ze liever een anoniem token hebben dan helemaal geen manier om jouw aankopen te groeperen. Die AH bonuskaart heeft niets met de belastingdienst te maken.

Het wordt pas een ander verhaal als je B2B BTW-vrije facturen stuurt, want dan moet de belastingdienst dat kunnen controleren. Maar zelfs bij een moeilijk product als alcohol hoef je geen NAW gegevens van klanten te bewaren om aan te kunnen tonen dat ze legaal waren.
Natuurlijk eist de Belastingdienst dat wel, en dat is ook ook gewoon simpel te vinden:

https://www.belastingdien...n_verplicht_te_factureren
U maakt een factuur op voor alle goederen en diensten die u levert aan andere ondernemers. Ook rechtspersonen die geen ondernemer zijn (ook buitenlandse), stuurt u een factuur. Dit kunnen bijvoorbeeld zijn: verenigingen en stichtingen.

Goederen en diensten aan particulieren
Verkoopt u goederen of diensten aan particulieren? Dan bent u niet verplicht een factuur uit te reiken, met uitzondering van de volgende situaties:
  • U bent een groothandel in levensmiddelen, tabaksproducten, tandheelkundige grondstoffen of (onderdelen van) tandtechnische werken en ten minste 80% van uw afnemers is ondernemer.
  • U levert een nieuw of bijna nieuw vervoermiddel aan een afnemer in een ander EU-land.
  • Uw levering is een afstandsverkoop.
Welke ondernemers hoeven niet aan alle factuureisen te voldoen?
De volgende ondernemers hoeven geen facturen te maken die aan alle eisen voldoen:
ondernemers in taxivervoer en openbaar vervoer
ondernemers in de horeca
ondernemers die vrijgestelde goederen of diensten leveren

Dit geldt ook voor ondernemers die meedoen met de KOR.
Jouw AH voorbeeld doet niet ter zake en als AH bij jou thuis boodschappen bezorgd krijg je ook gewoon een factuur.
https://www.belastingdien...en/u_bent_detailhandelaar

Als je detailhandelaar bent is er daarentegen een algemene uitzondering die stelt dat je geen facturen hoeft op te maken.

Daarnaast is er een speciale regeling voor kleine ondernemers, waardoor deze ook vrijgesteld zijn van de factuurplicht:
https://www.belastingdien...kleineondernemersregeling

[Reactie gewijzigd door R4gnax op 16 april 2021 09:37]

Maar is een factuur uitreiken hetzelfde als 7 jaar bewaren?
Nee dat is natuurlijk niet hetzelfde, maar na het uitreiken van een factuur moet je hem wel 7 jaar bewaren ja.
Dat is waar omdat AH aan consumenten verkoopt.

Maar verkoop je zakelijk dan *moet* je je customer due diligence doen (bestaat die klant, klopt zijn handelsnaam, is de KvK inschrijving geldig, is zijn BTW nummer geldig, etc). Bovendien *moet* je die gegevens bewaren want de belastingdienst kan daar om vragen.

Dat geldt overigens ook voor banken, zelfs als de klant in dat geval een consument is. Daarom moet je bij banken ook een kopie van je legitimatie afstaan.
Dat kan natuurlijk in een offline archief dat alleen wordt aangeslingerd wanneer de belastingdienst het nodig heeft (en dat zal zeer zelden zijn bij de meeste webshops).
Dus je gaat ervan uit dat een webshop automatisch je gegevens verwijderd? Je mag al blij zijn dat je in de EU leeft waar je op zijn minst een verzoek kan doen om het te laten verwijderen. Geen enkel iets verwijderd pro actief accounts.
Er liggen voor persoonsgegevens gewoon bewaartermijnen vast. Een webshop mag die niet net zo lang bewaren als dat ze zelf willen. Dat de praktijk anders is ...
Enig idee wat je kunt doen als een bedrijf niets doet aan een verwijderverzoek? Al 2x ingediend bij Thuisbezorgd, maar kan nog steeds inloggen...
Inderdaad melden bij de AP. Helaas wordt er dan niet direct wat aan gedaan. Er moeten meerdere meldingen over een bedrijf binnenkomen voordat men iets doet (als men de capaciteit ervoor heeft).
Da's niet helemaal waar:
De Algemene verordening gegevensbescherming (AVG) schrijft geen concrete bewaartermijnen voor. Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is hangt af van de situatie. Vandaar dat u zelf moet vaststellen wat in uw situatie passend is.
Uitzondering hierop is als er andere wetten zijn die wel een bewaartermijn voorschrijven; dan is deze van toepassing.

Als je goed kan onderbouwen dat je specifieke gegevens X-termijn moet bewaren omdat dit relevant is voor je bedrijfsvoering dan mag dat in principe ook. Maar als er dan een lek is; en je hebt je verhaal + je beveiliging niet op orde; dan kan de boete hoog uitvallen.

Let op: Dit wil niet zeggen dat een webshop zomaar allerlei persoonsgegevens mag vastleggen van klanten; de AVG schrijft geloof ik voor dat je alleen de noodzakelijke gegevens mag uitvragen die nodig zijn om de overeenkomst uit te voeren, en je moet kunnen onderbouwen waarom je gegevens wel wil bewaren. In veel gevallen zullen gegevens zoals bijvoorbeeld geboortedatum of geslacht niet noodzakelijk zijn. Maar een adres wel (immers; een webshop moet iets naar je opsturen).

[Reactie gewijzigd door Carn82 op 15 april 2021 18:01]

Klopt, je hebt inderdaad gelijk, maar dan nog mag een webwinkel de gegevens niet oneindig bewaren en moet er wel beleid zijn dat persoonsgegevens inderdaad worden vernietigd als ze niet meer nodig zijn.
Wat als ze vinden dat ze voor altijd nodig zijn? Stel dat je over 100 jaar nog iets besteld... GDPR is leuk voor juristen maar in de praktijk vaak een wassen neus.
Het gaat niet om wat je zelf vindt. Je moet zelf wel termijnen vastleggen in je eigen procedures waar je je aan moet houden en die termijnen moeten redelijk zijn. Als jij vastlegt dat je klant gegevens 100 jaar wil bewaren als je een tube tandpasta verkoopt en je lekt gegevens heb je bij de rechter wel een probleem. Er bestaan ook richtlijnen voor dus je moet met een heel goed verhaal komen als je iets 100 jaar bewaart terwijl de richtlijn 5 jaar aangeeft.
Kun je eens een link geven naar die richtlijn die hier voor allekabels van toepassing is? Hoeveel jaar is de richtlijn precies?
ICQ verwijdert pro-actief accounts, maar dat is ook de enige dienst waar ik dat vooralsnog ben tegenkomen. Mijn korte ICQ nummer is nu 'weg'.
Telegram en Microsoft hebben dit ook als je een bepaalde tijd inactief bent.
Natuurlijk wel. Volgens de privacywetgeving mag je gegevens niet eindeloos bewaren. Als je ze niet actief en met een legitiem doel gebruikt dan moet ze binnen een 'redelijke' termijn verwijderen.

Probleem is dat 'redelijk' geen jurisch scherpe definitie kent...
Ik heb al 10+ jaar niks besteld bij allekabels, na hun email over datalek wou ik mijn account verwijderen op allekabels, maar die optie is óók nergens te vinden...
Meerdere redenen:
  • Reclamedoeleinden
  • Voor sneller bestellen in de toekomst
  • Selectief data verwijderen kost tijd, zowel qua implementatie als uitvoer.
Dat laatste valt op zich mee. Het is redellijk eenvoudig te controleren wanneer een gebruiker voor het laatst ingelogd is geweest.
Precies, maar het is nog eenvoudiger om dit niet te doen.
Moet je voor de belasting niet je administratie 7 jaar volledig bewaren?
Ja, maar de vraag is moet dat online? En dan is het antwoord nee :)

[Reactie gewijzigd door watercoolertje op 15 april 2021 16:59]

Ja, maar de vraag is moet dat online? En dan is het antwoord nee :)
Klopt, je hebt volkomen gelijk, maar bijna alle administratieprogramma's zijn de laatste paar jaar naar de cloud gegaan.

Een daarvan is het Nederlandse Exact (groot geworden met de DOS-versie, de Windows-versie sloeg nooit zo aan, de gebruikers bleven met de DOS-versie werken), dat kwam in 2005 met zijn online versie, vrij snel daarna werden de Windows-versies uitgefaseerd, en de DOS-versie daarna.

Zelf gebruik ik nu een verloningspakket, en de versie voor 2020 kwam nog uit als installeerbare Windows-versie (werkend met een Access .mdb database als back-end) maar op 10 juli 2020 kwam er een bericht "het is tijd om over te stappen op Loon online" en 7 september kwam advies om voor 31 oktober over te stappen, omdat er vanaf de 2021-versie alleen nog een online versie zou zijn, en je een online versie moest gebruiken om de data van de 2020-versie naar 2021-versie te kunnen zetten.
Die online versie werkt overigens met RDP. Er zou voor de jaarafsluiting in versie 2020 (de laatste update) alleen een online versie komen, die je nodig hebt voor het jaarwerk, het maken van de jaaropgave voor de werknemers en de gegevens voor de afsluiting in het boekhoudpakket.

En dit zijn slechts twee voorbeelden, het zal bij de meeste boekhoud en administratiepakketten zo zijn.

Nu zijn er ook wel voordelen, zo heeft bovenstaand pakket een telefoon-app voor de werknemers waarmee ze steeds hun salarisstrook kunnen inzien. Bij andere pakketten kunnen werknemers via een app ook zelf hun gewerkte uren invullen. Mara je moet die gegevens zo min mogelijk online benaderbaar houden, zeker als het lopende jaar voorbij is en de jaaropgave en belastingaangiftes verstuurd zijn.
Maar de praktijk is uiteraard dat dit wel vrijwel overal online staat. En dat is ook service naar de klant toe. Zo kun je zelf ook nog een factuur terugvinden over een oude bestelling.
Dat kan ook met een ordernummer, of je postcode en huisnummer. Dat koppel je weer aan een alleen intern te benaderen systeem waar alleen jpg bestanden inzitten die op te vragen zijn op basis van die gegevens en waar een vertraging op zit van 30 seconden voordat ie je de facturen die daarbij horen terug geeft. Met een maximum van, zeg, 200 per dag. Probeer dan maar eens 3,6 mln klantengegevens te jatten. Als je in die jpg ook nog eens de klantgegevens op een moeilijk te ocr-en achtergrond zet wordt het helemaal lastig... oh ja en een factuur behoeft geen login naam en geen e-mail adres.
Maar de praktijk is uiteraard dat dit wel vrijwel overal online staat. En dat is ook service naar de klant toe. Zo kun je zelf ook nog een factuur terugvinden over een oude bestelling.
Dat kan op zich, maar is er 1 webshop die dit doet? Dit vereist een hele omslag van de manier waarop klantgegevens bewaard worden.
De AVG had dat moeten triggeren denk ik. Helaas is dat niet gebeurd....
Is niet verplicht voor particulieren, maar wel verstandig voor als de belastingdienst een naheffing oplegt. Vijf jaar.
Menig bedrijf wordt geil van data. And they don’t give a f**k about your privacy and the risk.

Een ander antwoord: omdat jij ze verstrekt hebt.
Omdat vele mensen dat gemakkelijk vinden. Moet je niet elke keer alle informatie opnieuw invoeren en kan je op de site netjes je vorige bestellingen raadplegen.
Ik heb daar ook wel eens besteld, maar blijkbaar geen account aangemaakt.
1x wat besteld bij Allekabels. Waarom bewaart dit soort bedrijven al deze gegevens?!
Andere vraag: waarom vullen mensen hun geboortedatum in als ze een kabel willen bestellen?
Ik zie geen geboorte datum veld in het klant overzicht.

BTW ik "lieg" gewoon altijd voor velden die wel verplicht worden door de verkoper maar door mij niet noodzakelijk geacht worden (zoals telefoonnummer en geboorte data).
een transactie moet aangetoont worden als de belastingdienst daar om vraagt, dat tot 7 jaar.
volgens mij kun je je gegevens aan de webkant laten verwijderen.
Voor marketing doeleinden, kunnen ze je een mailtje versturen wat in je spam filter blijft hangen.
ik heb ooit een 4 jaar geleden een kabel besteld en ik kreeg vanmorgen een mail met excuus en dat ik moest opletten en dan denk ik dat is recent gebeurd, maar die gegevens zijn dus al in augustus 2020 in handen van derden. Tja beetje mosterd na de maaltijd.
Bestellingen volgen, herbestellen, retourneren, garantie? Om dat soort redenen?
Langer dan twee weken is het adres dus in principe niet nodig. Data voor de Belastingdienst kan offline opgeslagen worden. Mijn punt staat, zeker voor mensen die via Bol.com bestelden, of die ervoor kozen adresgegevens niet op te laten slaan in hun account op de website.
Hoezo mijn punt staat? We waren niet aan het discussiëren. Je stelde een vraag en daar heb ik je antwoord op gegeven. Nu niet net gaan doen alsof je een discussie hebt gewonnen.
Van mij mogen ze beginnen met celstraffen uitdelen aan mensen die dit laten gebeuren. En natuurlijk ook aan de hacker...
Deze week al gebeld door zo'n "energieboer" die zelfs m'n rekeningnummer wist, in het kader om zijn geloofwaardigheid aan te tonen (dat ik zg. een vergelijkdienst bij ze afnam).

Deze geest stop je nooit meer in de fles helaas.
Zodra de hacker er gewin uithaalt door data te koop aan te bieden is het voor mij niet meer dan een dief en dus mag deze gewoon gestraft worden. Als mijn slot van mijn voordeur niet goed is en iemand meld mij dit, dan zal ik ze bedanken. Als iemand echter naar binnen gaat en mijn spullen meeneemt dan is zo iemand gewoon strafbaar. Zelfs als ik mijn deur open laat en iemand gaat naar binnen zonder mijn toestemming, dan is dit huisvredebreuk.
Dus een inbreker moet ook niet meer gestraft worden indien een woning/auto onvoldoende beschermd is?

Tenslotte is de onvoldoende beveiliging ook niet de inbreker zijn fout

[Reactie gewijzigd door nightraven79 op 15 april 2021 19:25]

Deze hacker verkoopt gestolen data, is daarmee ordinaire crimineel en moreel failliet.

White hat hackers die handelen uit 't grotere belang zijn uit een heel ander hout gesneden en dat zijn inderdaad de mensen die je moet koesteren.
Maar da's hier niet van toepassing hoor.

[Reactie gewijzigd door Polderviking op 15 april 2021 17:43]

Wat???

Dus degene die een bejaarde in elkaar slaat hoeft niet gestraft te worden, want dan had die bejaarde maar karate moeten leren???

Natuurlijk moet die hacker gepakt worden en voor jaren de bak in. Dit gaat veel verder dan ordinaire diefstal. Hier geldt ook gevolgschade.
Het is lastig om te achterhalen wie de fout nou gemaakt heeft. De CEO? De makers van het misschien te krappe budget? De programmeur die toevallig het lek gemaakt heeft (of niet gezien heeft)? Het hele develop team? De product owner?
Ik snap dat mensen het vervelend vinden, maar zonder meer informatie te hebben over de situatie denk ik dat het roepen om celstraffen wel een beetje te ver gaat.
CEO's krijgen doorgaans zo'n bizar hoog salaris wat veel negatieve geluiden teweeg brengt.
Dan wordt dat verdedigd door de grote verantwoordelijkheden die ze hebben ten aanzien van het bedrijf (en zijn klanten).

De bug kunnen ze misschien niet helemaal voorkomen, maar de glasharde leugens wel.
Het is de CEO die de keuze maakt om de shit op deze manier te verhelpen.

Dus gevangenisstraf voor het lek zelf? Nee, dat is niet nodig.
Gevangenis voor het down playen en niet bewust niet eerlijk communiceren met de mensen die getroffen zijn door het lek? Ja, daarvoor mag je de CEO aan zijn ballen ophangen.
Echter hebben ze er naar het schijnt bewust voor gekozen om enkel de mensen met een speciaal allekabels email adres te verwittigen. Dat is wel een bewuste keuze die mogelijk terug te leiden is naar bijv. de CEO.
En dat zou een bewuste keuze zijn om de wet aan de laars te lappen en dat mag wat mij betreft stevig aan worden gepakt. Al ben ik ook van mening dat het uiteindelijk aan de rechter is om de omstandigheden mee te nemen in het oordeel.
nieuws: Allekabels waarschuwt 5000 klanten voor datalek van onbekende gegevens
Het bedrijf zegt dat het heeft ontdekt dat er 'excessief klantdata is opgehaald door een medewerker', die 'vermoedelijk vanuit een thuiswerksituatie' werkte, maar details daarover ontbreken. De webshop zegt dat het melding heeft gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. "We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners", schrijft het bedrijf.
Ik weet 1 ding: de programmeur heeft niet willens en wetens gelogen over 5000 ipv miljoenen gelekte accounts. Degene die dat wel deed, die moet in elk geval de bak in wat mij betreft.
Een vergelijkdienst? Wat moet ik me daarbij voorstellen?
Die energieboeren zijn een geval apart. Dat moet een datalek (of, godbeterd, een 'legaal' verkochte dataset) bij een energieboer zijn.
Ik wordt heel regelmatig gebeld door zo'n 'energievergelijker' over het energiecontract van mijn moeder. En de combinatie van mijn telefoonnummer en de achternaam van mijn moeder kan toch alleen maar bij één bedrijf vandaan komen... Ben toch wel blij dat ik dat toen zo heb ingevuld, had anders een heleboel geld kunnen kosten...
Zomaar celstraffen uitdelen is een aantal stappen te ver.
Wel moet een bedrijf kunnen aantonen dat ze continue de beveiliging verbeteren en bijblijven. Als ze dan gehacked worden is het nog steeds heel vervelend, maar de kans is veel kleiner.

Bedenk wel dat door de hackers het runnen van een internetbedrijf dan gelijk een stuk duurder wordt.
Probeer net mijn wachtwoord te wijzigen.........kan wel inloggen........maar wachtwoord wijzigen geeft Error 502 Bad Gateway...........
Site is echt heel traag inderdaad. Na het inloggen klik je op account en dan een 502 bad gateway error. Er is iets goed mis met die website.
Er is iets goed mis met die website.
Ze zijn overal in het nieuws. Ongetwijfeld zijn ze "gewoon" overbelast.
same here, 522 response. Dit lijkt een logische verklaring, it's a timeout afterall
Denk dat ze gedonder hebben. Site is heeeeeel traag.
lagge website... ik kon eindelijk mijn wachtwoord aanpassen.
Heb paar pogingen achter elkaar gedaan............nu gelukt.

Iedereen die zijn ww wil veranderen nu natuurlijk.........ook een soort DDoS :-)
1 2 3 ... 12


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True