Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

New York Pizza waarschuwt klanten voor datalek - update

New York Pizza waarschuwt klanten dat het is getroffen door een datalek. Het bedrijf meldt dat er onder andere e-mailadressen, telefoonnummers en bezorgadressen zijn buitgemaakt na een hack van de systemen van 'een van de leveranciers' van het bedrijf.

New York Pizza meldt op zijn website dat het bedrijf in de nacht van zondag op maandag 'enkele mails' heeft ontvangen van een hacker, die meldde dat hij of zij gegevens van New York Pizza-klanten heeft buitgemaakt en dreigde deze gegevens te publiceren of verkopen. De kwetsbaarheid is inmiddels opgelost.

New York Pizza constateert naar eigen zeggen dat er onder andere namen, mailadressen, telefoonnummers, bezorgadressen, en gegevens over welke pizza's klanten hebben besteld zijn uitgelekt. Van gebruikers die een account bij de pizzaketen hebben, zijn salted en gehashte wachtwoorden buitgemaakt. Het bedrijf raadt gebruikers met een account verder aan om hun wachtwoord te wijzigen. Indien het wachtwoord in kwestie ook bij andere diensten of websites wordt gebruikt, is het aan te raden om het wachtwoord ook daar aan te passen.

Betaalgegevens zoals IBAN-nummers of creditcardgegevens worden volgens het bedrijf niet opgeslagen in de databases van New York Pizza; dergelijke data is dus niet uitgelekt. Het bedrijf waarschuwt verder voor mogelijke pogingen tot phishing en roept gebruikers op om bij twijfel niet te reageren op mails en niet te klikken op vreemde links.

New York Pizza heeft melding van de hack gemaakt bij de Autoriteit Persoonsgegevens en zal ook aangifte doen. Het bedrijf geeft aan momenteel nog onderzoek te doen naar de hack. New York Pizza heeft naar eigen zeggen ook 'diverse andere maatregelen genomen ter bescherming van onze klantgegevens'. Verder bevestigt het bedrijf dat de hack geen invloed heeft op het bestelproces van het bedrijf; filialen van de pizzaketen blijven open.

Update, 20:40: Een woordvoerder van New York Pizza laat aan Tweakers weten dat het een 'fors' datalek betreft, maar benadrukt wederom dat er geen betaalgegevens zijn buitgemaakt en dat de uitgelekte wachtwoorden gehasht en gesalt zijn. Daarnaast bevestigt het bedrijf dat de dader om losgeld heeft gevraagd, maar dat er geen sprake is van ransomware. De woordvoerder vertelt ook aan Tweakers dat het bedrijf op advies niet in contact is getreden met de dader. Verder benadrukt de woordvoerder dat het lek inmiddels is gedicht. Het bedrijf werkt samen met partijen als Fox-IT om hun systemen door te lichten, om er zo achter te komen of er geen andere kwetsbaarheden zijn.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

02-06-2021 • 20:17

165 Linkedin

Submitter: BaasBrulaap

Lees meer

Reacties (165)

Wijzig sortering
Waarschuwing phishing poging
Geachte klant van New York Pizza,

Ondanks al onze veiligheidsmaatregelen hebben wij begin deze week helaas te maken gehad met een hack van de systemen van een van onze leveranciers, waarbij ook uw gegevens geraakt zijn. Wij leggen u graag uit wat er is gebeurd, om welke gegevens het gaat, welke maatregelen wij hebben genomen en wat u zelf kunt doen om te voorkomen dat u slachtoffer wordt van een phishing poging.

LET OP:
Druk niet op links, reageer niet op mails afkomstig van de verzender ‘noreply[@]newyorkpizza[.]nl’. Mails waarover u twijfelt: reageer er niet op!

Wat is er gebeurd?
Afgelopen zondagnacht op maandagochtend ontvingen wij enkele mails van een hacker. Deze hacker beweert dat hij een grote hoeveelheid klantgegevens heeft ontvreemd van New York Pizza, en dreigde deze gegevens te publiceren of te verkopen.

Wij hebben snel onderzoek ingesteld. Wij hebben moeten vaststellen dat waarschijnlijk ook klantgegevens zijn ontvreemd uit onze databases door de aanvaller. Wij hebben het incident vervolgens meteen als datalek bestempeld en gemeld bij de Autoriteit Persoonsgegevens. Wij zullen tevens aangifte doen bij de politie. Daarnaast zijn wij samen met forensische experts gestart met het dichten van de kwetsbaarheid en hebben wij diverse andere maatregelen genomen ter bescherming van onze klantgegevens. Het incident heeft gelukkig geen impact op ons bestelproces. Onze filialen blijven gewoon open. U kunt dus nog gewoon uw favoriete pizza bij ons blijven bestellen.

Om welke gegevens gaat het?
Uit ons onderzoek is gebleken dat het gaat om uw naam, het bezorgadres, email adres, telefoonnummer, welke pizza's u heeft besteld, uw gecodeerde (gehashte) wachtwoord indien u een account bij ons heeft, en in een klein aantal gevallen ook om uw geboortedatum in verband met verjaardag bestellingen. In onze databases staan overigens geen bankrekeningnummers of creditcard gegevens van onze klanten. U hoeft zich daarom geen zorgen te maken dat die gegevens in verkeerde handen zijn gekomen.

Welke maatregelen hebben wij getroffen?
We zijn zo snel mogelijk gestart met het informeren van onze klanten en medewerkers. Ook hebben wij de partijen met wie wij samenwerken geïnformeerd. Daarnaast hebben wij externe specialisten ingeschakeld die het incident onderzoeken, wie achter de aanval zit, en hoe dit in de toekomst kan worden voorkomen.

Wat betekent dit incident voor u?
Doordat uw gegevens in handen zijn van de aanvaller, loopt u het risico dat de aanvaller uw gegevens publiceert of dat u het slachtoffer wordt van oplichting door middel van bijvoorbeeld een phishing mail. Het is mogelijk dat u telefonisch of per e-mail wordt benaderd. Zij kunnen dan vragen om extra gegevens of u benaderen om een betaling te doen. Ons nadrukkelijke advies is om daar niet op in te gaan en altijd alert te blijven op oplichting of identiteitsfraude. Indien u een account bij ons heeft adviseren wij u om uw wachtwoord hiervoor te wijzigen.

U kunt identiteitsfraude melden bij het Centraal Meldpunt Identiteitsfraude (CMI) van de Rijksoverheid: https:// www. rijksoverheid. nl/contact/contactgids/centraal-meld-en-informatiepunt-identiteitsfraude -en-fouten-cmi

Ook adviseren wij u altijd aangifte bij de politie te doen als u slachtoffer wordt van cybercriminaliteit.

Contact
Wij kunnen ons voorstellen dat u met vragen zit. Daarom hebben wij hier de meest gestelde vragen en antwoorden opgenomen ga daarvoor naar de website van New York Pizza: www .newyorkpizza[.]nl/ datalek (het kan even duren voordat deze pagina volledig up-to-date is). U kunt ook mailen naar vragen[@]newyorkpizza[.]nl.

Wij bieden eenieder die hier mogelijk hinder van ondervindt onze oprechte excuses aan voor het ontstane ongemak.

Met vriendelijke groeten,

Directie New York Pizza
Ondanks al onze veiligheidsmaatregelen hebben wij begin deze week helaas te maken gehad met een hack van de systemen van een van onze leveranciers, waarbij ook uw gegevens geraakt zijn.
Stomme vraag misschien maar waarom staan de (bestel)gegevens bij een leverancier van NewYork Pizza?
Welke leverancier zou dit dan zijn? Degene die het deeg komt brengen? Of zit ik nu heel krom te denken?

Edit: @T-Forever @OxiMoron @Marber @Puc van S. @flippy @Moosjes @billyjk en @versc049
Haha okeee okeee.. ik zat duidelijk te kortzichtig te denken. Dankjewel allen ;)

[Reactie gewijzigd door DonJunior op 2 juni 2021 20:46]

Leverancier van IT diensten bijvoorbeeld ;)
"provider" is dan een beter gebruikte term, lijkt mij. Wellicht een slimme woordkeuze om dit naar het Nederlands te vertalen, technisch gezien zeg je niks verkeerds, maar je haalt wel even de focus van het it gedeelte af.
Als de leverancier een IT dienst is, en die is gehakt, dan zouden er dus nog meer datalekken kunnen zijn. Neem dat die IT dienst niet alleen New York Pizza als klant heeft.
Als dat wel de enige klant is, dan is het dus gewoon New York Pizza zelf, maar het klinkt beter als je de schuld afschuift 😉
Leverancier van bezorg diensten misschien?
Leverancier van hosting bijvoorbeeld.
Leverancier kan ook de ontwikkelaar van de website zijn, of de ontwikkelaar van het bezorgplan applicatie.
waarschijnlijk de uitbater van de webshop die ze gebruiken. dat is doorgaans -technisch gezien- een extern bedrijf.
Of de bouwer van de website
De software leverancier is ook een leverancier. Bv de software van het kassasysteem of online bestelsysteem. Het systeem met alle data draait dan bij de leverancier.
Of misschien is het wel de leverancier van hun marketing platform. Dat je op je verjaardag wel een mooie actie krijgt die aansluit bij je bestelhistorie. Ik heb overigens geen email gekregen van NYP en ik heb me afgemeld voor alle marketing mails, dus mijn 2e optie maakt een goede kans in mijn ogen.

[Reactie gewijzigd door billyjk op 2 juni 2021 20:44]

Een leverancier kan ook de ICT leverancier, Internet provider of de partij zijn die voor New York pizza de online betalingen regelt.

[Reactie gewijzigd door versc049 op 2 juni 2021 20:45]

Heb zelf toevallig nog aan het b2b systeem gewerkt waar locaties deeg en andere ingredienten bestelden. hier zaten inderdaad geen consumenten gegevens in.
Gezellig heb ook deze e-mail gehad, heb meteen al mij wachtwoorden veranderd.

Woord steeds leuker op internet.
Zorg er dan voor dat je op iedere website direct een uniek wachtwoord gebruikt ;)
Desnoods voor deze toko’s fastfood achter je ww zetten
Zorg er dan voor dat je op iedere website direct een uniek wachtwoord gebruikt ;)
Desnoods voor deze toko’s fastfood achter je ww zetten
Doe ik altijd, gebruik NOOIT de zelfde wachtwoord, en gebruik KeePass 2 om een 117 of 143bit wachtwoord aan te maken.

Valt mee bestel niet vaak, de laatste keer dat ik wat besteld heb is verleden jaar.

[Reactie gewijzigd door AmigaWolf op 3 juni 2021 19:14]

Stomme vraag misschien maar waarom staan de (bestel)gegevens bij een leverancier van NewYork Pizza?
Of het nu bij een externe ontwikkelpartij staat, of hun eigen ontwikkelaars op amateuristische wijze in de cloud gezet is: "de systemen van een leverancier zijn gehackt" klinkt als "wij konden er echt niets aan doen, wij zijn ook een slachtoffer", en voorkomt veel boze mensen/juristen.

Dat een enkeling deze toon opvalt en het onsympathiek vindt, dat valt in het niet bij de baten, helaas. Zo ook "Daarnaast zijn wij samen met forensische experts gestart met het dichten van de kwetsbaarheid" - ik geloof dat het waar is en ze er hard aan trekken, maar als ze twee experts gebeld hebben of die volgende maand het lek komen dichten, kunnen ze hetzelfde beweren.

Toch, nu ik de mail iets beter scan, lijken ze wel moeite te hebben gedaan om zinnig preventie advies te geven, en zich er niet makkelijk van af te maken, waarvoor hulde, zeker in combinatie met een snelle reactie naar buiten.
Een schone Windows na aanschaf is altijd een goed plan imho, dat de mediamarkt er software opgezet heeft is niet zo heel gek, dat gebeurt al sinds de komst vd pc onderhand. Vroeger kreeg je vaak Norton zelfs voorgeïnstalleerd en PC'S van vroeger waren geen van allen echt geschikt voor Norton.

Dus tip numero uno, doe altijd een clean install na aanschaf, niet alleen is je bloatware er af (of minder), hij is vaak ook net ietsje sneller.
Wat mij toch o.a. zeer verbaast is het volgende stuk:
LET OP:
Druk niet op links, reageer niet op mails afkomstig van de verzender ‘noreply[@]newyorkpizza[.]nl’. Mails waarover u twijfelt: reageer er niet op!
Dus even zelf geprobeert hun domein te spoofen en verekt geen spf record ingesteld. Wat wil zeggen als je dit domein spooft komt het rechtstreeks in je inbox te staan ipv dat het onder de spam terecht komt. Leuk dat ze dit melden maar als je zoveel gegevens laat lekken is dit toch direct het eerste dat je ook insteld? Waarom is dat nu nog steeds niet gebeurd?!

Dit is wel echt een grondbeginsel als het gaat om beveiligen hoor. En dan ook nog het volgende durven zeggen.
Ondanks al onze veiligheidsmaatregelen hebben wij begin deze week helaas te maken gehad met een hack van de systemen van een van onze leveranciers, waarbij ook uw gegevens geraakt zijn.
Jaja, al jullie veiligheidsmaatregelen..
Zojuist gecheckt maar op dit moment staat er wel SPF ingesteld met een harde fail voor uitzonderingen.
Heb je wel goed gekeken? Kan me niet voorstellen dat ze dat binnen deze tijd gefixt hebben.
Kan me sowieso niet voorstellen dat en geen SPF record bestaat. dat is tegenwoordig toch wel het minste dat je als systeembeheerder instelt en een bedrijf als New York Pizza zal toch niet een lokaal ZZP'ertje in de arm hebben genomen die maar wat aanknutselt.

Via MXtoolbox.com kan je gewoon zien dat er een SPF record is.

[Reactie gewijzigd door Drunken_Bear op 3 juni 2021 18:03]

Hier wel klant en dus een account, maar deze mail heb ik (nog) niet gehad.

Maar wel nette mail, dat zie je wel eens anders. Zal daar mijn ww maar eens aapassen.
Ik heb ook de mail niet gehad. Wel vanochtend meteen mijn wachtwoord gewijzigd. Het was nog een slecht oud wachtwoord (oeps, ik dacht dat ik alles had veranderd tig jaar geleden) zag ik, dus was sowieso heel hard nodig. Toch maar eens door mijn wachtwoordenlijst gaan of ik er meer ben vergeten.
Ik heb de mail ook nog niet binnen, maar dit bericht al wel eerder gezien. Om je wachtwoord te wijzigen moet je wachten op een E-mail met een link. Omdat veel mensen nu willen wijzigen, kan het mail systeem het niet aan en kan het zijn dat je die mail niet (of wie weet veel later) krijgt.
Ik kreeg deze op mijn Gmail account die ik blijkbaar wel eens heb gebruikt om te bestellen. Op mijn eigen mail nog niks gekregen. Terwijl ik daar sowieso wel vaker mee heb besteld.
Same here, ook gelijk mijn WW aangepast
Het is fout gegaan, en ze hebben mogelijk op een aantal punten wel wat uit te leggen, maar de mail is inderdaad netjes. Draaien er niet omheen, geven duidelijk aan om welke data het gaat en dat ze er aan gaan werken. Voorkomen is beter dan genezen, maar ja, dat stadium zijn wel al voorbij...
is dit mischien die lek van cit0day? ik kreeg van google chrome een bericht dat mijn bol.com en creative.com account's wachtwoorden gelekt waren. 2 sites op 1 nacht?
Niks tegen jou, maar apart dat een letterlijke copypaste van een mailtje +3 krijgt.
Mijn wachtwoord is hier gelukkig al een gegenereerd ding, dus de schade is beperkt. Maar om er voor te zorgen dat ze niet mijn vermogen aan pizzapunten jatten (spaarpunten systeem voor "gratis" eten) wil ik toch mij wachtwoord aanpassen.

Als ik echter de functie wil gebruiken om mijn wachtwoord aan te passen, krijg ik geen mail waarlangs ik dat kan doen. Ben je gehackt, kan ik dat als klant mijn eigen account niet veilig stellen...
https://www.newyorkpizza.nl/datalek
We zien dat meerdere klanten hun wachtwoord proberen te wijzigen. Dat zorgt voor extra belasting op onze servers, waardoor het wat langer kan duren voordat u een bevestiging ontvangt. Bij extra drukte, kan het zijn dat u de melding ontvangt: oeps, er ging iets mis, probeer het opnieuw. Probeer het dan ook graag even opnieuw.
Ik had hetzelfde maar 15 minuten later kreeg ik alsnog de mail. Het zou natuurlijk kunnen dat de mailserver het zwaar heeft met al die password resets.
Hack van “een leverancier” maar die ontvangt naam, adres, telefoonnummer en pizzakeus van klanten van New York Pizza zelf?
Waarom zou een leverancier sowieso al die details in handen moeten hebben?
Nergens hebben ze het over een toeleverancier of iets in de grondstoffen keten. Hoogtwaarshijnlijk bedoelen ze de leverancier die het orderplatform levert, of het PoS systeem van New York Pizza. Dat zal ongetwijfeld een SaaS oplossing zijn en dat zal NY Pizza niet zelf in-house doen.

Tja dan heb je wel al die gegevens nodig want hoe kun je anders een pizza bereiden en bezorgen als je niet weet welke pizza en waar hij heen moet. Lijkt me sterk dat ze individuele bestellingen delen met levernaciers van het deeg en de tomatensaus. :P
In het forum topic werd ook al aangehaald dat het wellicht een vertaalfout is en dat ze een “supply-chain attack” bedoelen.

Je mag inderdaad hopen dat dat niet zo is, anders krijgen ze ook de AVG nog achter zich aan voor privacyschending. :+
Persoonsdata is het meest gevraagde van alle data 😎
De leverancier die de maandelijkse mailing verzorgt? De leverancier die de betalingen regelt? Bedrijven hebben veel meer leveranciers dan alleen die de materialen verzorgen.

Omdat ik mailtjes laat versturen aan <bedrijf>@<mijndomein>, weet ik dat ook mijn huidige en vorige auto-dealer onderdeel waren van de hack van het bedrijf dat de mailings voor autodealers doet.
Dat. En bovendien: heb ik daar als klant toestemming voor gegeven?
Op zich wel. Daarom vindt je deze informatie vaak tussen de (vaak weggestopte) informatie over het bestelproces.

Jammer dat het vaak in een uithoek van een website staat omdat dit vandaag de dag juist belangrijk is om expliciet te benoemen op een vindbare plek.

Wel flauw, je gaat ermee accoord door een bestelling te plaatsen.
Misschien is het juist goed dat ik meestal niet mn volledige naam (maar mn voornaam gesplitst als voor- en achternaam) en geboortedatum geef bij dit soort accounts. Ik vind dat je persoonlijke informatie die niet noodzakelijk is voor de transactie niet hoeft te geven. En dat ik een extra email adres heb voor dit soort bestellingen. Al is het wel extra werk. Toch jammer steeds als je gegevens zo 'op straat' komt, zonder dat je er iets aan kan doen.
Een leverancier kan best een hosting partij zijn.
Als je ooit eens een pizza hebt besteld bij NYP dan eindig je met je account in 1 grote database. Daar is het blijkbaar misgegaan. Lekker. In een ver verleden gebruik gemaakt van NYP.
Ah daarom kreeg ik ineens louche SMSjes terwijl ik dat nog nooit eerder had gekregen :)
Heb hier zelf de laatste tijd ook steeds meer last van, maar kan mij niet herinner dat ik ooit bij NY Pizza heb besteld. Dus waar het nog meer allemaal vandaan komt..
Zijn we allemaal die Facebook nummer leak vergeten van maart?

[Reactie gewijzigd door jordynegen11 op 3 juni 2021 08:45]

Ik heb geen Facebook :)
Mijn vader heeft ook geen facebook maar toch stond zijn nummer er tussen }>

Hij had wel whatsapp.. |:(

[Reactie gewijzigd door jordynegen11 op 3 juni 2021 09:06]

Blijkbaar 8)7

Daar was ik idd door gepwned
ik ben 2x gebeld vanuit de filipijnen (0063187961776) waarschijnlijk is de data al verkocht :+
Ik ook gisteren, vroeg me al af waarom dat was
Of je ook een pizza lust haha
hmm.. ik ook , maar op mn werknummer dat ik nooit gebruikt heb om pizza te bestellen.. interesting, volgens mij dus nog andere bron waar ze dat vandaan hebben.
Mijn vader heeft ook geen facebook maar toch stond zijn nummer er tussen }>
Enige wat hij van Facebook gebruikt is Whatsapp. hmmmm

Je kan het checken op have I been powned (31 nummer gebruiken)

[Reactie gewijzigd door jordynegen11 op 3 juni 2021 08:47]

checked en not pwned.. blijft interesting
Check het op haveibeenpwned
Vergeet Facebook niet, sinds dien wordt ik vaak gebeld door onbekende nummers en krijg ik rare bezorg smsjes :+
Ah daarom kreeg ik ineens louche SMSjes terwijl ik dat nog nooit eerder had gekregen :)
Nee hoor, die komen van je vrienden en kennissen, die wel op het linkje klikken als ze toch geen pakketje verwachten.

https://www.security.nl/p...-piek+door+FluBot-malware
Toevallig van domino's?

Want deze ontvang ik de afgelopen dagen :p
Ik zat zelf in de datalek van allekabels.
Na deze datalek heb ik een avondje genomen om te kijken welke accounts heb ik waar lopen en welke gebruik ik niet meer(of welke accounts ga ik nooit meer gebruiken).

Een van de webwinkels die ik tegenkwam was een telefoonzaak(ik zal de naam niet noemen, wel vrij groot in NL).
Ik heb op hun website de optie gevonden om mijn gegevens te verwijderen, er stond bij hun uitleg erbij dat als ik mijn gegevens verwijder ik ook mijn garantie kwijt ben op mijn aangeschafte producten want ze kunnen niet meer nagaan of ik het bij hun heb gekocht.

Ik heb daar een email over gestuurd met de vraag hoe dit kan?
Door middel van een factuur kan ik aantonen dat ik het product bij hun heb aangeschaft.

Ik kreeg als antwoord terug, nee garantie vervalt en als ik mijn gegevens wilde laten verwijderen dan moest ik een paar gegevens doorgeven en dan gingen ze aan de slag.

Dit was het gesprek: (naam van bedrijf is weggelaten)
Bedankt voor je verzoek over het verwijderen van je persoonsgegevens bij bestelling xxxxxx. We helpen je hier zo veel mogelijk bij. Hieronder leggen we uit wat voor gevolgen dit heeft en hoe je dit in orde maakt.

Gevolgen verwijderen persoonsgegevens

Door het verwijderen van gegevens, word je ook verwijderd als xxxxx-klant . Na het wissen van je gegevens kunnen we namelijk niet meer nagaan of een product echt bij ons vandaan komt. Dit betekent ook dat we geen vragen meer kunnen beantwoorden over je bestelling. Natuurlijk kun je nog steeds bij ons terecht als je andere vragen hebt.
Mijn antwoord:
Bedankt voor je reactie.

Als ik een factuur/bon heb hoeven jullie toch niet mij als een klant te hebbeb in jullie systemen?
Ik ga dit doorspelen naar de autoriteiten want jullie belemmeren mij nu om mijn gegevens uit jullie systeem te halen door te dreigen dat ik dan mijn garantie kwijt ben. Dat klopt natuurlijk niet want ik heb een bon en kan daarmee ten alle tijden aantonen een aankoop bij jullie te hebben gedaan.
Antwoord winkel:
Hartelijk bedankt voor je bericht aan xxxxxx.

Op vertoon van een geldige factuur heb je bij xxxxxx recht op wettelijke (fabrieks)garantie, ook na het verwijderen van je persoonsgegevens. Naar aanleiding van je bericht gaan wij onze privacyverklaring waar nodig aanpassen.

Zodra we de controlegegevens uit de onderstaande mail hebben ontvangen, zullen we je verzoek in behandeling nemen en gaan we gelijk voor je aan de slag. Je ontvangt een bevestiging zodra we je gegevens hebben verwijderd.
Sommige bedrijven doen heel erg moeilijk om je gegevens te verwijderen, totdat je gaat dreigen met autoriteiten. Dan heb je opeens wel gelijk.

Dit moet veranderen, als jij je gegevens wil laten verwijderen dan moet ik kunnen zonder BS eromheen!
Factuur gegevens dienen ze gewoon te bewaren, verplicht namelijk voor de belastingdienst. Je hebt geen poot om op te staan dan.
Maar kunnen factuurgegevens niet anoniem opgeslagen worden dan? Als de klant maar een bewijs heeft vanwege garantie, lijkt dat prima toch?
Uiteraard wordt een faktuur niet anoniem opgeslagen.

Faktuureisen belastingdienst
Voor leveringen aan particulieren hoeft geen factuur verstrekt te worden. Een factuur die wel verstrekt wordt om bijvoorbeeld garantieclaims te kunnen afhandelen hoeft ook niet aan alle eisen te voldoen. Mag dus ook anoniem.

Wanneer je bji de mediamarkt een tv koopt krijg je toch ook een kassabon zonder je naam of adresgegevens? Natuurlijk, schiet een verkoper aan en hij maakt graag een bon met die gegevens voor je. Maar trek gewoon een doos uit het schap en ga naar de kassa en je krijgt enkel een normale kassabon.

Dat is dus ook geen reden waarom een belwinkel die gegevens wel bij moet houden.
Precies, en als je gewoon cash betaalt hebben ze niet eens je betaalgegevens.
Hoe moet een bedrijf dat controleren dan?
Iedereen kan tegenwoordig met Photoshop wel een adres en naam op een factuur wijzigen.

En de belastingdienst moet ook in kunnen zien aan wie de factuur gericht is. Dit vanwege witwas of fraude.
Daar heb je wel een punt inderdaad 😅
Als een door de leverancier zelf gezette digitale handtekening (meestal onder een PDF) nog geldig is, en die leverancier vanaf datum x uitsluitend digitaal ondertekende facturen heeft verzonden, weet de leverancier dat elke factuur van na x die geen digitale handtekening heeft (of een ongeldige), nep is.
Ze moeten jouw persoonsgegevens verwijderen, maar dat betekent niet dat ze de gegevens van de order zelf moeten verwijderen toch? Als ze nou ordernummer, datum, tijd en product(en) behouden, moet je toch genoeg hebben om de factuur te verifiëren?
Dit is maar een gedachte trouwens, geen idee of het echt zo gaat.
Nee want de belastingdienst moet altijd kunnen herleiden naar wie de factuur gestuurd is
Nou dan is er dus geen enkele reden om te zeggen dat je garantie vervalt, puur pesterij.
Een factuur mag je niet (zomaar) wijzigen na aanmaken en moet bepaalde gegevens bevatten.

Aan de andere kant, ze hoeven niet in het zelfde systeem meer te staan. Dus een kopie in de boekhouding is ook prima. Het hoeft niet in het online ordersysteem te blijven.
Nopes in België moet je tot 10jaar na datum van de factuur dit opnieuw kunnen maken, dus heb je de originele gegevens nodig. En je factuur moet je 10 jaar bewaren. Dan mag jij dreigen wat je wilt maar lokale wetgeving gaat boven gdpr, en al zeker boekhouding. Een architect bijvoorbeeld moet hier 25 jaar jouw plannen bijhouden, een elektricien moet jouw eendraadsschema ook zo een 20 jaar bijhouden .... Dit zijn slechts een paar uitzonderingen. Tot zover de lege doos gdpr, allemaal mooi en wel, maar als puntje bij paaltje komt is het gewoon veel geleuter en komt er niks van in huis. Het idee is zeker niet slecht, maar de uitwerking is gewoon een lachertje. Het is onmogelijk om als bedrijf gegevens te verwijderen zolang je er iets gekocht hebt met een factuur.

Nu wat je wel dus kan doen is bijvoorbeeld een flag zetten op die gegevens deleten na xxx aantal tijd en zeker GEEN communicatie meer naar doen, maar voor de rest moet gegevens blijven bestaan zolang er een factuurtje gemaakt is
Klinkt alsof ze daar het proces van anonimiseren van hun data niet op orde hebben. Ik begrijp dat zij hun orderhistorie zo compleet mogelijk willen hebben, maar dat kan ook als jouw factuur wijzigt van adje naar anoniem. Overigens kan er wel een bewaarplicht op zitten vanuit andere instanties. Het verwijderen van accounts op crypto-trading platformen kon maar tot beperkte hoogte en volledige verwijdering pas na x jaar.

Na het lek bij AlleKabels heb ik ook de moeite genomen om al mijn inlogs na te lopen, maar daar ben ik toch aardig lang zoet mee. Mijn wachtwoorden waren wel uniek maar er zat wel een patroon in die het voor mij makkelijk maakte om te onthouden. Ik heb mailadressen aangepast, wachtwoorden echt uniek gemaakt, bij belangrijke zaken 2fa ingesteld en accounts die ik niet snel verwacht te gebruiken maar laten verwijderen. Het is vooral bijzonder dat je bij de ene dienst met een paar klikken je accounts verwijderd hebt en bij andere websites moet mailen of door hele vreemde hoepels moet springen om accounts verwijderd te krijgen. Weigeren heb ik niet meegemaakt.

Maar goed, ik heb nu alles gedaan waar ik een account van opgeslagen had in mijn keychain en ik heb in mijn mailbox gezocht op account-bevestiging mails. Dat waren bijna 700 unieke inlogs om na te lopen. Helaas denk ik dat ik daarmee lang niet alles heb.

[Reactie gewijzigd door Noisia op 2 juni 2021 21:16]

Om deze reden wil ik nooit een account aanmaken bij een online bestelling.
Nu had ik laatst iets nodig wat maar bij 1 webshop te verkrijgen was, en helaas was het verplicht een account aan te maken. Na het bestellen een email gestuurd met het verzoek mijn account te verwijderen. Dit kon wel, maar er werd mij verteld dat daarmee ook het recht op garantie en eventueel retourneren verdwijnt...Dat vond ik toch wel uiterst opmerkelijk.
Ok dus dan heeft een webshop alles, behalve een random wachtwoord van je....
Want naw nodig voor bestelling, email nodig voor updates van je bestelling. Dit alles 7 jaar voor belastingdienst. Dus zoveel meer dan een random wachtwoord is er niet van je, als gast... 😜
Een factuur bewaren lijkt me wat anders dan een complete database met NAW gegevens van je 'actieve' accounts.
Van bepaalde webshop software weet ik dat dit anders werkt.
Ook al maak je geen account aan, de klant gegevens worden gewoon bewaard en je wordt als klant geregistreerd. Als er dan een datalek is dan heb je hier alsnog last van.
Ik ben bang dat de meeste shops zo werken en dat er vast uitzonderingen zijn, maar die zijn op 1 hand te tellen...
Dit vroeg ik me dus ook af. In principe bewaren ze ook zonder account je gegevens 'ergens', immers er staat een factuur in hun boekhouding, de bezorger/bezorgdienst ziet in zijn app waar hij heen moet, enz. Enig idee hoe lang dit dan bewaard wordt? En of dit soort data dan ook meelekt, met dit soort lekken...

Enige voordeel is dan, dat er geen wachtwoord kan lekken.
Ik vermoed eerder dat het een verkeerde vertaling was in het heetst van de strijd.

"supplychain hack" - zoals ( en waarschijnlijk hier ) gebeurt met Solarwinds.
NYpizza is natuurlijk een US NL bedrijf, welke zijn vestigingen franchised.
En dat onderlinge systeem ( bestellingen en omzetten ) kan via een oplossing als Solarwinds lopen natuurlijk.

aannames, maar logischer dan een frisdrankleverancier, die klantdata verkrijgt

[Reactie gewijzigd door FreshMaker op 2 juni 2021 20:53]

Ik dacht dat New York pizza Nederlands is, en in Nederland is opgericht.

Overigens, zou het kunnen dat eventuele gelekte data beperkt is tot bepaalde vestigingen of regio. Wellicht dat niet alle vestigingen dezelfde leveranciers hebben.
Ik dacht dat New York Nederlands is, en is Nederland is opgericht.

Overigens, zou het kunnen dat eventuele gelekte data beperkt is tot bepaalde vestigingen of regio. Wellicht dat niet alle vestigingen dezelfde leveranciers hebben.
Daar heb je gelijk in, qua moeder-franchise en pizza's verward met domino's
De vestigingen in Nederland zijn eigendom van een Australische Ltd. (Domino's Pizza Enterprises) ;)
New York pizza is een oer-hollands bedrijf.
Wel voornamelijk franchise ja.
Volgens mij lekken mijn gegevens tegenwoordig elke week... Kan ik hier zelf iets tegen doen behalve nergens meer accounts maken of online bestellen?
Neen, praktisch gezien hebben ze toch eigenlijk ook helemaal niet je naam+achternaam nodig om een pizza door de brievenbus te schuiven?
Er is laatst iets besteld op mijn naam en adres met afterpay. Toen most ik bellen om het ongedaan te maken. Was niet veel moeite maar niet leuk natuurlijk.
Lastig omdat er steeds overvallen pizzabezorgdiensten kan er allen nog "digitaal betaald" worden online of op locatie maar accepteerde thuis bezorg niet bitcoins?
Kan zijn dat dit erg omslachtig is om te betalen omdat er niemand wil handelen om 04.00 in de nacht en een ongunstige koerswisseling krijgt waardoor je meer betaald aan transactie kosten dan bv voor de pizza .

In het preCOVID tijdperk was het wel mogelijk om even langs te gaan bij de "Turkse pizza boer" overdag en in de nachts laten bezorgen op een tijdstip door even te bellen naar de tent wanneer je zin had.

Mogelijkheden voor een pizza strippenkaart
Typisch weer dat zoiets bij een leverancier gebeurt. Zoals ik al schreef in het topic op het forum, snappen weinig bedrijven nog wat de gevolgen zijn van onvoldoende inzicht hebben/krijgen/houden in hun leveranciersketen.
Oh, men begrijpt het vaker juist heel goed, dan dat men geen bewustzijn heeft. Het is handige manier om als onderneming te voldoen aan primaire vereisten, en toch elders met data aan de slag te gaan dan wel een gespecialiseerde partij er mee aan de slag te laten gaan.
Nou, men begrijpt het juist niet vaak. Ik ben bij veel bedrijven geweest, binnen en buiten Nederland, en ook niet de kleinste. Mijn schrijven is dus over mijn ervaringen en die van mijn netwerk. Bewustzijn is tè laag, ook in de hogere lagen van organisaties. Gemak dient de mens :) Tot het fout gaat.
Kwestie van waar je vraagt. Een voormalig medewerker zit tegenwoordig bij een sectie waar men zich richt op richtlijnen data, privacy e.d. Met regelmatige hoofdpijn, van zowel - inderdaad - het niet of niet goed begrijpen, maar vrijwel altijd de bestuurskamer waar men het heel goed begrijpt.

Data blijft een graal. Wat dat aangaat is meer bewustzijn al vereist om tot signalering te komen binnen onderneming / tussen onderneming.
Ik vraag me af wat een leverancier zoekt in het klantenbestand.

De leveranciers waar ik mee werk, hebben een afgescheiden 2fa login, en zien alleen de voor hun relevante informatie.
de koffie en thee leverancier heeft niets te maken met het printpapier, en al helemaal niets met het klantenbestand waar wij mee werken.
Nou. Dat is de zoveelste keer dan m'n gegevens uitgelekt zijn.

Ik heb er nog weinig vertrouwen in dat dit ooit zal stoppen.

Gewoon nergens op in gaan als je het niet verwacht. Het is niet anders.
Je zou een soort unieke code achter moeten kunnen laten.

Als je gegevens dan (tijdelijk) nodig zijn, krijg je een informatieverzoek met wie het aanvraagt en om welke redenen.

Dan moet het echter wel strafbaar zijn om deze gegevens te onthouden.
__

Alternatief is om meerdere identiteiten aan te nemen, verschillende e-mailadressen, namen en telefoonnummers.
__

Iemand nog een suggestie?
Eerste voorstel is denk ik de beste. Vooral voor dingen versturen hebben ze niet mijn adres en telefoonnummer enzo nodig om op te slaan. Alleen op t moment van versturen.

Tweede gaat niet werken. Ik kan niet verhuizen elke keer 😉
Tweede gaat niet werken. Ik kan niet verhuizen elke keer 😉
Op het adres van de buren bestellen en naar buiten rennen als je ze ziet aankomen :)

Nee, maar adres+pizza is praktisch alles wat ze nodig zouden moeten hebben.
De rest moeten ze na levering gewoon verwijderen/anonimiseren.
Gaat niet stoppen nee, 't enige wat werkt is zelf stoppen met internet.
Klinkt absurd, maar dit is één van de vele dingen waardoor ik er steeds meer voor begin te voelen, al zal 't nog even duren voordat ik 't ook daadwerkelijk ga overwegen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True