Datalek bij leverancier van Online.nl betrof 'mogelijk' ook naw-gegevens en IBAN

Telecomprovider Online.nl meldt aan klanten dat bij het datalek bij zijn leverancier van afgelopen mei 'mogelijk' ook namen, adresgegevens en IBAN-nummers zijn uitgelekt. Eerder zei de provider dat het alleen om e-mailadressen ging. Om hoeveel klanten het gaat, is niet duidelijk.

Meerdere tweakers zeggen op GoT een mail te hebben ontvangen van Online.nl. De provider zegt klanten meer te willen vertellen over de cyberaanval van mei en zegt dat 'mogelijk' gegevens zijn uitgelekt van de ontvanger van de mail. "Het gaat dan om naam, adresgegevens, e-mailadres en IBAN", schrijft de provider.

In juni kregen klanten ook al een mail van Online.nl over het datalek. Toen zei de provider dat het alleen om het e-mailadres zou gaan. Het is niet duidelijk waarom Online.nl nu zegt dat er mogelijk meer gegevens zijn uitgelekt.

Het lek ontstond bij Xtrasource, een dochterbedrijf van klantenservicebedrijf Webhelp. Online.nl werkt met Xtrasource samen voor de 'dienstverlening van klanten'. In mei werd Xtrasource getroffen door een cyberaanval, waarbij het bedrijf te maken had met 'verschillende storingen' die vermoedelijk bedoeld waren om ongemerkt bestanden te kunnen stelen. De politie en Autoriteit Persoonsgegevens zijn door Online.nl ingelicht.

Door Hayte Hugo

Redacteur

Feedback • 28-07-2021 14:22
97 • submitter: luchthaak

28-07-2021 • 14:22

97 Linkedin

Submitter: luchthaak

Lees meer

Datadiefstal bij Delta Mobiel en Caiway treft vermoedelijk tienduizenden klanten Nieuws van 6 december 2022
Belgische banksector werkt aan IBAN‑naamcontrole om fraude tegen te gaan Nieuws van 19 mei 2022
OM eist cel voor crimineel die na phishing geld stal via wifi van slachtoffers Nieuws van 3 december 2021
Online.nl meldt internetstoring door kabelbreuk - update Nieuws van 16 november 2021
Pensioengegevens van leden KLM-pensioenbeheerder Blue Sky Group zijn uitgelekt Nieuws van 10 augustus 2021
Online.nl waarschuwt klanten dat hun e-mailadressen mogelijk zijn uitgelekt Nieuws van 23 juni 2021
Online.nl verhoogt vdsl-prijzen maar verlaagt die voor glasvezel via KPN Nieuws van 14 mei 2020
Vivendi-dochter Canal Plus neemt Canal Digitaal, Online.nl en TV Vlaanderen over Nieuws van 28 mei 2019
Prijsverhoging glasvezelabonnementen Online.nl geldt alleen voor nieuwe klanten Nieuws van 23 juli 2018
Online.nl verhoogt prijs glasvezelabonnementen met 9,50 euro per maand Nieuws van 18 juli 2018
Meer producten en artikelen
Privacy Online.nl Cybercrime Datalek Phishing

Reacties (97)

-Moderatie-faq
97
95
67
11
0
19
Wijzig sortering
kodak
28 juli 2021 21:27
Er is maar een logische reden waarom het bedrijf nu moet aannemen dat er meer persoonsgegevens gelekt zijn: gebrek aan noodzakelijk inzicht en controle over toegang tot de persoonsgegevens.

Als een bedrijf een bewering doet dat slechts bepaalde persoonsgegevens gelekt zijn dan is het dus redelijker dat het ook meteen uitleg geeft waarom dat een acceptabelere aanname is dan aannemen dat meer persoonsgegevens gelekt zijn. Het is nu veel te makkelijk om persoonsgegevens niet onder controle te hebben, maar wat te beweren en dan pas veel later te bekennen dat het waarschijnlijk veel meer persoonsgegevens betrof. De huidige verplichte controle is waardeloos als bedrijven dat in de praktijk nauwelijks serieus nemen en pas na een lek weten wat ze verwerken en toegang tot gaven.
Niemand_Anders
@kodak29 juli 2021 10:11
Volgens mij is het vrij simpel, het lek is ontstaan bij Xtrasource.

Volgens mij moet je er dan vanuit gaan dat alle informatie waar Xtrasource toegang tot heeft ten prooi is gevallen aan de aanval, tenzij je bepaalde data expliciet kunt uitsluiten..
JJ Le Funk
28 juli 2021 14:30
gelukkig is de AP (na meer dan 2 maand?) ingelicht om de schade te beperken [/ sarcasme]
Dat lijkt me altijd een juridisch dingetje en niet iets waar een getroffen klant wat aan heeft.
Aaargh!
@JJ Le Funk28 juli 2021 15:14
De meldingsplicht is zodat bedrijven een datalek niet geheim kunnen houden, en om er consequenties aan te hangen als ze dit wel doen.
Z80
@JJ Le Funk28 juli 2021 15:24
Ok, het staat er wat rottig geschreven. Maar eigenlijk zou er moeten staan dat ze een update naar de AP hebben gedaan.
Het lek was namelijk al gemeld. Nu er mogelijk meer data/info weg is, is dit OOK gemeld.
_Galavant
@JJ Le Funk28 juli 2021 14:57
Als getroffen klant heb je nu een aanleidingspunt bij eventuele toekomstige identiteitsfraude
wica
@_Galavant28 juli 2021 15:25
Ja en dan?
Stel ik krijg naar aanleiding van deze lek te maken met identiteitsfraude. Wat kan ik dan doen?
Cis
@wica28 juli 2021 15:40
Dan zijn er geen consequenties. Elk strafbaar feit wordt geamortiseerd. Gewoon refereren naar dit lek in je bezwaar.
wica
@Cis28 juli 2021 15:52
Volgens mij, start het bij aangiften doen bij de politie en een melding te doen bij CMI
https://www.slachtofferhu...fraude/identiteitsfraude/
https://www.rvig.nl/centr.../melding-doen-bij-het-cmi

Kortom, als je te maken krijgt met identiteitsfraude, kan je gewoon door een Hell gaan.
Kan ik dan in dit geval online.nl aanklagen voor een schade vergoeding en hoe bewijs je dat het door online.nl komt en niet door de website offline.nl...

Nee, zo gemakkelijk is het niet, de klant is in dit geval altijd de klos.
OruBLMsFrl
@wica28 juli 2021 19:01
Zelfs al zou je kunnen bewijzen dat het echt door de online.nl toeleverancier problematiek komt, wat haast altijd zal mislukken. Dan is de vervolgstap wat de redelijke schadevergoeding is door online.nl, want zij hebben deze fraude niet gepleegd, of die als logisch gevolg veroorzaakt. Vaak zul je zien, een conclusie als Online.nl heeft ter goeder trouw gehandeld, haar leverancier ook, die hadden naar de stand van de techniek wel beter gekund, maar nergens zijn die zo ernstig in gebreke dat het in zichzelf verwijtbaar is, enzovoorts...

Het zal er snel op terugvoeren dat de crimineel die misbruik maakt van deze gegevens, de enige is die deze specifieke schade veroorzaakt, niet online.nl. Daarom geen specifieke, maar enkel een algemene schadevergoeding wordt toegewezen, welke geen enkele indruk maakt op Online.nl. En zo zie ik je dan zelfs met bewijs dat het kwam door online.nl, alsnog weer buiten de rechtbank op straat eindigen, met enkel wat centen genoeg om een paar kratten bier van te kopen.

[Reactie gewijzigd door OruBLMsFrl op 28 juli 2021 19:02]

pa2ra
@wica28 juli 2021 19:59
Het kan zeker zijn dat je nog door een hel gaat. In het verleden had je dat ook (enigszins vergelijkbaar meen ik) met mensen die een auto verkochten. Sommigen konden tientallen verkeersboetes op de mat krijgen. Telkens bezwaar aantekenen met een vrijwaringsbewijs. Maar na een paar maanden wordt je er wel een beetje gek van...
moonlander
@JJ Le Funk28 juli 2021 14:32
de klant heeft er nooit wat aan...
Lord Ganesha
28 juli 2021 14:41
Ik heb de mail zojuist ook ontvangen en ben in ieder geval al meer dan 8 jaar geen klant meer bij deze toko. Ik ben nu toch wel benieuwd welke informatie van mij deze klojo's zo lang opgeslagen hielden.
Upsilon
@Lord Ganesha28 juli 2021 16:00
Even schriftelijk verzoek tot inzage doen: welke gegevens ze bewaren en met welk doel, met welke organisaties de gegevens gedeeld zijn, etc.
Meer hierover via https://www.autoriteitper...cyrechten/recht-op-inzage
Blackouts
@Lord Ganesha28 juli 2021 14:51
Hier hetzelfde. Mijn abonnement is in 2014 opgezegd.

Welke informatie hebben ze zo lang van mij bewaard?
pepsiblik
@Blackouts28 juli 2021 15:57
Waarschijnlijk alles. En dat mag niet zomaar onder de AVG. Dus vraag het op. Onder de AVG zijn ze verplicht je een overzicht te geven. En daarna vragen om verwijdering.
Blackouts
@pepsiblik28 juli 2021 16:16
Done. Opvragen van je gegevens kan via e-mail adres privacyverklaring@online.nl

https://m7cdn.io/online/pdf/privacyverklaring_online.nl.pdf
Noitisnt
@Blackouts28 juli 2021 17:19
Super, dankjewel! Dat is precies de info die ik nodig had. Ik hoor ook bij degenen wiens gegevens gejat zijn, nu nog uitzoeken wélke gegevens precies.
pepsiblik
@Blackouts28 juli 2021 16:34
Mooi! Dan zullen ze er vast een mooi, snel proces voor hebben en komt het goed.
pietjansen
@Blackouts29 juli 2021 09:42
Zelfde hier. Al lang geen klant meer, toch nog gegevens bewaard blijkbaar. Verzoek om verwijdering ingediend.
Somoghi
@Lord Ganesha28 juli 2021 14:46
Ik zou zeggen bel ze en eis verwijdering van je gegevens ;)
S0epkip
@Lord Ganesha28 juli 2021 15:43
Hier precies hetzelfde! Vind het ook erg lang bewaard.
(Wel een ander adres dus, dat scheelt dan weer....)
Batch
28 juli 2021 15:43
Ik werk zelf in een administratie en kan zeggen dat het verwijderen van gegevens uit je administratie niet zo maar gaat. Als eerste heb je een fiscale bewaarplicht van 7 jaar. Daarnaast heeft het verwijderen van gegevens ingrijpende en soms onvoorziene gevolgen in je administratie, wat met duizenden databases aan elkaar verbonden is, als je met systemen als SAP of Oracle werkt. Als iets geboekt en afgehandeld is, kun je daar niet zo maar meer van af. Als het wel zou kunnen ligt fraude op de loer.
Upsilon
@Batch28 juli 2021 16:11
Dat is niet het probleem van de consument, maar van het bedrijf die deze gegevens van de consument opslaat.
Voor fiscale bewaarplicht hoef je niet bijster veel te bewaren: facturen, inkomsten, uitgaven en basisgegevens die bij deze administratie horen. :)
https://www.belastingdien...en/administratie_bewaren/
ReneDx
@Batch28 juli 2021 15:53
Alsnog kun je het basis klanten bestand netjes opruimen. Vaak komt het voor dat de klanten/gebruikers accounts gelekt worden, niet de diepere administratie (zoals facturen etc.). Deze zijn meestal lokaal of extern opgeslagen.
pepsiblik
@Batch28 juli 2021 16:02
De bewaarplicht zegt nergens dat dat digitaal moet. Bewaren kan ook op tape in een kluis, op een aparte server los van het netwerk of gewoon op papier in het archief. Daarnaast is de bewaarplicht vrij specifiek over wat er bewaard moet worden. Dat zijn over het algemeen de facturen en het grootboek. Voor de klantenadministratie geld helemaal geen bewaarplicht vanuit de belastingdienst.

Als je met Oracle en SAP werkt, hebben ze waarschijnlijk mooie oplossingen voor je om je systeem AVG compliant te maken. Ik snap dat het niet makkelijk is, maar dat is geen rede om de wet aan je laars te lappen.

[Reactie gewijzigd door pepsiblik op 28 juli 2021 16:05]

Nostordici
28 juli 2021 14:33
Ik kreeg het bericht als oud-klant. Ergens vind ik dit wel zorgelijk, want ik ben al meer dan tien jaar geen klant meer geweest. Ik mag toch hopen dat ze mijn gegevens niet zo lang bewaren, nadat ik geen klant meer ben. |:(

Het enige wat ze misschien bewaren is je e-mailadres?
iAR
@Nostordici28 juli 2021 14:40
Dit is heel zorgelijk inderdaad. Ik zou willen dat na de maximale bewaartermijn alles verwijderd wordt.
r03n_d
@iAR28 juli 2021 15:15
Er is dus geen maximale bewaartermijn.
Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
De gegevens zijn "nodig" om je te kunnen bereiken, en om je als mogelijke klant te kunnen benaderen. Met die instelling kan je als bedrijf natuurlijk zeggen dat ze onbeperkt nuttig zijn. Of dit reëel is, daarover kan je discussiëren. Zelf denk ik van niet. Voor de belastingdienst is er een bewaartermijn van 7 jaar, dus het zou prima te verdedigen zijn als dergelijke gegevens met een jaar of 7 verwijderd zouden moeten worden.
pepsiblik
@r03n_d28 juli 2021 15:34
Mwa....da's maar niet wat de wet met "doel" definieert. Als je als bedrijf zegt het nodig te hebben om je te benaderen, zal een rechter vervolgens vragen waarom ze je moeten kunnen bereiken wanneer je geen klant meer bent. Het zal niet meevallen om daar een rede voor te geven waar de rechter mee kan leven.

De manier waarop een rechter dit bekijkt is:
- wat is de rede waarom de data verzameld is? (bijvoorbeeld voor automatische incasso)
- geld die rede nog steed? Zoniet, in principe verwijderen. (rede geldt niet meer daar de zakelijke relatie verbroken is.)
- alleen wanneer er wettelijke redenen zijn, of bepaalde richtlijnen, mag je dan het relevante deel van de data behouden. (email zou behouden kunnen blijven ivm invoices uit het verleden.)

Overigens is het ongemaskeerd bewaren van bankrekeningnummers nog wel even een dingetje.
latka
@pepsiblik28 juli 2021 15:44
Zolang er geen jurisprudentie is op dit gebied zal ieder bedrijf maar wat doen. En zover ik kan achterhalen is een bankrekening nummer geen bijzonder persoonsgegeven. Deze 'ongemaskeerd' (ik neem aan: 'niet hashed') opslaan is dan logisch (net als de voornaam en achternaam) tenzij je bank een vakvereniging is.
pepsiblik
@latka28 juli 2021 15:55
Er is geen richtlijn dat je bankrekeningen niet zou mogen opslaan. Maar laat ik het anders zeggen: het onversleutelt opslaan van IBANs kan je best opvatten als slordig. En helemaal wanneer het gaat om voormalige klanten wiens data je bewaart zonder rede.
Fidelity
@r03n_d28 juli 2021 16:31
Er is dus geen maximale bewaartermijn
Niet volgens de AVG misschien. Maar conform het Europese GDPR is die er wel degelijk.
Artikel 17 GPDR - Right to erasure (‘right to be forgotten’)

Ook ik heb als een oud-klant (3+ jaar geen klant meer bij Online) een mail over het datalek ontvangen. Ik verbaas mij daar ten zeerste over.

Dit lijkt mij direct in strijd met Artikel 17, punt 1a. Ik citeer:
the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed
De reden waarom ze mijn gegevens in eerste instantie hadden is omdat ik klant bij ze was. De noodzaak voor het bewaren van mijn gegevens is weggevallen. Dus mijn gegevens hadden verwijderd moeten (of in elk geval kunnen) worden.

Edit: mailtje naar privacyverklaring@online.nl met het vriendelijke verzoek tot verwijdering :|

[Reactie gewijzigd door Fidelity op 28 juli 2021 16:46]

Zynth
@rdfeij29 juli 2021 09:03
Daarvoor is een kaal emailadres of telefoonnummer voldoende.
Naam en adres en IBAN is niet nodig, en dus niet doelmatig.

Mochten ze zeggen "ja maar we willen ook weten welke abonnementen je 5 jaar geleden had, voor een nieuwe aanbieding", dan zijn ze de grens wel naarstig aan het oprekken.

[Reactie gewijzigd door Zynth op 29 juli 2021 09:04]

Neoldian
@rdfeij29 juli 2021 09:28
Nee, dat is pertinent onwaar. Dat bedrijven dit argument gebruiken en er vooralsnog geen jurisprudentie over ligt (omdat er, zover mij bekend, nog geen rechtszaak over is geweest), betekent niet dat het toegestaan is.

De AVG/GDRP definieert 6 grondslagen waarop je gegevens mag verwerken (zie art 6.). Doordat je klant wordt kun je art 6 lid 1 a en b aanvoeren als grondslag. Beeindig je de overeenkomst, dan zijn die grondslagen dus niet meer van toepassing. Op grond van art 6 lid 1 c (en de relevante bepalingen uit de AWR) is de fiscale bewaarplicht gedekt, echter behoeven daarvoor niet jou persoonsgegevens bewaard te blijven.

Marketingdoeleinden vallen ook niet onder een verenigbaar doel, zoals gesteld in art 6 lid 4. Vooralsnog gebeurd dit zeker en omdat men in de meeste gevallen niet weet dat die gegevens nog bewaard worden (want de transparantie (art 5 lid 1a) is vaak nog ver te zoeken), komt er ook geen 'gedoe' van.
Het is eveneens niet toegestaan om deze doelbinding als opt-out in bv bedrijfsvoorwaarden op te nemen. Je mag het natuurlijk wel aan je klanten vragen (opt-in) en als ze daar toestemming voor geven dan mag dat, zolang als deze toestemming niet wordt ingetrokken.

De praktijk is zeker nog anders, dus er is nog wel wat werk aan de winkel, maar als iedereen zich blijft melden bij de AP en deze eindelijk eens hun personeel mogen gaan uitbreiden, dan komen ook deze bedrijfjes aan de beurt
r03n_d
@Fidelity29 juli 2021 08:51
the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed
Dit is gewoon het zelfde als de tekst die in de AVG staat, maar dan Engels.
Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
De discussie is dus, wat is "nodig", en wel "doel" is geoorloofd.
Neoldian
@Fidelity29 juli 2021 09:15
Helemaal correct. Even ter volledigheid: AVG is de Nederlandse vertaling van GDPR.

In Nederland is de verplichte uitvoering van de verordening opgenomen in de UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming). Hierin is tevens invulling gegeven aan de artikelen waar de AVG ruimte laat voor nationale invulling.
wica
@r03n_d28 juli 2021 15:34
Je kan als bedrijf er ook voorkiezen, dat de gegevens "giftig" zijn. Zodat je ze snel vernietigd, zodra je ze niet meer nodig hebt.
Dit voorkomt onnodige lekken .
J_van_Ekris
@r03n_d28 juli 2021 16:51
Je interpreteert doel verkeerd. "Doel" komt van doelbinding, oftewel het doel waarvoor ik als klant die gegevens verstrekt heb aan de leverancier, niet wat hij ermee van plan zou kunnen zijn. Nu is dat doel heel eindig (want overeenkomst vervuld of beeindigd), dus dan vervalt terstond ook het doel. Nu heb je als bedrijf een wettelijke bewaartermijn van al je transacties (minimaal 5 jaar volgens mij), maar daarna moet het echt allemaal weg zijn.
Zwaai Haai
@iAR28 juli 2021 14:58
Nee dat kan niet, ze moeten je gegevens bewaren om je te kunnen bereiken, voor het geval ze ooit een datalek hebben en je gegevens zijn gelekt. :+
er0mess
@Zwaai Haai28 juli 2021 15:07
Daar hebben ze geen IBAN voor nodig..
ericpronkcom
@er0mess28 juli 2021 15:34
Dat was het eerste wat ik mijzelf afvroeg bij het lezen van de titel. Wat moet een externe leverancier met de IBAN gegevens van zijn klant zijn klanten? Kan iemand mij een voorbeeld gegeven? (boekhoudsoftware?)
Patrick_Wolf
@ericpronkcom28 juli 2021 16:31
Wellicht voor fraude/kredietcontroles
Gwaihir
@ericpronkcom28 juli 2021 17:37
Volgens hun website verzorgen ze ook financiële afhandeling, incl. het draaien van de incasso's.
Bartmanz
@ericpronkcom28 juli 2021 16:53
Wellicht de helpdesk.

"Heeft u voor mij de laatste vier cijfers van uw bankrekening?"
BleghBlarg
@Bartmanz29 juli 2021 14:28
Weet niet waarom mensen dit off-topic vinden. Xtrasource, dochterbedrijf van Webhelp is gewoon een facilitair callcenter. Identiteitsbevestiging bij het geval van privé gegevens bespreken over de telefoon is gewoon nodig. Ook verwerkt zo'n callcenter je verzoek om bijvoorbeeld je rekeningnummer te wijzigen. Dat kan niet als ze niet het originele rekeningnummer hebben en de toegang om dit te veranderen.
pepsiblik
@Nostordici28 juli 2021 15:26
Onder de AVG kun je opvragen wat voor data een bedrijf over je bijhoudt en je kunt daarna vragen om verwijdering. Voor zover er geen vereisten zijn voor het vasthouden van je data, zullen ze het dan moeten verwijderen.
rdfeij
@pepsiblik28 juli 2021 20:36
Als het al 10 jaar is eerder melding maken van het niet toepassen van de AVG. Nadat in gang is pas eisen dat je gegevens verwijdert worden.
Ik heb zo'n akkefietje met NS gehad. Kreeg ineens papieren reklame op naam (Tevens sinds studententijd ruim 15 jaar geleden), en daarbij nooit meer dan een OV kaart gehad). Bij navraag welke gegevens ze dan van mij hadden moest ik mijn complete naw gegevens opgeven ter verificatie (naam, adres, telefoonnummer etc.) Ik heb ze die nooit gegevens dus geweigerd want die kunnen jullie helemaal niet weten. Infinite loop 8)7
Verder brief gestuurd met verzoek tot alle informatie en daarna verwijdering van de gegevens.
Ja hoor. Uw gegevens zijn verwijdert..... En krijg ik dan nog de gegevens die jullie van mij hadden?
Nee die zijn er niet meer....
Ben toen maar gestopt...

[Reactie gewijzigd door rdfeij op 28 juli 2021 20:37]

Gwaihir
@Nostordici28 juli 2021 17:39
Het enige wat ze misschien bewaren is je e-mailadres?
Te optimistisch. Je wordt immers al bij naam aangesproken en je klantnummer staat ook nog in de footer van de mail..
John Doos
28 juli 2021 14:30
Vreemd.
Ik ben klant geweest van vorig jaar juli tot dit jaar juli. maar heb hier 0 berichtgeving over ontvangen van ze. Ben door die plotselinge storingen (meerdere keren per avond) overgestapt naar een concurrent over een andere kabel :+ en die vervroegd in gebruik genomen.

Heeft elke (destijdse)klant hierover bericht moeten krijgen?

[Reactie gewijzigd door John Doos op 28 juli 2021 14:31]

batjes
@John Doos28 juli 2021 15:11
Ik ben al jaren klant bij Online.nl
Vorige keer geen bericht.
Deze keer geen bericht.

Maar zullen ze wel naar mijn @online.nl email adres hebben gestuurd die ik nooit check. Vanavond maar eens even daar op inloggen, als ik het wachtwoord nog weet.
lordsnow
@batjes28 juli 2021 16:14
Alle berichten naar het hoofd e-mailadres zouden ook ge-CC'ed moeten worden naar het contacte-mailadres wat je opgegeven hebt.
batjes
@lordsnow28 juli 2021 16:30
Ze hebben in het verleden ook gewoon mail gestuurd naar mijn email. Maar dit jaar nog helemaal niets van ze ontvangen. Voor de zekerheid als ik thuis ben toch even kijken of ik nog kan inloggen op mijn @online.nl mail.
CH4OS
@John Doos28 juli 2021 14:36
Ik kreeg hier afgelopen maandag e-mail over van Online.nl (ik ben ooit lang geleden voordat het überhaupt Online.nl was) klant geweest voor een e-maildienst. Eerdere berichten niet gezien, anders dan berichten in Mei toen ik nav het mailtje dat ik dus kreeg ging zoeken. Het verraste mij dus wel.
Ik neem aan dat elke klant hiervan bericht heeft moeten krijgen.
Megamind
@John Doos28 juli 2021 15:43
Ik was klant voor het laatst in 2012! Blijkbaar houden ze niet van opruimen.
Noitisnt
@John Doos28 juli 2021 17:16
Ik heb er vandaag bericht over gehad, ongeveer twee jaar geleden van Online overgestapt naar een andere provider.

Je kan niet emailen met Online om te vragen wélke gegevens er nu precies gestolen zijn, baggerservice.
Jerrythafast
28 juli 2021 14:34
Het lek is waarschijnlijk groter gebleken dan gedacht. Afgelopen juni heb ik namelijk géén mail gehad en nu ineens wel. Het ziet ernaar uit dat ze sindsdien nog meer e-mailadressen en "mogelijk" andere informatie in de systemen gevonden die toen óók zijn buitgemaakt. Nu zijn ze dus ook deze getroffenen actief aan het informeren.

Het aantal getroffenen is waarschijnlijk enorm. Het verbaasde me eigenlijk dat ze mijn e-mailadres überhaupt nog ergens hebben gevonden, want ik ben in augustus al 9 jaar geen klant meer bij Online. Zou me dus niet verbazen als het datalek alle klanten van de afgelopen 10+ jaar omvat :X

Dat geeft te denken: is het eigenlijk verplicht/toegestaan om (persoons)gegevens van oud-klanten een decennium te bewaren?
carpcatcher
@Jerrythafast28 juli 2021 14:45
2009 ben ik zelf overgestapt, 2014 m'n bedrijf (ander adres / email) maar heb op beide niets ontvangen..
Bilbo.Balings
@Jerrythafast28 juli 2021 16:05
Idem, al meer dan negen jaar geen klant meer en toch mail gekregen dat mijn gegevens buit zijn gemaakt. Het zal aan mij liggen maar ik snap niet goed waarom mijn gegevens nog in hun systemen stond.
StructuurE8
@Jerrythafast28 juli 2021 14:40
Minimaal vijf jaar toch? Ivm Belastingdienst?
pk128934
@StructuurE828 juli 2021 15:13
7 jaar om precies te zijn.
wica
@pk12893428 juli 2021 15:35
En dat mag best op een tape in een kluis liggen. Hoeft helemaal niet online te benaderen te zijn.
pk128934
@wica28 juli 2021 15:38
Helemaal waar. Ik bewaar mijn klantgegevens ook offline. Kleine moeite. Natuurlijk een beetje afhankelijk van de business. Maar oud klanten van een ISP kunnen ook prima offline in een archief.
pepsiblik
@wica28 juli 2021 15:56
Sterker nog: op papier in het archiefhok.
kftnl
@pk12893428 juli 2021 18:01
Voor telecommunicatiediensten 10 jaar
KuroHana
28 juli 2021 14:48
Hoe komt het dat ik de laatste tijd tog zo veel data leks ziet in nederland,
is er eigenlijk nog wel een veilige website in nederland ?
Ik vind dat nederlandse bedrijven zelfs de staat zelf slordig omgaan met persoons gegevens ,

Waar is onze privacy eigenlijk ?
The__Dude
@KuroHana28 juli 2021 15:18
De reden is meervoudig. Er is meer aandacht voor sinds de AVG zijn intrede heeft gedaan aan de ene kant, en aan de andere kant zien criminelen meer en meer de waarde van data die ze bijvoorbeeld kunnen gebruiken voor creditcard- of identiteitsfraude.

En ja, als je gegevens achterlaat bij welke organisatie dan ook, dan is dat uiteindelijk nooit 100 procent veilig. Wat je hier zelf aan kunt doen:
  • Gebruik op elke website een uniek wachtwoord.
  • Activeer waar mogelijk 2-FA.
  • Vraag aan bedrijven waar je geen klant meer van bent, om gegevens te verwijderen die ze niet langer nodig hebben ten behoeve van bijvoorbeeld de belastingdienst.
KuroHana
@The__Dude28 juli 2021 16:00
Ik gebruik 2fa met passphase in bitwarden, misschien een fout on de fa codes via microsoft authericator te gebruiken, en meeste winkels koop ik regelmatig dus ja, liefts blijf ik anoniem maar dat werk niet als je bank gegevens moet geven zo als paypal, credit card exc…
Mark de Vaal
@The__Dude28 juli 2021 22:13
Dit werkt toch ook niet. Jij als klant verschillende wachtwoorden dmv wachtwoord generators + 2FA en je leverancier jou gegevens opslaan met wachtwoord: 123456. Maw jij en ik kunnen alles op orde hebben, maar waar jij en ik onze gegevens achter laten opslaan niet.
The__Dude
@Mark de Vaal29 juli 2021 07:06
Fair enough, ik doelde vooral op wat je zelf kunt doen om te voorkomen dat accounts bij andere bedrijven worden misbruikt wanneer je gegevens uitlekken. Afgezien daarvan ben je inderdaad geheel afhankelijk van het bedrijf waar je klant bent.
wica
@KuroHana28 juli 2021 15:37
Waar is onze privacy eigenlijk ?
Nergens, op een gegeven moment liggen er zo veel gegevens op straat, dat je geen privacy meer hebt. Als we dat punt niet allang behaalt hebben.
ReneDx
28 juli 2021 15:55
Tijd voor een maximum bewaarplicht van algemene klantgegevens. Ik zou het echt waarderen mocht Tweakers hier iets in willen gaan betekenen, een petitie starten en op de site knallen. Weet ik veel.

De klant gegevens op PDF facturen in het archief staan (bewaarplicht), is geen reden om deze in databases te blijven bewaren met alle extra informatie zoals IBANs, e-mail en welke schoenmaat ik heb.
pepsiblik
@ReneDx28 juli 2021 16:40
Dat kan niet. De duur varieert nogal afhankelijk waarom je gegevens bewaard. Dus zou je de uiterste/langste tijd moeten gaan gebruiken. Zoals het nu geformuleerd is, moet je gegevens verwijderen zo gauw de rede om ze te hebben niet meer geldig is. Dus bedrijven kunnen het dan niet 'oprekken'.

[Reactie gewijzigd door pepsiblik op 28 juli 2021 16:44]

J_van_Ekris
@pepsiblik28 juli 2021 16:57
Zoals het nu geformuleerd is, moet je gegevens verwijderen zo gauw de rede om ze te hebben niet meer geldig is. Dus bedrijven kunnen het dan niet 'oprekken'.
Wat ook de exacte intentie van de AVG is: de overeenkomst is uitgevoerd en zodra de fiscale bewaartermijn voorbij is weggooien die data. Dataminimalisatie gaat ook in die dimensie op....
Tazzios
28 juli 2021 16:21
We moeten er denk maar een standaard handeling maken om een verzoek tot verwijdering te doen nadat we een dienst beëindigen om dit soort lekken te beperken. ;(
J_van_Ekris
@Tazzios28 juli 2021 16:53
Heeft geen zin, want men moet het 5 jaar bewaren vanwege wettelijke eisen (belastingdienst e.a). Dus je moet ze vijf jaar na data herinneren.
Tazzios
@J_van_Ekris28 juli 2021 17:07
Zal deels aan het systeem liggen, maar zelfs indien het 1 integraal systeem is (webshop boekhouding, marketing) verwacht ik dat de verstuurde facturen als PDF worden opgeslagen om de bewaarplicht van de belastingdienst te waarborgen anders ben je wel heel afhankelijk van het 1 systeem.

Bij bedrijven die een apart boekhouding software hebben is het nog makkelijker. Mijn account hoeft dan verder niet bewaart te worden, verzonden factuur is voldoende. In de marketing mailings oude klanten hoef ik ook niet meer te staan.
FrankHe
@Tazzios28 juli 2021 22:59
Inderdaad dat, een kopie factuur is voldoende voor de belastingdienst. De rest van de klantengegevens is totaal niet relevant en moet gewoon tijdig verwijderd worden. Het had bij Online.nl waarschijnlijk een hoop gescheeld als ze tijdig de bestanden hadden opgeschoond. Nu zijn 'hele' oude klanten ook de pineut. Ook ik ben al ruim vijf jaar geen klant meer en verwacht dat ik volledig uit de systemen verdwenen ben. Maar heb dus ook de e-mail ontvangen waaruit ik concludeer dat mijn gegevens daar nog steeds in het systeem staan.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee