Budget Energie-klanten konden accounts van anderen zien door verkeerde link

Woensdag kregen 1300 Budget Energie-klanten een verkeerde inloglink van de energieleverancier, waardoor zij de persoonsgegevens van andere klanten konden zien. De klanten konden onder meer telefoonnummers en bankgegevens bekijken.

De energieleverancier zegt dat na een IT-update klanten een 'verkeerde inloglink' in hun mail ontvingen. Daardoor konden die klanten 'strikt persoonlijke informatie' zien, zoals de telefoonnummers en bankgegevens. Op Twitter schrijft een gebruiker dat hij of zij met de link in kon loggen op het account van een ander, waarmee vermoedelijk alle klantgegevens in te zien waren.

De update is inmiddels teruggedraaid. Informatie over de fout wordt er niet gegeven. Klanten zijn volgens het bedrijf inmiddels ingelicht, evenals de Autoriteit Persoonsgegevens. Twee jaar geleden werd er data gestolen bij het moederbedrijf van de energieleverancier, waardoor volgens RTL Nieuws mogelijk data van 29.000 klanten van Budget Energie en NLE op straat kwam te liggen.

Door Hayte Hugo

Redacteur

Feedback • 03-02-2022 12:11117

03-02-2022 • 12:11

117 Linkedin

Lees meer

OM eist celstraf bij tweetal dat data 30.000 NLE- en Budget Energie-klanten stal Nieuws van 30 september 2022
Provider Budget halveert combikorting voor veel abonnementen Nieuws van 28 april 2022
Sportmerk Puma meldt datalek na ransomwareaanval bij leverancier Nieuws van 8 februari 2022
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval Nieuws van 26 januari 2022
Data van 'zeer kwetsbare personen' is gestolen bij aanval op Rode Kruis Nieuws van 20 januari 2022
Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org Nieuws van 19 januari 2022
Game Mania meldt datalek na ransomwareaanval - update Nieuws van 13 januari 2022
Datalek bij Máxima Medisch Centrum blijkt op straat gevonden papiertje te zijn Nieuws van 5 januari 2022
Inbrekers stelen in Brussel computer met data van gevaccineerden Nieuws van 27 december 2021
Amerikaanse Capital One-bank schikt voor 168 miljoen euro in zaak over datalek Nieuws van 24 december 2021
Datalek maakte gegevens van honderdduizenden Amigos-leden toegankelijk Nieuws van 23 december 2021
Meer producten en artikelen
Privacy Datalek Energie Energiebedrijven Energieleverancier

Reacties (117)

-Moderatie-faq
117
116
38
4
0
56
Wijzig sortering
JWL92
3 februari 2022 12:19
Misschien licht t aan mij,
Maar sws dom dat je een link krijgt die al direct inlogt toch ipv naar de inlog pagina te wijzen?
Puc van S.
@JWL923 februari 2022 12:37
magic links waarmee je (eenmalig) in kan loggen zijn echter niet nieuw en niet heel ongewoon en een stuk gebruikers gemak.

In principe zou dat ook niet te misbruiken zijn (of meer misbruikbaar dan mailadres/wachtwoord voor inloggen) omdat in je in dit gval ook toegang tot de mailbox van de gebruiker zou moeten hebben.

Zie bv voor wat meer technische uitleg: https://auth0.com/docs/au...-methods/email-magic-link

[Reactie gewijzigd door Puc van S. op 3 februari 2022 12:45]

gbbijl
@Puc van S.3 februari 2022 12:52
Behalve dan dat het mailtje wel eerst ín mijn mailbox moet komen, en SMTP veelal niet versleuteld wordt. Er zijn nog voldoende hostingpartijen die geen TLS ondersteunden voor inkomende e-mail.
Er is wel een 'TLS-Required' header tegenwoordig (https://datatracker.ietf.org/doc/html/rfc8689), maar die standaard is nog behoorlijk nieuw, en een hoop mailservers zullen dit niet ondersteunen, waardoor er nog steeds geen garantie is over de vertrouwelijkheid van e-mail. Daarbij resulteert het vooral in mailtjes die bouncen, en de vraag is of dit dat dan weer netjes afgehandeld wordt door de versturende partij.
yanic
@gbbijl3 februari 2022 13:44
Behalve dan dat het mailtje wel eerst ín mijn mailbox moet komen, en SMTP veelal niet versleuteld wordt. Er zijn nog voldoende hostingpartijen die geen TLS ondersteunden voor inkomende e-mail.
Bij ons stuurde de dokter laatst testresultaten en bijbehorende diagnose per email 8)7
goarilla
@yanic3 februari 2022 14:38
Ik snap dat dat uit beveiligings -en privacyopzicht wel wat vervelend is. Maar het is gemakkelijk, snel en als patient apprecieer je dat uiteindelijk wel. Dokters verspillen namelijk heel veel tijd met het verzamelen van en uitwisselen van kleine beetjes informatie. En zolang het niet verkeerd geaddresseerd is, denk ik dat de meeste van ons dat eigenlijk geen probleem vinden. En dat we dat maatschappelijk en pragmatisch gezien gewoon zullen gaan moeten gedogen. Je kan toch niet verwachten dat de dokter weet hoe hij bestanden moet encrypteren voor jouw publieke sleutel (Beid?/gpg) en/of ook kan garanderen dat ook het transport in zoverre mogelijk is versleuteld.

Of mis ik hier iets ?
MeltedForest
@goarilla3 februari 2022 14:54
De dokter heeft vast wel een Office account en kan via OneDrive prima bestanden delen op een veilige manier...
NBK
@MeltedForest3 februari 2022 15:21
Ik heb juist liever niet dat mijn dokter mijn info via OneDrive verstuurd. Of Google of iets anders.
Dan liever nog via mail. Dat is na 1 hop bij zijn ISP/hoster op mijn prive mailserver...
yanic
@goarilla3 februari 2022 15:11
Je mist misschien het punt dat er helemaal geen reden was om mij deze informatie te mailen?

Er zijn genoeg andere manieren om gevoelige informatie over te brengen die niet eens technisch complex zijn. Vroeger ging ik langs voor de resultaten of werd ik opgebeld als er niet veel te duiden viel.

Het is gewoon de gemakkelijkste en goedkoopste oplossing voor onze dokter.

Privacy is voor hem geen belangrijk punt blijkbaar. De recurrente voorschriften liggen ook altijd netjes ter afhaling zichtbaar aan de (vaak onbemande) receptie. Wie wil kan op 1-2-3 weten welke buren wat krijgen voorgeschreven, if one were so inclined.
Zeerob
@yanic3 februari 2022 18:45
Vroeger ging ik langs voor de resultaten of werd ik opgebeld als er niet veel te duiden viel.
Toch niet via zo'n analoge ongescrambelde telefoonlijn :o
yanic
@Zeerob3 februari 2022 18:57
;)
betwetor
@yanic4 februari 2022 10:21
Je wil niet weten door hoeveel hoepels de medische wereld moet springen om die privacy maar te waarborgen. En een arts is geen ITer. En is zelf zowat niet bezig met privacy. Dus ik snap best dat een arts die "fout" maakt. Hoe weet hij of zij nu dat via onedrive veiliger is dan email.
Ik vrees echter dat die zelfde angst voor privacy er ook voor zorgt dat het hele systeem veel inefficiënter is.
En het irritantste is het gebrek aan visie. Het ene ziekenhuis zit op systeem X het andere op systeem Y, huisartsen kunnen daar misschien wel misschien niet op inloggen. Maar zeker zit hun systeem daar niet aan gekoppeld.
Alle artsen werken met een soort CRM om alles in af te boeken, want dat hebben ze nodig voor de zorgverzekeraar. Maar omdat de zorgverzekeraar eigenlijk niets te maken heeft met de mogelijke ziekte of aandoening van de patient wordt dit op vage begrippen gedaan. Dan hebben ze ook nog hun eigen afboekcodes die niet universeel zijn. Zeg maar gedag tegen enige zinnige vorm van data analytics.
Dit moeten we als prachtig landje toch beter kunnen.
Christoxz
@goarilla3 februari 2022 16:42
Daar heb je toch gewoon Mijn Gezondheid.net voor? of wordt dat niet landelijk gebruikt?
loki504
@Christoxz3 februari 2022 17:00
Ja dat dacht ik ook. Er zijn tig van dit soort organisaties die beveiligd een mail kunnen versturen. Zelf een doorverwijzing van een tandarts naar een andere tandarts ging via een beveiligde mail.
yanic
@Christoxz3 februari 2022 17:59
Op de mijngezondheid site vind ik wel de testresultaten maar niet de analyse/diagnose van mijn huisarts.
Arhan
@goarilla3 februari 2022 22:39
Je kan toch niet verwachten dat de dokter weet hoe hij bestanden moet encrypteren voor jouw publieke sleutel (Beid?/gpg) en/of ook kan garanderen dat ook het transport in zoverre mogelijk is versleuteld.

Of mis ik hier iets ?
Je hoeft ook niet alles zelf te kunnen. Ik neem toch aan dat Huisartsen verenigd zijn en er zat beveiligde oplossingen zijn. Mijn eigen huisarts gebruikt uwhuisartsonline.nl. A) heb je 2FA en B) ook berichtenverkeer gaat via deze website. Werkt prima.
Lrrr
@goarilla4 februari 2022 17:00
De dokter hoeft dat zelf niet te weten, doorgaans nemen zij die dienstverlening af bij partijen als ZorgMail. Als patiënt krijg je dan een link in je e-mail waarmee je naar de omgeving van ZorgMail wordt geleid.
Puc van S.
@gbbijl3 februari 2022 13:00
De onveiligheid van mail blijf je natuurlijk bij bijna alle inlog methodes (behalve authenticator apps) houden.

Username/ww => wachtwoordvergeten link in de mailbox.
OTP gaat ook via mail of sms (wat nog minder secure is volgens mij?)

Let wel, het is slordig dat het fout gaat, maar de manier ansich is niet direct een slordige/onveilige manier..
JWL92
@Puc van S.3 februari 2022 15:05
Verschil is, dat je dan altijd nog een WW voor je mail moet invoeren ;)

die stap skippen ze hier dus
Puc van S.
@JWL923 februari 2022 15:09
Nee dat moet je nog steeds?
De mail komt in je mailbox, waar je moet inloggen met je ww?

Wachtwoord vergeten en je wachtwoordinvullen gaat natuurlijk nooit werken..
Puc van S.
@JWL923 februari 2022 15:20
volgens mij begrijpen we elkaar verkeerd?
Om die inloglink in je mailbox te bekijken moet je toch nog steeds het wachtwoord van je mailbox invullen?
JWL92
@Puc van S.3 februari 2022 15:24
wij elkaar, of jij t artikel?
1300 users, kregen dus een link die voor een ander bedoeld was.

had je ze naar enkel een inlog scherm gestuurd, ipv direct in te loggen, had je dit niet gehad. heel simpel.....
Puc van S.
@JWL923 februari 2022 15:25
En dan krijgt de klant totaal niet waar die om vraagt?

Voor de duidelijkheid, het gaat over de functionaliteit achter het bovenste linkje hier:
https://i.imgur.com/lmDfQzP.png

Natuurlijk stuur je de klant dan meteen door naar de ingelogde omgeving en niet naar de loginpagina, daar kwam die namelijk net vandaan..
(blijkt ook uit het gelinkte twitter bericht https://twitter.com/jd37906263/status/1488857767817494528)

[Reactie gewijzigd door Puc van S. op 3 februari 2022 15:28]

JWL92
@Puc van S.3 februari 2022 15:30
En dan krijgt de klant totaal niet waar die om vraagt?
Want om de gegevens van een ander vragen ze wel, en t is oke dit te laten zien?!?!
Natuurlijk stuur je de klant dan meteen door naar de ingelogde omgeving en niet naar de loginpagina, daar kwam die namelijk net vandaan..
Kwam daar net vandaan? hij/zij volgde toch een link uit de mailbox? of weet jij meer dan dat hier in t artikel staat?

en als t dus om die bovenste feature, gaat
dan hebbe ze die dus gewoon super brak geimplementeerd, als je een login link krijgt, dat gewoon aan een verkeerde mail gekoppeld staat....
En dan heb je dus wel een veiligheids risico aan je broek hangen.

[Reactie gewijzigd door JWL92 op 3 februari 2022 15:36]

Puc van S.
@JWL923 februari 2022 15:38
Zie het gelinkte twitterbericht en screenshot, als je via de inlogpagina een inloglink opvraagt, krijg je de link in je mailbox, vervolgens log je automatisch in.

En uiteraard is het niet oke dat je onder het account van iemand inlogged, maar dat heeft niets te maken met of het wel of geen goede manier van inloggen is.

Alle manier van inloggen zijn slecht als de implementatie slecht is, dit issue kan ook voorkomen met inlog/ww als er vervolgens op de achtergrond gegevens van andere klanten ingeladen worden.
zoals je uit t artikel op kan maken, gebruiken ze niet eens 1fa, gezien niet eens t email adress overeen hoeft te komen ;)
(puur conceptueel gezien is dit trouwens wel 2fa, je hebt iets wat je moet weten (mailadres) en wat je moet hebben (toegang tot mailbox), het gaat er hier alleen fout dat waarschijnlijk de magiclink die in de mailbox kwam aan een verkeerde user in de backend gekoppeld was)

Note, ik weet verder niet meer van wat er in het artikel staat, maar wel hoe zo'n magiclink werkt/geimplementeerd dient te worden.

[Reactie gewijzigd door Puc van S. op 3 februari 2022 15:42]

JWL92
@Puc van S.3 februari 2022 15:50
twitter toont mij geen screenshot, en zoals k al ge-edit had, blijkt t dan gewoon om een super brakke implementatie te gaan, die dus super makkelijk af te vangen was, door iig een username of wachtwoord te vragen... iig iets ter verificatie.
omdat in je in dit gval ook toegang tot de mailbox van de gebruiker zou moeten hebben.
dit was dus voor 1300 gebruikers niet nodig om gegevens van een ander te bekijken. Wat t hele punt is , dat r in deze dus wel security voor gebruikssmak is ingeleverd.
loki504
@JWL923 februari 2022 17:05
En wat als er 1300 een wachtwoord van een ander konden resetten was het resetten van een WW via de mail ook onveilig?


Met een magic link zelf is niets mis en veilig. Alleen als het verkeerd gaat zoals hier het onveilig. Maar er zijn. Tig manieren te bedenken waar iets mis kan gaan.
JWL92
@loki5043 februari 2022 17:34
Met een magic link zelf is niets mis en veilig. Alleen als het verkeerd gaat zoals hier het onveilig. Maar er zijn. Tig manieren te bedenken waar iets mis kan gaan.
Dit dus idd, maar als je t niet fatsoenlijk kan implementeren, waar begin je aan?
SunnieNL
@Puc van S.3 februari 2022 14:50
Wat wel ongewoon is dat je die in 1 klap naar al je gebruikers stuurt in plaats van op aanvraag door de gebruiker. Dat soort fouten maakt het systeem direct een stuk onveiliger en is bijna hetzelfde als plaintext je wachtwoord in een mail sturen.

Daarnaast zijn ze gewoon ook niet echt netjes. Die links zouden moeten leiden naar een wachtwoord reset, waarna je na het resetten opnieuw moet inloggen. Dat blijft een stuk veiliger omdat je dan op zijn minst nog de inlognaam moet weten en zijn bij dit soort fouten ook minder gevaarlijk omdat je na het resetten van het wachtwoord alsnog niet kan inloggen omdat jouw inlognaam niet matched met de inlognaam van wie je net het wachtwoord hebt gereset (op het moment dat dat mis gaat zoals hier)

[Reactie gewijzigd door SunnieNL op 3 februari 2022 14:51]

Puc van S.
@SunnieNL3 februari 2022 15:24
Er staat overigens nergens dat er 1300 mails in 1 klap naar alle gebruikers gestuurd is, alleen dat 1300 gebruikers een mail gekregen hebben met een foutieve link. Deze kunnen gerust allemaal door de gebruikers opgevraagd zijn. (mail ontvangen dat de maandopgave klaar is => gebruikers loggen in)

Overigens kun je bij budgetenergie ook gewoon inloggen met username/ww (waar username je mailadres is) als je wilt.

Qua netheid is het net wat je ervan verwacht, de gebruiker verwacht een link waar die meteen mee kan inloggen zodat hij niet 57 verschillende wachtwoorden moet onthouden/bijhouden in een passwordvault (wat door de meeste niet tweakers gewoonweg niet gedaan word!).

In die zin is het een veiligere manier van inloggen dan username/ww omdat die magiclinks maar een x tijd geldig zijn en verder geen persoonlijke identificatie bevatten en niet manipuleerbaar zijn.

Waar het hier inderdaad fout gaat is dat de link kennelijk niet aan de juiste persoon gekoppeld was, maar bij een verkeerde Implementatie is geen een autorisatie mechanisme veilig natuurlijk..
JWL92
@Puc van S.3 februari 2022 12:51
Niet nieuw, sure
Maar voor gemak maar veiligheid weg gooien?
Misbruik gaat t hier niet eens om... (iig nog niet) en zoals dit artikel aangeeft, toch kwetsbaarder dus, r vanuit gaande dat ze geen inlog gegevens door mailen / in plain text opslaan ..
smiba
@JWL923 februari 2022 14:06
Je gooit geen veiligheid weg, als je toegang hebt tot het email account kan je ook een password reset doen en zo toegang krijgen.

Een magic link is niets nieuws en ook niet onveiliger, mits het natuurlijk niet foutief geprogrammeerd is en je direct in andere accounts laat ;)
JWL92
@smiba3 februari 2022 14:47
wat hier dus JUIST t geval is?

en wacht ff, maar waar uit haal je op dat iedereen ook toegang heb tot andermans email? want das hier helemaal niet aan de orde...... ((sws had je dan al toegang tot de magic link gehad...EN IS HET DUS WEL KWETSBAARDER)

zoals je uit t artikel op kan maken, gebruiken ze niet eens 1fa, gezien niet eens t email adress overeen hoeft te komen ;)

[Reactie gewijzigd door JWL92 op 3 februari 2022 15:00]

smiba
@JWL923 februari 2022 20:25
Ik snap niet hoe je gedachtegang hier over werkt? Het lijkt er op dat je niet op een fundamenteel niveau snapt hoe deze login systemen werken.

Normaal als je ingelogd bent krijg je een sessie in een cookie, het enige wat er nodig is om ineens als iemand anders in te loggen is die sessie cookie overnemen. (Al is er soms nog wel IP locking op sessies, vooral bij banken ed.)

Dat er een fout in het systeem zat waardoor je als verkeerde gebruiker ingelogd heeft is compleet irrelevant, het had net zo hard kunnen zijn dat je met gebruikersnaam en wachtwoord ingelogd en dan de sessie van de verkeerde persoon kreeg.
Dit lijkt exact wat er gebeurt is in deze situatie, beetje alsof je een password reset mail krijgt van een ander account en dan zijn wachtwoord kan aanpassen. Technisch het zelfde.
JWL92
@smiba3 februari 2022 20:55
Dat er een fout in het systeem zat waardoor je als verkeerde gebruiker ingelogd heeft is compleet irrelevant,
oke...
ramonfincken
@Puc van S.3 februari 2022 19:14
Magic links hebben ook een vervaltijd per definitie toch? Dit praat deze fout niet goed overigens
surfin
@JWL923 februari 2022 12:30
Nee, het ligt niet aan jou. Dit is gewoon slordig.
Kenhas
@surfin3 februari 2022 12:42
Waarom zou dat slordig zijn?
Het is slordig als het niet de bedoeling is. Maar bij mijn gasleverancier krijg ik ook een link naar de maandelijkse factuur. Gebruik ik die link, dan ben ik ook ingelogd.

Is het zeer onverstandig. Ja
Is het slordig? Nee, want het is zo ontworpen
Christoxz
@Kenhas3 februari 2022 12:46
Het is slordig als het niet de bedoeling is.
Is het slordig? Nee, want het is zo ontworpen
Dus uiteindelijk wel slordig, want het heeft niet gewerkt zoals het is ontworpen en/of bedoeld.
JWL92
@Kenhas3 februari 2022 12:47
Niet gewoon al ingelogd of login opgeslagen in de browser?
Hier namelijk niet het geval.
surfin
@Kenhas3 februari 2022 15:06
Woord-technisch heb je een punt, laat mij het anders formuleren:
Nee het ligt niet aan jou. Dit is gewoon slordig omgaan met de beveiliging van de persoonsgegevens van klanten.
Fluttershy
@JWL923 februari 2022 12:32
Aan de andere kant, iedere instantie waarmee ik ook maar incidenteel contact heb smijt een eigen inlogscherm tegen mij aan. Het contact is soms zo incidenteel dat het niet eens de moeite is om in een password manager te klappen.

Dan is zo'n klik-hier-om-superonvelig-automatisch-in-te-loggen-link wel fijn.
Janbraam
@JWL923 februari 2022 17:21
Hey dude, je schrijft licht, maar ik zie geen duisternis ;) ...ik dacht ik meld het even.
Waswat
3 februari 2022 12:15
Dit gebeurt zo vaak. Eufy had hetzelfde probleem recentelijk waarbij klanten videobeelden zagen van andere klanten (totaal onbekenden). Probleem van saas oplossingen...

Officieel gezien is dat dan toch een datalek?
JDx
@Waswat3 februari 2022 12:17
Vroeger kon je daar zo veel leuks mee, gewoon iets in de URL aanpassen, niet qua privé gegevens, maar als tiener kon je zo wel bij veel beveiligde (bepaalde) sites :9
maniak
@JDx3 februari 2022 12:30
Herkenbaar :)
faim
@Waswat3 februari 2022 12:18
Klopt, is ook melding van gemaakt:
Klanten zijn volgens het bedrijf inmiddels ingelicht, evenals de Autoriteit Persoonsgegevens
The_Woesh
@faim3 februari 2022 12:56
Gek, ik ben ook klant. Niks gehoord. Werd er bij jou specifiek gemeld dat jou gegevens door een ander gezien zijn? of alleen een algemene melding dat het gebeurd is.
kakanox
@The_Woesh3 februari 2022 13:28
Mijn indruk uit de tekst is dat alleen de 1300 betrokken klanten een bericht gekregen hebben.
Whaa
@The_Woesh3 februari 2022 13:30
Ik heb ook geen bericht gehad, Ik zie dat maar als een positief iets, betekend hopelijk dat mijn gegevens onderhevig zijn geweest aan deze fout.
Sunrise
@Waswat3 februari 2022 12:51
Ik had onlangs een videogesprek met buitenlandse zaken, 15 minuten kunnen kijken en luisteren naar een andere klant met gevoelige informatie. Mijn microfoon stond uit dus ze hadden het niet door, ik had er ook geen erg in dat mijn microfoon uit stond. Ik zei dus "hallo ik kan jullie horen en zien" zonder effect.
SunnieNL
@Waswat3 februari 2022 14:54
Dat was wel ff een ander probleem. Daarmee logden mensen in met hun account gegevens en kregen ze gegevens te zien van iemand anders.

En is dat een datalek? ja, want ik zie gegevens van mensen die ik niet hoor te zien.

In dit geval sturen ze gewoon de inloglink van iemand anders naar je toe (en ook nog ongevraagd)
Bongoarnhem
3 februari 2022 12:25
Dit speelt al langer. Begin januari konden wij van een tiental klanten de gegevens zien mar inloggen met dezelfde link. Kennelijk pakken ze dit laks op. Ik zal de AP ook wel inlichten.
Zer0
@Bongoarnhem3 februari 2022 12:39
Het AP had je dan al eerder in moeten lichten.... vrij laks van je.
loki504
@Bongoarnhem3 februari 2022 12:44
Is nu een beetje laat AP is nu al ingelicht.
kodak
@loki5043 februari 2022 19:14
Het gaat er ook om dat de AP op tijd weet dat dit niet de eerse keer zou zijn. Dus meteen melden bij het bedrijf en AP klint nodig, maar nu melden ook.
Qlusivenl
@Bongoarnhem3 februari 2022 12:49
Waarom heb je de AP dan niet gelijk ingelicht.... Als je dit kennelijk al een maand weet?
Bongoarnhem
@Qlusivenl3 februari 2022 14:48
Is dat verplicht? Ik heb dat niet teruggevonden op de site van de AP. Maar op een mobiel zoekt het altijd al wat minder. Ik heb Budget(de provider) ingelicht destijds en voor ons was daarmee de kous af.

[Reactie gewijzigd door Bongoarnhem op 3 februari 2022 14:50]

Zer0
@Bongoarnhem3 februari 2022 16:19
Is dat verplicht?
Wettelijk niet, maar er is ook nog zoiets als een morele verplichting. Er is ook geen wettelijke plicht om 112 te bellen als je ziet dat er bij je buurman ingebroken wordt, maar moreel gezien wel.
Ik heb Budget(de provider) ingelicht destijds en voor ons was daarmee de kous af.
Als voor jouw "daarmee de kous af is", waarom nu dan opeens wel melden bij het AP?
Bongoarnhem
@Zer03 februari 2022 16:33
Omdat ze het kennelijk niet correct hebben opgepakt. Als ik met een serieuze partij zaken doe en die zegt toe het op te pakken ga ik daar vanuit. Dat ze het niet doen, en kennelijk zelf geen melding hebben gemaakt geeft aan dat wij dat verkeerd hebben ingeschat.


Mbt de morele verplichting, geldt voor mij nog steeds dat wij hadden verwacht dat het zou worden opgelost en het bedrijf zelf de melding zou doen. Nu dus de melding wel doen omdat ze dit zelf kennelijke niet hebben gedaan.
van der Berg
3 februari 2022 12:18
Wat een slordige fout van Budget Energie. Compensatie zou gepast zijn.
Freeaqingme
@van der Berg3 februari 2022 12:22
En hoe hoog zou die compensatie dan moeten zijn? Slordig is het zeker, maar doorgaans levert het niet direct schade op voor de betrokkenen. Dat maakt het lastig er een bedrag aan te hangen.
FuaZe
@Freeaqingme3 februari 2022 12:32
Mijn woonplaats, email, adres en bankgegevens zijn bij deze partij bekend.
Ik heb niet eens een contract met ze; gelukkig ben ik daar op tijd onderuit gekomen.

Ik probeer zojuist m'n gegevens te verwijderen daar ze verplicht zijn hier een mogelijkheid toe te geven.

Maar website verwijst naar chat, chat verwijst naar telefoon en telefoon verwijst naar website. En via email zijn ze niet bereikbaar...

Wat mij betreft moeten ze een flinke boete krijgen voor het losbandig omgaan met persoonsgegevens.
En daarnaast een schadevergoeding omdat ik nu waarschijnlijk weer allemaal extra (gerichte) spam krijg en mijn privacy is geschaad.

Maar inderdaad, wat is privacy waard?
Voor mij is het onbetaalbaar; maar als ze elke maand nu eens 1000eu naar mij overmaken, hebben we het nergens meer over.

[Reactie gewijzigd door FuaZe op 3 februari 2022 12:36]

Christoxz
@FuaZe3 februari 2022 12:41
Maar website verwijst naar chat, chat verwijst naar telefoon en telefoon verwijst naar website.
Dit soort dingen staan gewoon in de privacy verklaring.
8. Jouw rechten
Je hebt een aantal rechten met betrekking tot de persoonsgegevens .... .... ...
Je kunt al deze verzoeken richten aan privacy@nutsgroep.nl, waarna wij jouw verzoek zo snel mogelijk opvolgen (en uiterlijk binnen een maand).
sjettepetJR.
@Christoxz3 februari 2022 13:12
dan nog zou iemand in de chat of aan de telefoon je wel moeten kunnen vertellen waar dit staat.
Oon
@sjettepetJR.3 februari 2022 13:43
Chat en telefoon van dit soort partijen zijn doorgaans gewoon derde partij callcenters. Die hebben een kort script, een databank waar ze (per partij) wat informatie kunnen opzoeken, en veel meer dan dat kunnen ze ook niet. Sommige partijen hebben een interne tweede lijn voor moeilijker kwesties, maar dan moet je al een klacht hebben als klant of ze geen geld kunnen geven ofzo, anders dan heb je pech
Christoxz
@Oon3 februari 2022 14:59
Chat en telefoon van dit soort partijen zijn doorgaans gewoon derde partij callcenters.
Maar uiteindelijk is dat geen reden voor slechte informatie. Leuk dat dit een oorzaak kan zijn, maar dan hebben ze wat te verbeteren.

Mijn punt, dit kan nooit als urgument gebruikt worden tegen over een klant/consument.
Een klant/consument heeft niks te maken of het wel of geen derde partij is, en of hun voldoende kennis aan boord hebben.
Oon
@Christoxz3 februari 2022 15:23
Nee zeker geen goed excuus, eerder des te meer reden om ontevreden te zijn als klant. Over het algemeen zijn die callcenters ook niet een hoge kwaliteit helpdesk, maar gewoon studenten die een bijbaantje nodig hebben en dan maar telefoondienst gaan draaien.

Maar dat verklaart wel waarom @FuaZe niet geholpen wordt; de mensen die 'helpen' weten ook niet wat ze ermee moeten maar zien deze persoon niet als klant, dus geen doorverwijzing naar een andere afdeling.
watercoolertje
@FuaZe3 februari 2022 13:15
Maar inderdaad, wat is privacy waard?
Voor mij is het onbetaalbaar; maar als ze elke maand nu eens 1000eu naar mij overmaken, hebben we het nergens meer over.
Het is dus niet onbetaalbaar anders zou je er geen bedrag aan (kunnen) hangen :)

Misschien moeten ze jou een rekening sturen voor al die onnodige tijd die je van ze claimt omdat je de voorwaarden niet leest (zie reactie hierboven) :9
FuaZe
@watercoolertje3 februari 2022 14:30
Het is wel onbetaalbaar; maar voor 1000eu/maand wil ik best schikken :P

Maar ik wil juist helemaal niks meer met die partij te maken hebben; ze maken het echter voor zichzelf alleen heel moeilijk.
SasoMange
@FuaZe3 februari 2022 13:37
Het is een waardeloze tent!
Mijn energie leverancier is feit gegaan, budget energie heeft de klanten per 30 december 2020 overgenomen en ik betaal in de tussentijd 3x zoveel voor GAS en ook 3x zoveel voor stroom als in december 2021. Ik kan me best voorstellen dat GAS duurder is, maar naar mijn weten hebben we zoveel stroom dat infra het niet een aan kan en kan die verhoging echt niet plaatsen.
Daarnaast is er geen energie leverancier die je op dit moment een variabel contract aan wil bieden, want iedereen wil je graag 1 en liefst 5 jaar aan een wurgcontract binden.
Ik kan het gelukkig nog wel dragen, maar hoe doen het gezinnen die van een minima moeten leven?
surfin
@Freeaqingme3 februari 2022 12:29
Aan de andere kant is dit slordigheid zonder directe consequenties voor het bedrijf, een compensatie standaard voor dit soort praktijken zou in dat licht niet verkeerd zijn.
Trousercough
@surfin3 februari 2022 12:35
De consequentie die Budget Energie ondervind is slechte publiciteit, plus een mogelijk onderzoek van AP en afhankelijk daarvan eventuele consequenties.
Zer0
@surfin3 februari 2022 12:35
Aan de andere kant is dit slordigheid zonder directe consequenties voor het bedrijf,
Als ze nalatig zijn geweest volgt er een boete van de AP, dus consequenties zijn er wel degelijk.
surfin
@Zer03 februari 2022 16:08
Die boete volgt zeker niet altijd, volgens mij vaker niet dan wel. Nu is dat tot op zekere hoogte ook goed, maar het reduceert de impuls om het wel goed te doen ook.

Daarnaast: zo'n boete van de AP, hoe heb ik daar iets aan als mijn gegevens door nalatigheid (aanname in deze, voor de discussie) zonder mijn toestemming beschikbaar zijn geweest?

Ik zeg niet dat ik de oplossing hiervoor heb, maar de huidige situatie voelt voor mij als burger nog redelijk machteloos t.o.v. de controle over mijn persoonsgegevens. (wel een stuk beter dan 10 jaar geleden).

Het lijkt mij dat als de impuls voor bedrijven om de beveiliging van persoonsgegevens goed op orde te hebben groter is, er ook een groter deel van het budget, tijd en aandacht naartoe gaat.
Luchtbakker
@van der Berg3 februari 2022 12:38
Wat een slordige fout van Budget Energie. Compensatie zou gepast zijn.
Compensatie voor wat? Welke financiële schade hebben ze geleden door deze fout?
Ik heb persoonlijk echt een enorme hekel aan mensen zoals jij, die overal maar een sla'tje uit proberen te slaan.

We leven in een wereld waarin fouten mogelijk zijn. Dit zijn typische fouten die vervelend zijn, maar waarvan de kans bijna 0 is dat je daar iets aan overhoud. Het is niet je ID dat op straat ligt, hoogstens je adres gegevens.

Als je zo gehecht bent aan je privacy en geen fouten accepteert dan hoor je imo niet op internet.
IIIIIIIIIIII
@Luchtbakker3 februari 2022 12:50
Eerder als straf dan echt om te profiteren.
Zer0
@IIIIIIIIIIII3 februari 2022 12:53
Daar zijn boetes voor, en de AP zal die uitdelen als er sprake is van nalatigheid.
arniejj
@Luchtbakker3 februari 2022 13:37
> Als je zo gehecht bent aan je privacy en geen fouten accepteert dan hoor je imo niet op internet.

Al zou je je compleet afsluiten van het internet, dan nog staat je data bij tal van bedrijven in een database die op een of andere manier via het internet ontsloten wordt. Als daar een lek in zit ben je als niet-internetter toch het haasje.
saren
@Luchtbakker3 februari 2022 13:21
Compensatie voor wat? Welke financiële schade hebben ze geleden door deze fout?
Ik heb persoonlijk echt een enorme hekel aan mensen zoals jij, die overal maar een sla'tje uit proberen te slaan.
[...]
Als je zo gehecht bent aan je privacy en geen fouten accepteert dan hoor je imo niet op internet.
Volgens mij neem je het allemaal wat te persoonlijk, ik zou even kalmeren en tot 10 tellen.. lol
Teun!
@Luchtbakker3 februari 2022 14:31
Als je zo gehecht bent aan je privacy en geen fouten accepteert dan hoor je imo niet op internet.
Dit doet me pijn om te lezen. Alsof je je privacy maar gewoon weg moet geven of laten geven om jezelf van 1 van de levensbehoeften te voorzien (internet valt daar wat mij betreft 100% onder).
Globber
@van der Berg3 februari 2022 13:44
Maar compensatie waarvoor? Moeten ze een 10tje op je rekening storten zodat jij gecompenseerd bent voor het uurtje dat jij boos bent geweest?

Als er daadwerkelijk schade is geleden kan compensatie soms wenselijk zijn (en dan bedoel ik ook soms, dat geroep dat alles en iedereen overal compensatie voor moet krijgen is ook een beetje een dooddoener), maar er is vooralsnog geen schade. Als jouw gegevens worden misbruikt moet daar wat mee gebeuren, tot die tijd heb je recht op compensatie voor je geleden schade; precies 0,0.
surfin
@Globber3 februari 2022 16:34
Ik begrijp je frustratie ten opzichte van compensatie, het wordt te pas en te onpas geroepen.
Deel van de reden daarvan is volgens mij dat persoonsgegevens geld waard zijn voor zowel legaal als illegaal gebruik.

Budget energie bespaart geld door niet zorgvuldig genoeg om te gaan met deze gegevens. Het risico van niet zorgvuldig omgaan met de gegevens ligt echter niet alleen bij bedrijf x maar ook bij de personen van wie die gegevens zijn.
  • Budget energie maakt meer winst door minder zorgvuldig om te gaan met mijn gegevens. (Budget energie stuurt een link waarmee ik direct inlog in mijn budget energie account.)
  • Ik heb geen keuze gehad in het wel of niet selecteren van het bedrijf (Fenor, mijn vorige energieleverancier is failliet gegaan en alle klanten van Fenor zijn over naar budget energie)
Dan is het toch niet vreemd dat je verwacht dat de partij die de fout maakt dat ze naast excuses, ook een compensatie geven voor het gedeelde risico?
Of ben jij zonder meer bereid om een deel van de risico's van andere partijen te aanvaarden (dan heb ik nog wel een paar bedrijven die we op die manier kunnen beginnen 8)7 )

Daar bovenop: Als er wel schade is (spam/phishing etc.) hoe ga je dan ooit kunnen bewijzen dat het door dat specifieke lek van persoonsgegevens komt om de schade te verhalen? Er zijn tal van datalekken tegenwoordig.
FuaZe
3 februari 2022 12:27
Ik probeer via de website m'n gegevens te verwijderen (ik heb geen contract).
Die verwijst mij naar de chat.
De chat verwijst mij naar de telefoon.
De telefoon verwijst mij naar de website.
Via email zijn ze niet bereikbaar.

Daar heeft dus helemaal niemand iets aan.

Wat mij betreft niet alleen een boete voor het slordig omgaan met persoonsgevens, maar ook een voor het onmogelijk maken tot verwijderen en/of überhaupt contact met ze te krijgen (tijdens hun aangegeven contacttijden).

[Reactie gewijzigd door FuaZe op 3 februari 2022 12:38]

Christoxz
@FuaZe3 februari 2022 12:42
Dit soort dingen staan in de privacy verklaring.
8. Jouw rechten
Je hebt een aantal rechten met betrekking tot de persoonsgegevens .... .... ...
Je kunt al deze verzoeken richten aan privacy@nutsgroep.nl, waarna wij jouw verzoek zo snel mogelijk opvolgen (en uiterlijk binnen een maand).
FuaZe
@Christoxz3 februari 2022 12:45
Hmm, op hun webchat geven ze aan niet via email bereikbaar te zijn.
En in hun web FAQ geven ze aan dat deze aanvragen via de webchat/telefoon gedaan moeten worden.

Daar heb je toch helemaal niets aan?
Maar bedankt; ga direct ook een email sturen.
Christoxz
@FuaZe3 februari 2022 12:50
Ik zie het inderdaad, slordig. Heb je inderdaad niks aan. (Heb een feedback achter gelaten, ben benieuwd.)

In iedere geval een tip voor de volgende keer, om (eerst) opzoek te gaan naar de privacy verklaring, waar dit soort dingen in moeten staan.
FuaZe
@Christoxz3 februari 2022 14:35
Tja, als op hun website/FAQ iets anders staat dan in hun eigen verklaring is er toch ook geen touw meer aan vast te knopen?

Als je zoekt op hun website naar: "Account opzeggen" staat er een link om contact op te nemen. Er staat niet een link naar de privacyverklaring noch dat je moet e-mailen naar dat adres.

Bijzonder onhandig.
Zebby
@FuaZe3 februari 2022 12:52
Wat staat in de privacy verklaring moet kloppen, zo niet mag je daar wel een probleem van maken bij ze, dat is wettelijk geregeld zoals je ziet :)
robertlinke
@FuaZe3 februari 2022 13:37
je kan in uiterst geval altijd nog een brief turen
moonlander
@FuaZe3 februari 2022 13:13
Ik gok dat ze het nu ff druk hiermee hebben, dus heb geduld.
FuaZe
@moonlander3 februari 2022 14:25
De reden aan de telefoon is 'vanwege de hoge energieprijzen'.
Maar dat helpdeskpersoneel zal echt niet bezig zijn met aan hun services sleutelen of andersom...
wernert
3 februari 2022 12:19
LOL @ de typische 'social media' reactie van Budget Energie:

"Goedemidag, bedankt voor je melding!
Zal je ons een privé bericht willen sturen met je postcode + huisnummer? Dan stuur ik je de juiste link door en kan je deze link in prullenmand werpen ;) ^AM" link

Misschien gewoon MS Word gebruikt voor een mailmerge? Daar zijn dynamische hyperlinkjes wel een valkuil.

[Reactie gewijzigd door wernert op 3 februari 2022 12:21]

MazDaMan1970
@wernert3 februari 2022 13:02
Tja, de naam Budget Energie zegt alles... En als ik dit soort onprofessionele meldingen zie, dan weet je al helemaal wat voor een bedrijf het is! Valt mij trouwens mee dat dit bedrijf nog niet failliet is, aangezien de laatste maanden diverse van dit soort bedrijfjes zijn omgevallen.
moonlander
@MazDaMan19703 februari 2022 13:18
De naam zegt toch helemaal niks! Het is een prima partij, en dit soort dingen kan echt elk bedrijf overkomen. Er heeft een developer niet goed opgelet. En zulke bedrijven hebben echt geen mega groot dev team. Een foutje is dus zo gemaakt. Het mag geen excuus zijn!
Valt mij trouwens mee dat dit bedrijf nog niet failliet is, aangezien de laatste maanden diverse van dit soort bedrijfjes zijn omgevallen.
En waarom denk je dat bij dit bedrijf dan? Coolblue energie, vattenval, engie, eneco etc kunnen ook allemaal omvallen, net zo goed als die kleine bedrijfjes.
MazDaMan1970
@moonlander3 februari 2022 13:26
Het is maar wat je een prima partij noemt; ik lees hier dat diverse klanten niet eens normaal contact kunnen krijgen & als ik die kneuterige reactie van hun zo lees, dan is dit nou niet bepaald een bedrijf waar ik klant van zou willen worden. Om nog maar te zwijgen over deze gigantische fout, waarvan iedere fatsoenlijke developer/applicatiebeheerder weet dat dit soort fouten er snel in kunnen sluipen & ten alle tijden vermeden moet worden. Dus nee, dit kan niet elk bedrijf overkomen...
chopper88
@MazDaMan19703 februari 2022 13:22
Budget Energie is niet één van 'dit soort bedrijfjes'.

ENSTROGA had maar zo'n 450 klanten.
Eerder zegde Enstroga al contracten van zo'n 300 klanten eenzijdig op, omdat ze weigerden akkoord te gaan met een prijsverhoging. Daardoor zouden er nu nog maar circa 150 klanten over zijn.
https://www.transport-onl...jf-onder-hoge-gasprijzen/

Welkom Energie had 90.000 klanten.
Sinds energiebedrijf Welkom Energie failliet is gegaan, tasten 90.000 klanten in het duister.
https://radar.avrotros.nl...n-over-het-faillissement/

Budget Energie heeft 1 miljoen klanten.
https://www.budgetthuis.n...oonkamer/miljoenste-klant
SasoMange
3 februari 2022 13:51
Ik weet niet wie ze geïnformeerd hebben, maar ik heb geen e-mail van ze gezien.

Wel trouwens verhoging van de tarieven voor GAS en Stroom voor de maand februari. Gas, maar ook stroom vallen 3x duurder uit dan in december 2021🙈, ongekend!
My Tec Master
@SasoMange3 februari 2022 17:48
Hier ook niks, overigens ook geen mail van ze gehad op woensdag. Er staat ook 1300 klanten, zal wel een specifieke set zijn geweest die een mailing ontving.
SasoMange
@My Tec Master4 februari 2022 13:25
Ik ben trouwens wel van mijn tarieven geschrokken. Mijn leverancier Fenor is feit gegaan, Budget heeft de klanten overgenomen en vaste contracten ontbonden. Zit nu aan een variabel tarief (hieronder) die drie keer hoger is dan voorheen🙈

Tarieven
Leveringskosten (kWh) Tarief (incl. btw)
Stroom normaaltarief € 0,52378
Stroom daltarief € 0,38799
Energiebelasting* € 0,04452
ODE* € 0,03691
Totaal normaaltarief. € 0,60512
Totaal daltarief € 0,46941
Leveringskosten (m3) Tarief (incl. btw)
Gas € 1,57288
Energiebelasting* € 0,43950
ODE* € 0,10467
Totaal tarief gas € 2,11704
Vaste leveringskosten stroom per maand € 5,99
Vaste leveringskosten gas per maand € 5,99
Aiii
3 februari 2022 12:24
Misschien de webserver laten configureren door Budget IT? Dan krijg je dat.
Godson-2
3 februari 2022 12:41
Weer geen unit tests geschreven?
gorgi_19
@Godson-23 februari 2022 12:57
Unit tests zorgen niet voor 100% code coverage. En verminderen hooguit de kans op bepaalde fouten. Dat betekent niet dat het per definitie niet meer fout kan gaan.
Anoniem: 486069
@gorgi_193 februari 2022 13:12
Unit tests kunnen prima voor 100% code coverage zorgen, maar 100% code coverage zegt weinig over de kans op fouten..
gorgi_19
@Anoniem: 4860693 februari 2022 13:13
Beetje slecht verwoord inderdaad. Inderdaad kan je 100% krijgen. In praktijk zie je echter dat de 100% nooit gehaald wordt, en ook niet wordt aangeraden om dat te doen.

Eveneens zorgt het niet dat alle situaties afgevangen worden.
Godson-2
@gorgi_193 februari 2022 17:50
Nee, maar je moet op zijn minst bewijzen dat de happy flow wel gewoon werkt, en dat blijkt hier niet het geval te zijn geweest.
CPV
@Godson-23 februari 2022 13:15
Ahun, die kosten geld....
Keypunchie
3 februari 2022 12:42
Budget koos je, Budget krijg je!
beerse
@Keypunchie3 februari 2022 13:22
Budget heet het, er moet gewoon betaald worden. Het is wel dat een lage prijs een reden is om met deze organisatie in zee te gaan. Maar dat wil niet zeggen dat ze de goedkoopste zijn. Ze zijn gelukkig niet te goedkoop. Ze zijn niet over de kop gegaan bij het stijgen van hun inkoop prijzen de afgelopen maanden.

Overigens: Budget klinkt soms wel goedkoop maar het staat in de regel vooral voor een redelijke prijs. Als ik op jacht ga naar nieuwe gadgets, dan heb ik daar een bepaald budget voor. Dat wil zeggen: ik heb een budget gesteld, ik heb een bepaald bedrag waarvoor ik het wil. Lukt dat niet voor die prijs, dan maar niet.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee