Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij

Vattenfall meldt een datalek waarbij een werknemer van een externe partij onrechtmatig gebruik kon maken van de data van ongeveer 30.000 Nederlandse klanten. Deze gegevens zijn 'mogelijk' bij criminelen terechtgekomen die ze voor phishing kunnen gebruiken.

De werknemer had toegang tot namen, e-mailadressen, fysieke adressen, telefoonnummers 'en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatums', meldt Vattenfall. De werknemer had ook toegang tot het geschatte energieverbruik en het daadwerkelijke energieverbruik, en de energietarieven van deze klanten. Met deze informatie zouden criminelen aan meer gerichte phishing kunnen doen.

Het datalek vond plaats bij een onbenoemde externe partij, bij een digitaal archief waarin brieven werden opgeslagen. Het is niet duidelijk of de werknemer daadwerkelijk contact had met criminelen over de data. De energieleverancier zegt het datalek te hebben gemeld bij de Autoriteit Persoonsgegevens en de politie. Klanten van wie gegevens zijn ingezien, zijn ook geïnformeerd. Het bedrijf zegt extra maatregelen te hebben getroffen met de externe partij. Zo is inzage in het online archief 'aan banden gelegd' en is het proces om nieuwe werknemers aan te nemen 'onder de loep genomen'.

Vattenfall kwam het lek tegen na een analyse van de klantdatasystemen. De energieleverancier zegt extra te letten op het voorkomen van fraude met klantgegevens na een incident afgelopen oktober. Toen bleek een externe kracht die voor Vattenfalls klantenservice werkte, klantgegevens te fotograferen en te delen met een ander persoon. Die persoon probeerde met de gestolen data weer bankpassen en pincodes te stelen van voornamelijk oudere klanten. Hierbij werden de gegevens van in ieder geval 776 klanten gefotografeerd, al had de werknemer toegang tot een groep van ruim 2000 klanten.

IT-banen

Reacties (76)

Djaro 12 april 2023 18:41

De brief:
Diefstal van uw gegevens
Beste xxx

Uw gegevens zijn betrokken bij een datalek. We vinden het erg vervelend dat dit gebeurd is. Door u goed te informeren proberen we de gevolgen hiervan tot een minimum te beperken.

Wat er is gebeurd
Onze medewerkers van de klanten¬service hebben toegang tot een digitaal archief met brieven van klanten. Ze gebruiken dit archief om vragen van onze klanten te beantwoorden.

Een medewerker die via een ander bedrijf door ons is ingehuurd, heeft uw gegevens zonder goede reden uit dit archief opgehaald en waarschijnlijk ook bekeken. Het kan zijn dat uw gegevens ook gedeeld zijn met andere personen.

We hebben het datalek gemeld en aangifte gedaan
Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Ook is er aangifte van diefstal gedaan bij de politie. We helpen de politie met het onderzoek.

Om welke gegevens het gaat
De volgende gegevens zijn opgehaald en misschien bekeken: uw naam, e-mailadres, telefoon¬nummer, bankrekening¬nummer, geboorte¬datum, energie¬tarieven en energie¬verbruik. Uw bankrekening¬nummer en geboorte¬datum zijn in dit geval maar voor een deel te zien.

U loopt mogelijk risico
We willen u waarschuwen. Uw gegevens kunnen gebruikt worden om u op te lichten. U kunt gebeld worden of er wordt op een andere manier contact met u gezocht, bijvoorbeeld via WhatsApp of sms. Iemand kan dan doen alsof hij of zij een medewerker van de bank is. Met de gegevens die ze van u hebben, kunnen ze proberen om uw pincode en bankpas in handen te krijgen.

Omdat er ook gegevens over energie¬tarieven en energie¬verbruik zijn opgehaald, kan iemand zich ook voordoen als medewerker van een energie¬leverancier.

Maatregelen die we hebben genomen
We willen natuurlijk niet dat dit nog een keer gebeurt. Daarom hebben we de toegang tot het digitaal archief met brieven aangepast. Ook kijken we naar hoe we de beveiliging van het archief en het proces van het aannemen van nieuwe medewerkers kunnen verbeteren.

Ons advies om oplichting te voorkomen
We willen niet dat u slachtoffer wordt van oplichting. Als iemand contact met u opneemt en u vertrouwt het niet, zorg er dan voor dat u:
De verbinding verbreekt.
Belt met de bank of het bedrijf waar de persoon van zegt te zijn die u gebeld heeft. Controleer of het klopt dat u door hen gebeld bent.
Geen gegevens deelt. Banken en andere bedrijven vragen nooit om inloggegevens, pincode of om uw bankpas thuis te komen ophalen.

Bent u slachtoffer?
Dat vinden we erg vervelend. Twijfel niet en doe altijd aangifte bij de politie. Bel hiervoor met 0900-8844. De politie kan met uw aangifte de daders mogelijk opsporen en aanhouden.

Heeft u nog vragen?
Neem gerust contact met ons op. Een speciaal team van de klanten¬service zit voor u klaar op 020 892 01 89 of meldpunt@vattenfall.nl. Op vattenfall.nl/meldpunt vindt u meer informatie over deze datalek.

Met vriendelijke groet,
Cindy Kroon
Directeur Klanten

jpsch @Djaro • 12 april 2023 22:29

Informeren ze alleen per brief? Zelf heb ik (nog) niets gezien.

m_snel @jpsch • 12 april 2023 23:29

Wel slim je e-mail kan natuurlijk zijn overgenomen, maar beide is beter.

jpsch @m_snel • 13 april 2023 00:01

Post is altijd een dag later. Maar ik ben ook benieuwd of ik zo'n brief nog kan krijgen.

Pual77 @Djaro • 12 april 2023 19:09

Ik vind de brief in eerste instantie correct, netjes en duidelijk.

Er wordt openheid van zaken gegeven, adviezen om erger te voorkomen en verdere actie om dit in de toekomst te voorkomen.

Wat betreft wettelijke aansprakelijkheid in deze, dat is een kwestie voor de wetgever. Die moet daar inderdaad eens over nadenken hoe dit in de toekomst verder moet.

Maar ik vind de communicatie vanuit Vattenfall in ieder geval correct.

Septimamus @Pual77 • 12 april 2023 19:44

Eens. Wat ik erg waardeer is dat er vermeld wordt dat fraude hier een vervolg van kan zijn. En vervolgens ook hoe je dit herkent en wat te doen in zo'n geval. Fraude op zo'n manier gebeurt helaas nog te vaak.

kodak

Datalek
Privacy
Criminaliteit

@Djaro • 12 april 2023 19:49

Dit is een brief met een uitleg waar veel andere bedrijven nog een voorbeeld aan kunnen nemen.

Wel mogen klanten zich terecht afvragen waarom het bedrijf dan nu pas de toegang tot het digitaal archief met brieven aangepast hebben om te voorkomen dat het nog een keer zal gebeuren. Het onbevoegd inzien was namelijk te verwachten.

Hoestie @Djaro • 13 april 2023 10:45

Hoe kunnen klanten weten of hun gegevens op straat liggen.
Waar kunnen we het zien
Vr. Gr. H.H.Elenbaas.

Topeng 12 april 2023 18:41

Misschien wordt ‘t tijd om “data lekkages” op te nemen in het wetboek van strafrecht, indien ‘t verwijtbaar is. Ik begin het nu wel een beetje beu te worden.

gitaarwerk @Topeng • 12 april 2023 18:55

ik ben het wel eens hiermee. Eigenlijk zou je per benadeelde gebruiker ook een bedrag hiertegenover moeten zetten als het een lek is die had kunnen voorkomen worden. Uiteindelijk is de gebruiker/klant altijd de pineut. Een boete hiervoor komt zelden terecht bij de klant.

Frame164 @gitaarwerk • 12 april 2023 20:07

Daarvoor moet je een civiele zaak beginnen. Bij geen enkele veroordeling volgens het strafrecht worden slachtfoffers zonder meer gecompenseerd.

ETH0.1 @Frame164 • 13 april 2023 09:24

klopt dat wel? bij een strafzaak in regie van het openbaar ministerie kun je je voegen als benadeelde partij. een rechter kan dan zowel een gevangenisstraf als materiele/immateriële schadevergoeding opleggen zoals bv in deze rechtzaak: https://uitspraken.rechts...d=ECLI:NL:RBROT:2022:5593

Baps @ETH0.1 • 13 april 2023 12:01

@Frame164 stelt dan ook (terecht):

Bij geen enkele veroordeling volgens het strafrecht worden slachtfoffers zonder meer gecompenseerd.

Dat het mogelijk is een schadevergoeding te verkrijgen als benadeelde partij, betekent niet dat dit altijd het geval is, laat staan dat dit iets is wat standaard volgt uit het strafrecht. Een vordering als benadeelde partij is juridisch bezien geen aangelegenheid van het strafrecht, maar wordt soms om efficiëntie redenen wel door diezelfde rechter worden behandeld. In de praktijk zie je dat het dan vooral gaat om vergoedingen voor immateriële schade; die zijn vanwege de aard alleen maar te schatten en kunnen dan door de strafrechter worden toegewezen (zo ook in jouw voorbeeld). Gaat het echter om materiële of lastig vast te stellen schade, dan wordt vrijwel standaard doorverwezen naar de civiele rechter. Denk aan dat je als slachtoffer van mishandeling je baan verliest en als gevolg daarvan inkomensschade lijdt.

EDIT: nu ook met een snel gevonden voorbeeld: https://deeplink.rechtspr...d=ECLI:NL:RBNNE:2022:4528. Schadevergoeding door toekomstige kosten fysiotherapie moet door burgerlijk rechter worden vastgesteld in dit geval.

[Reactie gewijzigd door Baps op 24 juli 2024 21:00]

Sinester @gitaarwerk • 13 april 2023 12:15

Eigenlijk zou je per benadeelde gebruiker ook een bedrag hiertegenover moeten zetten als het een lek is die had kunnen voorkomen worden

Voor wat compenseer je ze dan precies? Als ik zulke zaken hoor is het eerste waar ik aan denk is dat burgers er weer een slaatje uit proberen te slaan

gitaarwerk @Sinester • 13 april 2023 13:41

Er wordt winst gemaakt met bedrijven waar je klant bent. Maar als er een issue is, ben je nergens voor verzekerd. Als jouw data op straat ligt, omdat jij hier zelf niet voor kiest, kun je er ook vrij weinig tegen doen. Zeker als het aankomt op derde partijen voor tracking en verkopen van jouw gegevens. Als daar een lek is, is het niet een slaatje eruit slaan, maar compensatie voor je eigen veiligheid.

Als je persoonlijk de dupe hier van word, mag je aangifte doen, en dan is de kans heel klein dat je voor die schade wordt gecompenseerd. De meeste hebben hier simpelweg niet de energie en middelen niet voor.

Dus is het gek om een compensatie naar je klanten te hebben zo gek ?

Andros @Topeng • 12 april 2023 18:45

Exact. Gewoon de kosten incl tijd/vervoer/foto's van nieuwe paspoorten, bankkaarten en andere documenten verhalen op de lekkende partij, dan gaan er misschien wat belletjes rinkelen bij de zogenaamde "verantwoordelijken". Dat moet toch wel in een wet te gieten zijn?

Cyb @Andros • 12 april 2023 18:53

Paspoort hoef je gelukkig niet aan een energieleverancier te geven.

Het beste is om bij het aanmelden zo veel mogelijk verzonnen nepgegevens in te vullen:
- Random naam
- Anonieme email service
- Nep telefoonnummer of eventueel een prepaid wegwerp nr gebruiken. Als ze contact willen opnemen, doen ze dat maar per email.
- Random geboortedatum (wel >18 invullen)

Alleen het adres en betaalgegevens zijn dan nog herleidbaar.

Meessen @Cyb • 12 april 2023 19:19

Vraag me af of je dan niet onder fraude valt. Maar die datalekken elke week beginnen wel erg uit de hand te lopen.

Ik moet maar eens gaan kijken hoe ik makkelijk email aliases kan gebruiken, elke week komt er wel weer nieuwe spam binnen en je weet nooit wie het gelekt of doorverkocht heeft.

[Reactie gewijzigd door Meessen op 24 juli 2024 21:00]

Cyb @Meessen • 12 april 2023 19:28

Geen idee hoe het juridisch in elkaar zit, maar persoonlijk vind ik het geen fraude. (Mits je niet doelbewust gegevens van anderen gaat gebruiken. Dus gebruik een verzonnen naam, ipv een naam van iemand anders.) Bij fraude probeer je een partij te benadelen uit eigen gewin, dat is in dit geval niet het geval. Je betaalt de aanbiedende partij gewoon, wat hen een financieel voordeel oplevert. Als er een partij is die de ander benadeelt, dan is het de energieleverancier zelf, die te weinig in IT security investeert, en daarmee doelbewust risico's neemt met de gegevens van klanten.

(Bij een energieleverancier heb ik dit overigens helaas nog niet geprobeerd, maar zou ik bij het switchen naar een nieuwe leverancier wel proberen. Bij een bank kan je dit overigens beter niet proberen.)

De burger moet het recht hebben om zijn eigen gegevens te mogen beschermen. Dit is momenteel de enige manier.

[Reactie gewijzigd door Cyb op 24 juli 2024 21:00]

Anoniem: 718943 @Cyb • 12 april 2023 22:51

Bewust opgeven van onjuiste gegevens bij het opzetten van een overeenkomst valt onder valsheid in geschrifte, en dat mag niet.

Cyb @Anoniem: 718943 • 13 april 2023 09:38

Bijna niemand gebruikt zijn volledige naam (inc alle voornamen) zoals opgegeven op het identiteitsbewijs bij het plaatsen van internetbestellingen. Veel mensen hebben ook een roepnaam, wat niet op het identiteitsbewijs voorkomt. Ook kan de naam per identiteitsbewijs afwijken, zo staat op het rijbewijs vaak alleen de voorletters, zonder voornamen. Er is dus in de praktijk bijna nooit sprake van één eenduidige naam. Geen enkele webshop vraagt aan de klant om exact de voornamen en achternaam te vermelden zoals dat exact voorkomt op het paspoort (i.t.t. bijv. vliegmaatschappijen en banken). En wat als je een bestelling voor iemand anders plaatst, bijv. voor je leidinggevende, ben je dan zelf verplicht om het paspoort van je baas te controleren om te kijken of hij wel alle voornamen aan je heeft doorgegeven?

De Tweakers jurist:
https://www.security.nl/p...chte+naam+te+gebruiken%3F

Het is volstrekt legaal om je naam bij een bestelling anders dan op je paspoort te schrijven. Het enige is dat je het dan ingewikkeld maakt als je achteraf wilt bewijzen dat die bestelling van jou was, aangezien dat dan niet meer met je paspoort kan. Menigeen (ikzelf ook) bestelt online met variaties op arnoud+bolcom@example.com of abonneert zich als "Arnoud Cosmopolitan Engelfriet" op diverse tijdschriften. Zie je gelijk waar anderen je gegevens vandaan kopen.

Als het gaat om belangrijke contracten/overeenkomsten, bijv. de aanschaf van een auto bij een dealer, dan is het inderdaad een ander verhaal, maar als je een bestelling plaatst voor een product op een webshop, waarbij je meteen betaalt, dan zou dat geen enkel probleem moeten zijn.

cariolive23 @Cyb • 12 april 2023 19:40

Hoe denk je contracten af te sluiten wanneer jij niet vertelt wie jij bent? Met wie doet de andere partij dan zaken? En wie is juridisch verantwoordelijk cq aansprakelijk?

Cyb @cariolive23 • 12 april 2023 19:51

Wat ik hiervoor schreef is uiteraard niet op alles van toepassing. Het gaat met name om eenvoudige zaken, zoals de koop van simpele goederen of diensten. Bij een bank ga je bijv. problemen krijgen, maar ook daar kan je het idee er achter (het minimaal verstrekken van gegevens) wel in bepaalde mate toepassen, bijv.: betrouwbare anonieme email service, voornamen vervangen door voorletter, apart telefoonnummer.

RiCkY82 @Cyb • 13 april 2023 10:46

Ik heb een collega die inderdaad elke aankoop via internet op kantoor laat leveren onder een niet-bestaande naam. Onze secretaresse weet dat het voor die collega bestemd is. Op zich wel een slimme manier om niet overal zomaar je gegevens achter te laten.

Clubbtraxx

@Cyb • 13 april 2023 15:09

Gaat allemaal niet werken, want je moet toch betalen aan je leverancier.
Veel succes met je bankrekening en een valse naam...

Cyb @Clubbtraxx • 13 april 2023 15:25

Het gaat om minimalisatie. In systemen is het betaalsysteem vaak gescheiden, of niet alle data wordt verwerkt verwerkt. Zo zal een hacker in eerste instantie een dump maken van een user tabel, en daarna pas proberen overige data te bemachtigen. Bij een gemiddelde user tabel komen bankgegevens niet in voor.

Seraoh @Meessen • 12 april 2023 20:56

Oooh, dit valt wel degelijk onder fraude... je gaat per slot van rekening een contract aan met de factuurschrijver.
Hier in Almere is Liander verantwoordelijk voor het lichtnet, het opwekken- en inwinnen van de vulling daarvan, maar ik heb als consument bijna het hele shmorgusbord aan partijen die me met alle liefde, en bijna letterlijk, geparfumeerde facturen willen sturen.

Toen ik deze woning pas betrad zat ik nog met een conflict met de Nuon, blah blah blah, enkele weken later kreeg ik in de bus een -op naam geaddresserde- melding van de Lichtnet beheerder een melding dat ik me maar beter -met spoed- kan inschrijven bij een "Leverancier".

Incorrecte gegevens opgeven is geen optie voor menig burger, aangezien de grondwettelijke voorzieningen die wij mogen genieten terugkoppelen aan de locale gemeenten.
't is een stom systeem, maar een die institutionele inertie ingelijft heeft.

Kansloze zaak @Meessen • 12 april 2023 21:36

In veel mailservers kun je een specifieke alias met * aanmaken.
dus meessen-*@domeinnaam als alias.
Wanneer je een account aanmaakt bij vattenval, dan vul je meessen-vattenval@domeinnaam in. In Kerio Connect werkt dit zo. Bij andere servers zal dat anders werken wellicht. Soms met een + ipv een *

Zer0 @Kansloze zaak • 12 april 2023 22:03

Jup, en die patronen zijn ondertussen al zo bekend dat het niet heel moeilijk is een lijst van email-adressen op te schonen en de "aliassen" eruit te halen.

Meessen @Kansloze zaak • 13 april 2023 01:20

Ik heb een tijd die van Google gebruikt waar je het met + doet, maar bijna elke dienst lijkt dat al weg te filteren

Zilverdael80 @Meessen • 13 april 2023 08:30

Ik moet maar eens gaan kijken hoe ik makkelijk email aliases kan gebruiken, elke week komt er wel weer nieuwe spam binnen en je weet nooit wie het gelekt of doorverkocht heeft.

Ik heb dit met een eigen domein naam opgelost met een catch-all email adres.
Elk bedrijf/site/actie/promotie whatever krijgt een eigen uniek mail adres.
Als ik spam/rotzooi ontvang, weet ik dus direct welk bedrijf gelekt heeft en gaat het mail adres als alias verder in een /dev/null email adres.

Kansloze zaak @Zilverdael80 • 21 april 2023 15:10

Het nadeel van een *@adres.nl is dat het altijd klopt en je dus een hele berg aan shit krijgt want het adres bestaat altijd. Vandaar dit:

In veel mailservers kun je een specifieke alias met * aanmaken.
dus meessen-*@domeinnaam als alias.
Wanneer je een account aanmaakt bij vattenval, dan vul je meessen-vattenval@domeinnaam in. In Kerio Connect werkt dit zo. Bij andere servers zal dat anders werken wellicht. Soms met een + ipv een *

Mathijs Kok @Cyb • 12 april 2023 21:13

Paspoort hoef je gelukkig niet aan een energieleverancier te geven.
Het beste is om bij het aanmelden zo veel mogelijk verzonnen nepgegevens in te vullen:

Ik had echt een smiley verwacht bij deze post. Als jij valse gegevens opgeeft waar de vrager het recht heeft dit te vragen kan je werkelijk in problemen komen. Daarnaast:

"- Anonieme email service
- Nep telefoonnummer of eventueel een prepaid wegwerp nr gebruiken. Als ze contact willen opnemen, doen ze dat maar per email."

Dus je wilt dat ze contact opnemen via een anoniem email adres? Hoe stel je je dat voor?

En dan zijn er nog tweakers die dit een plus geven.... Duidelijk is dat die gewoon niet gelezen hebben wat voor onzin er stond. Stick it to the man -> automatisch een plusje.

Cyb @Mathijs Kok • 12 april 2023 21:38

Dus je wilt dat ze contact opnemen via een anoniem email adres? Hoe stel je je dat voor?

Ligt er aan wat je daar onder verstaat. Wat ik bedoel is een service waarbij je eenvoudig en snel een emailadres kan genereren, welke vervolgens permanent emails doorstuurt naar jouw main emailadres. Dus een permanente anonieme email forwarder. Denk aan populaire services als die van AnonAddy en SimpleLogin.

Robbaman @Cyb • 13 april 2023 08:30

Dat kun je bij een energieleverancier volgens mij beter niet doen. Ik weet niet exact waar het allemaal voor gebruikt (kan) worden, maar toen wij (destijds, is nu niet meer nodig) de BTW voor onze zonnepanelen wilden terugclaimen via de belastingdienst kon dat alleen door de persoon wiens naam ook op de factuur van het energiebedrijf stond.

Alfa1970 @Cyb • 13 april 2023 19:48

Het invullen van nep gegevens is dan natuurlijk wel weer wettelijk strafbaar.

Cyb @Alfa1970 • 13 april 2023 20:59

De Tweakers jurist:
https://www.security.nl/p...chte+naam+te+gebruiken%3F

Het is volstrekt legaal om je naam bij een bestelling anders dan op je paspoort te schrijven. Het enige is dat je het dan ingewikkeld maakt als je achteraf wilt bewijzen dat die bestelling van jou was, aangezien dat dan niet meer met je paspoort kan. Menigeen (ikzelf ook) bestelt online met variaties op arnoud+bolcom@example.com of abonneert zich als "Arnoud Cosmopolitan Engelfriet" op diverse tijdschriften. Zie je gelijk waar anderen je gegevens vandaan kopen.

Alfa1970 @Cyb • 14 april 2023 06:43

Ja, leuk zo'n mening, maar je hebt gewoon te maken met:
'valsheid in geschrifte', art. 225 Strafrecht.
En dat is dus strafbaar, het heet niet voor niets strafrecht.

Cyb @Alfa1970 • 14 april 2023 09:26

https://wetten.overheid.n...e_TiteldeelXII_Artikel225
Dat zou dan moeten vallen onder

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

De Tweakers jurist gaat specifiek in op dit artikel in:
https://www.security.nl/p...s+op+een+site+invullen%3F

Er is geen algemeen verbod in de wet om valse gegevens op te geven. Natuurlijk is er het strafbare feit 'valsheid in geschrifte', art. 225 Strafrecht. Het moet dan echter gaan om geschriften die opgemaakt worden om als bewijs ergens van te dienen. Dat houdt in dat de informatie van wezenlijk belang moet zijn. Bij overbodige informatie is daar per definitie geen sprake van.

Een winkel kan wel in haar voorwaarden eisen dat alle informatie naar waarheid moet worden verstrekt, en dan op die grond een overeenkomst annuleren. Je zou wel gek zijn als winkel om te annuleren bij een onjuiste geboortedatum, maar dat terzijde.

Echter, op grond van de privacywetgeving mag een bedrijf niet meer gegevens eisen dan nodig voor de overeenkomst. Je huisadres moet je dus geven (want daar moet de bestelling heen) en je naam ook (in verband met betaling) maar je geboortedatum of geslacht is niet echt relevant. Daar mogen ze dus niet naar vragen, en doen ze dat toch dan is het toegestaan hier valse gegevens in te vullen.

Echter, een naam is meestal niet nodig voor de aflevering van goederen. Alleen het adres volstaat meestal. In dat geval is dus ook de naam overbodig.
Ook vragen webshops meestal niet naar "jouw naam" maar naar "een naam" voor op de factuur. Het doel van die naam is puur ter adressering voor bezorging. Ook voor betaling is de paspoort naam meestal niet nodig bij het opgeven van NAW gegevens. Ook is een "naam" niet eenduidig. Geen enkele webshop vraagt om de naam zoals vermeld op je paspoort. Ook kan je naam afwijken per identiteitsbewijs.

Alfa1970 @Cyb • 15 april 2023 15:47

Een factuur is o.a. een juridisch bindend bewijs dat er een aankoop is gedaan door persoon x.
Het is een officieel document met juridisch gewicht, het kan dienen als wettig bewijsmiddel in
rechtszaken. Als er onzin op zo'n document staat dan gaat dat niet.

En dat werkt twee kanten uit. Zowel voor jou als de consument is het een probleem in zoverre dat je er niet mee aan kan tonen dat jij wel of niet degene bent die het heeft aangekocht.

Het bedrijf waar je de aankoop doet is wettelijk verplicht om een sterke administratie te voeren onder diverse fraude wetgevingen.
Een administratie waarin officiële bindende documenten voorkomen waar onzin op staat geld niet als een sterke administratie, en het bedrijf kan daardoor een probleem krijgen omdat zij dan niet kunnen aantonen dat er geen fraude wordt gepleegd.

Je voordoen als iemand anders (andere naam) op een document zoals een factuur is wel degelijk een schending zoals omschreven in artikel 225 van het Strafrecht.

Dat jij vind dat het niet nodig is is jouw mening, je mag die mening hebben net zoals iedereen.
Maar dat maakt het nog niet legaal.

Dat neemt zeker niet weg dat je een punt hebt met de gegevens die niet noodzakelijk zijn voor een aankoop, zoals geslacht, dat zijn gegevens die worden misbruikt voor marketing doeleinden.

Een geboorte datum is echter wel uitlegbaar onder bepaalde omstandigheden.
Het is een vaststaand feit dat leveranciers bepaalde producten niet mogen leveren aan personen onder een bepaalde leeftijd.

Dit is echter fraude gevoelig, zelfs zonder jouw oproep om maar onzin in te vullen, en ik vraag me af of je als leverancier je hier aan wilt wagen om dergelijke producten online te leveren.

Het kan een groot een heel duur probleem voor je bedrijf worden als uit onderzoek mocht blijken dat je dat soort producten hebt geleverd aan personen onder de leeftijdsgrens.

Ik weet niet in hoeverre je jezelf kan beschermen met het feit dat in dat geval het de koper is die de fraude heeft gepleegd (valsheid in geschrifte), dat is degene die niet naar waarheid heeft gehandeld.

Persoonlijk denk ik, maar dat is mijn mening, dat de kans dat dit je beschermd als bedrijf zijnde niet groot is. Ik denk dat een aanklager zal aanvoeren dat je de correctheid van de ingevulde gegevens had moeten controleren, zoals in een winkel om een identiteitsbewijs gevraagd moet worden.
Maar dit is speculatie.

Het niet correct invullen van gegevens die op een factuur terechtkomen is echter juridisch gezien probleem voor beide partijen, en vanuit de consument bekeken zeker een schending van artikel 225.

Dat het geen onmiddellijk effect zal hebben voor je als het doet is ook nog wel te beredeneren.
Het handhaven van dergelijke regels is een vrijwel onbegonnen taak.
Maar als je op enig moment voor iets anders in aanraking met justitie komt voor wat dan ook en ze gaan graven, dan zijn dit soort zaken wel hetgeen waarmee justitie een karakterschets kan maken over hoe jij omgaat met de wet. En dat kan zeer nadelig voor je uitpakken. Maar ook dat is speculatie, hoewel er ook op tv wel enige voorbeelden zijn van programma's waar uit blijkt dat justitie in sommige gevallen een karakterschets van iemand zijn gedragingen gebruikt om de rechter tot een bepaalde veroordeling te bewegen.

Meessen @Andros • 12 april 2023 19:23

Zou inderdaad wel fijn zijn als dit makkelijk wordt, dus zonder dat je zelf een advocaat moet inschakelen. De bedrijven komen er veel te makkelijk vanaf nu.

Een tijdgebonden BSN nummer zou inmiddels ook wel handig zijn, zodat het meteen opvalt als ergens gelekte gegevens worden gebruikt.

Snowdog @Andros • 12 april 2023 19:34

Niks kosten verhalen, gewoon de leidinggevenden vervolgen en celstraf. Die paar euro's die ze moeten betalen zal ze weinig boeien. Dat hebben ze allang bespaard aan IT-kosten.

Andros @Snowdog • 13 april 2023 02:27

Paar euro's? Als er gewoon een wet is die automatisch dergelijke kosten verhaald na een datalek van x-duizend personen loopt dat aardig in de papieren, tot een faillissement aan toe. En geen enkel bedrijf wil dat riskeren.

Snowdog @Andros • 13 april 2023 12:44

Ja, net als al die boetes voor Google, Apple, Facebook, etc. voor schendingen, zijn allemaal bijna failliet. Daar gaat een wet echt geen verandering in brengen en in de praktijk blijkt dat het schenden van dit soort zaken doorgaans meer oplevert dan het kost.

Mathijs Kok @Andros • 12 april 2023 21:16

Exact. Gewoon de kosten incl tijd/vervoer/foto's van nieuwe paspoorten, bankkaarten en andere documenten verhalen op de lekkende partij, dan gaan er misschien wat belletjes rinkelen bij de zogenaamde "verantwoordelijken". Dat moet toch wel in een wet te gieten zijn?

Als jij kan aantonen dat dat nodig is, denk ik dat een rechter daar niet lang over hoeft na te denken. Die wetgeving is er al.

Ik zit er niet op te wachten een paar keer per jaar alles te moeten vervangen.

Frame164 @Topeng • 12 april 2023 20:06

Maar dan wel veroordelen ongeacht de rol. Een lakse sysadmin moet net zo goed veroordeeld kunnen worden als een IT manager die weigert budgetten voor beveiliging beschikbaar te stellen.

Polderviking

@Frame164 • 13 april 2023 14:16

Dit roepen is vrij makkelijk.

Maar ik denk dat als je mensen persoonlijk aansprakelijk gaat stellen dat je
a: moeilijk mensen gaat vinden die uberhaupt nog in die rol willen zitten, ik zou er prompt mee stoppen in elk geval, en mensen die het nog wel willen worden moeilijk duur.
b: naarstig onwerkbare systemen gaat krijgen omdat security dan boven absoluut alles gaat en er met ICT geen land meer te bezeilen gaat zijn rond usability stukken die eventueel invloed kunnenhebben op security.

Ik denk dat je er ook wel een hele kluif aan gaat hebben "laks" te kwantificeren op een manier dat je het in een wet kan gieten.
Sowieso lijkt het me in zijn algemeenheid een budplan om werknemers persoonlijk aansprakelijk te houden voor wat dan ook.
Dat doe je ook niet voor de gevolgschade van het handelen van een medewerker in bijvoorbeeld productie als je niet bikkelhard opzet kan aantonen.
Dat zijn ook niet de mensen die er van profiteren als zo'n bedrijf goed boert.

[Reactie gewijzigd door Polderviking op 24 juli 2024 21:00]

Tintel

Privacy

@Topeng • 12 april 2023 18:45

Het enige 'voordeel' wat nu duidelijk begint te worden is dat dergelijke gegevens dus gebruikt worden om de mensen zelf te benadelen cq. te bestelen. En waarom privacy dus belangrijk is.
Want nu werd het onderzoek gestart nadat duidelijk werd waarvoor de gestolen gegevens werden gebruikt.

Eerst was het "ik heb niets te verbergen" maar inmiddels weten we toch wel beter...

lighting_ @Topeng • 12 april 2023 20:16

Hoe wil je je werk doen als je niet bij gegevens kan? Screening is 1 ding. Dit soort copy gedrag ban je nooit uit. Iemand moet met de data werken. Het is een utopie. Beter is een systeem te bedenken waarbij de eigenaar bewezen wordt alvorens een actie wordt genomen. In Wetboek opnemen dat de tegenpartij voor de kosten opdraait. Kopie paspoort is een te makkelijk middel voor id fraude. Meestal gaat het ook gepaard met adres en bank rek nr. Systeem is zo lek als een mandje en daar zadel je de burger mee op.

litebyte @Topeng • 12 april 2023 21:14

JIJ hebt als bedrijf een contract met je klant. Verplicht wettelijk dat er duidelijk bij een contract wordt vermeld dat gegevens mogelijk ook met andere organisaties worden gedeeld en dat je hiermee moet instemmen. of dat nu is voor uitvoering van werk is of 'services' doet niet ter zake.

De brief is netjes maar je kan het ook lezen 'wij hebben het niet gedaan hoor' Dat klopt natuurlijk, maar Vattenfarce heeft wel de verantwoording, die hebben ze dus uit handen gegeven.

roawser @Topeng • 13 april 2023 08:41

En wat zou dan het strafbaar feit precies moeten zijn? Waaruit bestaat het vermeende verwijtbaar handelen zodanig dat er een juridisch oordeel over gegeven kan worden?

Qwilo @Topeng • 13 april 2023 09:50

Want als het in het wetboek van strafrecht in plaats van in de AVG staat, dan gaan bedrijven zich zich plotseling wel verantwoordelijk gedragen?

Als het dan al voor de rechter komt (en niet in een la op een politiebureau blijft liggen), dan legt die een boete of dwangsom op. Net als de A.P. nu kan doen.

Het stelen en verkopen van data is al een misdrijf en dat weerhoudt mensen er blijkbaar ook niet van om dat toch te doen.

dakka @Topeng • 12 april 2023 18:54

Dat is lang en breed opgenomen in de AVG.

lDDQD @dakka • 12 april 2023 19:18

Ja, alleen kan je in het strafrecht ook daadwerkelijk zelf werk van maken.

Nu ben je afhankelijk van een slecht bemande Autoriteit Persoonsgegevens die nou nog niet heel veel boetes heeft uitgeschreven.

webhalla @Topeng • 14 april 2023 01:28

Dit is al geregeld in de AvG:

Artikel 82
EU-AVG
"Recht op schadevergoeding en aansprakelijkheid"
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Recent heeft het Europese Hof van Justitie beslist dat belangenbehartigers ook collectieve zaken mogen aanspannen. Dit opent de route voor No-Cure,No-Pay juristen om collectief schadevergoedingen te eisen voor groepen slachtoffers van een datalek. Aangifte van de inbreuk op de vertrouwelijkheid bij de toezichthoudende autoriteit is natuurlijk al een overtuigend bewijs voor de civiele zaak, aangeleverd door de organisatie zelf.

jahako 12 april 2023 18:43

Wordt tijd dat er boetes opgelegd worden, iedere keer is het raak met het excuus ik kan er niets aan doen, of het is mijn schud niet en gedupeerde vissen achter het net.
Vroeger had je koppelbazen en louche uitzend buro's die voor problemen zorgden, tot de hoofdaannemer verantwoordelijk werd, geheel andere tak van zaken, maar het probleem is wel opgelost

Frame164 @jahako • 12 april 2023 20:08

En jij denkt dat als de directeur gestraft kan worden alles op de werkvloer foutloos gaat worden?

GameNympho @Frame164 • 12 april 2023 21:29

Als het DE rotte appel is, dan ja op zeker, hij kan veel opleggen en voor jou 10 anderen komt er als commentaar.

Moeten dit soort bedrijven die opslaan of afvoeren, geen certificaat hebben en documenten hebben erover, dat het juist is afgevoerd/gewiped?

Mathijs Kok @jahako • 12 april 2023 21:14

En wat is de schade die jij hebt? Want daar gaat wetgeving over.

Nornbald 12 april 2023 19:04

Hierom heb ik op mijn eigen domein een extra subdomein aangemaakt met een catch-all.(vattenfall@subdomein.domein.nl) Als ik rotzooi op dat adres binnen krijg weet ik wie mijn gegevens heeft laten slingeren. Ook kan ik in dit geval de ontvanger blokkeren in plaats van de afzender. En op deze manier kan ik nog steeds een domein delen met andere mensen.

Mathijs Kok @Nornbald • 12 april 2023 21:21

Hierom heb ik op mijn eigen domein een extra subdomein aangemaakt met een catch-all.(vattenfall@subdomein.domein.nl) Als ik rotzooi op dat adres binnen krijg weet ik wie mijn gegevens heeft laten slingeren. Ook kan ik in dit geval de ontvanger blokkeren in plaats van de afzender. En op deze manier kan ik nog steeds een domein delen met andere mensen.

En dan hebben ze je fysieke adres, telefoonnummers 'en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatums' niet?

Kom aan, denk nu even na. Daarnaast werkelijk elke spammer kan al omgaan met dit soort chatch all dingen. Hoe moeilijk denk je dat het is om van je catch-all adres je echte adres te maken? En lees jij echt alle dingen die op al je chatch-all accounts binnenkomt?

Nornbald @Mathijs Kok • 12 april 2023 21:41

Mijn ervaring is dat dit voor mij persoonlijk iets is wat haalbaar is in wat ik kan doen. Met de gegevens zoals het adres en bijvoorbeeld het telefoonnummer kost het de dief meer moeite om de persoon te bereiken. Dit terwijl je met de e-mailadressen iedereen in één keer kan bereiken. En met een grote mailing interesseert het ze echt niet wat mogelijk andere e-mailadressen zijn die achter een domein schuil gaan tenzij het om een bekend groot bedrijf gaat.

r03n_d @Mathijs Kok • 13 april 2023 09:08

Wat wel scheelt is dat als je spam-mails krijgt op vattenfall@subdomein.domein.nl dat je meteen weet dat er sprake is van een datalek bij Vattenfall; waarschijnlijk eerder dan zij de melding bij jou doen.

lDDQD @Nornbald • 12 april 2023 19:20

Ook met de gratis diensten kan je dat doen. Voor de Tweakers peanuts, maar de gemiddelde persoon niet

SkyStreaker @lDDQD • 12 april 2023 20:16

Tweakers "specialiseren" (of beter gezegd, enthousiasmeren) zich in verschillende aspecten en niet alles. Ik begrijp slechts de insteek en het idee erachter, maar wat hier daadwerkelijk gezegd wordt heb ik niet helemaal helder

Polderviking

@Nornbald • 13 april 2023 14:44

Als ik rotzooi op dat adres binnen krijg weet ik wie mijn gegevens heeft laten slingeren.

Ik doe dus dus ook. Maar ik krijg ook spam op adressen die ik nog nooit ergens voor gebruikt heb.
Dus echt rechten er aan ontlenen kan je ook niet wat soms sproeien die spammers ook maar wat.
En dat wordt alleen maar problematischer als meer mensen dit gaan doen.
Zeker als ze je gericht willen hebben kunnen ze je dus mailen op bedrijf@domein.nl en je zo gericht proberen te phishen.

Ik heb er achteraf wel een beetje spijt van, want met lijsten als haveibeenpwned is het wel een gedoetje dat je niet een vast enkel mailadres hebt.
Maargoed ik werk al zo lang op deze manier dat ik dat niet ga terugdraaien.

[Reactie gewijzigd door Polderviking op 24 juli 2024 21:00]

Birt 12 april 2023 19:14

Je kan je afvragen waardoor dit steeds vaker voorkomt. Wat bij mij steeds naar boven komt is het idee dat de bedrijven door de toenemende regeldruk zo complex zijn geworden dat ze niet meer in staat zijn om alle veranderingen met eigen systemen en personeel (op tijd) te volgen, met als gevolg dat ze deze taken wel moeten outsourcen aan gespecialiseerde derde partijen. Derde partijen worden contractueel weliswaar streng gecontroleerd, maar dat zal toch minder garantie geven.

Frame164 @Birt • 12 april 2023 20:11

Ik denk dat je beter zaken bij een gespecialiseerde externe partij kunt neerleggen dan bij medewerkers die van alles een beetje kunnen weten. Uiteindelijk is het kwestie van een goede SLA opstellen met de nodig penalties als de leverancier faalt. Zoiets kan je nooit met je eigen medewerkers opstellen. Je kunt een medewerker niet financieel straffen na een fout. Een leverancier wel.

HansMij @Frame164 • 12 april 2023 22:33

Klinkt als een D66-oplossing. Helaas is die fout dan al gemaakt en schiet je er als klant niets mee op.

haarbal 12 april 2023 19:10

Ik kreeg een mail van Vodafone met ongeveer hetzelfde erin.

drusloos 12 april 2023 20:28

Langzamerhand word ik niet goed van waar allemaal gegevens uitlekken, met mogelijk dus mijn eigen gegevens. Ik word al mies van dat bij alles en iedereen een account gemaakt moet worden met mailadres, telefoonnummer, soms ook nog adres en geboorte datum, terwijl er niet onderbouw kan worden wat de noodzaak van deze gegevens is. Ik zou veel liever hebben dat mijn adres bijvoorbeeld bij 1 dienst bekend is (bijvoorbeeld pakketbedrijf) en dan als je online dingen koopt pakketen naar dat postbedrijf gaan en die dan mijn adres hebben. Dan heb je al weet ik hoeveel minder winkels die er over beschikken. Zelfde als met afname van stroom, tv/internet.

Privacy mag wel eens echt prioriteit worden, en anders gewoon uit alle bedrijfsvoering worden gehaald met slogans als “wij geven om uw privacy”, want werkelijk geen enkel bedrijf heeft ooit om mijn privacy gegeven

BlueBird022 12 april 2023 20:42

Echt een tsunami van dit soort praktijken hè ? Hoe kan dit en hoezo kunnen zij zomaar aan de haal met jouw gegevens ?

litebyte @BlueBird022 • 12 april 2023 21:21

Bedrijf X huurt bedrijf Y in voor ICT taken, een marketing campagne/klantgegevens verwerking etc. die bedrijven maken mogelijk ook weer gebruik van derden bijv. in een of ander goedkoop dataklopland, en zelfs mogelijk die ook weer in dat land. Taadaa dan zijn er 4 of 5 schijven die toegang hebben of in bezit zijn van privacy gevoelige gegevens van bedrijf X.

De vertaalindustrie is overigens ook een mooi voorbeeld...

ieising 12 april 2023 21:19

De meeste gegevens die je moet verstrekken heeft Vattenfall niet continu nodig en hoeven ze dus ook niet op te slaan. Er zijn voldoende bronnen beschikbaar die geraadpleegd zouden kunnen worden voor je adres (jouw bank bijvoorbeeld) en je leeftijd (overheid bijvoorbeeld). Door de informatie op minder plekken op te slaan is de kans dat er gelekt wordt, minder groot. Veelal wordt er ook om meer informatie gevraagd dan nodig. Je geboortedatum om zo je leeftijd te kunnen berekenen, terwijl alleen van belang is te weten dat je 18+ bent. Enz. Dit wordt Attribute Based Credentials genoemd en wordt langzaamaan steeds vaker toegepast. Lees bv https://medium.com/codex/...a0054da8ed1917839a4690201 (ja, plug voor mijn eigen artikel, maar absoluut van toepassing.

kipppertje 13 april 2023 09:10

Dit is niet de eerste keer, vorig jaar hadden ze ook al een datalek. Dat ging toen om 25.000 huishoudens. Ze hebben dat toen geprobeerd down te playen.
https://cyberant.com/kenn...e-responsible-disclosure/

Op dit item kan niet meer gereageerd worden.

Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij

Lees meer

IT-banen

Reacties (76)

Sorteer op:

Weergave: