Ranzijn Dierenarts meldt datalek persoons- en dierengegevens na cyberaanval

De Nederlandse keten Ranzijn Dierenarts meldt dat hij slachtoffer geworden is van een cyberaanval waarbij persoons- en dierengegevens zijn buitgemaakt. De dierenarts heeft getroffenen ingelicht middels een e-mail, die Tweakers heeft kunnen inzien.

Meerdere tweakers melden dat zij een e-mail hebben ontvangen van de dierenarts met daarin details over het datalek. Zo meldt het bedrijf dat het doelwit is geworden van een cyberaanval 'door een criminele groep'. Bij die aanval hebben de criminelen toegang verkregen tot een intern systeem, waarbij namen, adresgegevens, e-mailadressen, correspondentie en informatie over huisdieren buitgemaakt kunnen zijn. Het bedrijf benadrukt dat er geen betaalgegevens of andere financiële informatie is gelekt. Ranzijn Dierenarts heeft een melding gemaakt bij de Autoriteit Persoonsgegevens en heeft naar eigen zeggen externe experts ingeschakeld.

Ranzijn tuin & dier is een keten van tuinwinkels en dierenspeciaalzaken, waarbij in de meeste gevallen ook een dierenartspraktijk, trimsalon en hondenwasstraat aanwezig is. Voor zover bekend zijn alleen klanten van de dierenartspraktijk slachtoffer geworden van het datalek.

Reacties (82)

Donstil 16 mei 2024 22:19

Beste klant van Ranzijn Dierenarts,

We willen je op de hoogte brengen van een recente gebeurtenis met betrekking tot de veiligheid van gegevens en persoonlijke informatie bij Ranzijn Dierenarts. Ondanks onze strenge veiligheidsmaatregelen zijn we helaas het doelwit geweest van een cyberaanval door een criminele groep. Deze aanval heeft mogelijk geleid tot ongeautoriseerde toegang tot jouw gegevens. We begrijpen de zorg die dit kan veroorzaken en willen je verzekeren dat we direct actie hebben ondernomen om de impact te minimaliseren en jouw privacy te beschermen. Wij leggen je graag uit welke maatregelen we hebben genomen, om welke gegevens het gaat en wat je zelf kunt doen om te voorkomen dat je slachtoffer wordt van een phishing poging.

Welke maatregelen hebben we getroffen?

Onze eerste prioriteit was om de getroffen systemen af te sluiten, externe experts op het gebied van cyberbeveiliging in te schakelen en ons responsplan in werking te stellen. Omdat er onbedoeld persoonlijke informatie terecht is gekomen bij personen die deze informatie niet mochten krijgen, hebben wij meteen een melding gedaan van dit datalek bij de Autoriteit Persoonsgegevens. We werken hard om dit probleem aan te pakken en hebben extra maatregelen getroffen om toekomstige incidenten te voorkomen.

Om welke gegevens gaat het?

Ondanks de maatregelen die we hebben getroffen, is uit ons onderzoek gebleken dat jouw gegevens mogelijk in handen zijn gekomen van onbevoegde personen. Dit omvat mogelijk naam, adresgegevens, e-mailadres, correspondentie en/of informatie over jouw huisdier(en). De datalek heeft geen betrekking op data als financiële transacties/bank- en creditcardgegevens. Je hoeft je daarom geen zorgen te maken dat die gegevens in verkeerde handen zijn gekomen.

Wat zijn de risico's voor mij en wat kan ik doen om mijzelf te beschermen?

We begrijpen dat dit verontrustend kan zijn en willen je waarschuwen om alert te zijn op phishing e-mails of ander misbruik van jouw gegevens. We raden je aan om inkomende e-mails zorgvuldig te controleren, vooral op verdachte links of bijlagen en alert te zijn op ongebruikelijke e-mails met spelfouten of vreemde afzenders. Wees voorzichtig met verzoeken om persoonlijke informatie via e-mail, sms of telefoon, zelfs als het lijkt alsof het van Ranzijn Dierenarts afkomstig is.

Het spijt ons

De persoonsgegevens hadden natuurlijk niet in verkeerde handen mogen komen. We begrijpen dat dit voor ongemak kan zorgen en bieden onze oprechte excuses aan voor het ontstane ongemak.

Hoe kan ik contact opnemen?

Wij kunnen ons voorstellen dat je met vragen zit. Als je vragen hebt of als je nadelige gevolgen ondervindt, kan je contact met ons opnemen via AVG@ranzijn.nl. We zijn hier om je te ondersteunen en zullen ons blijven inzetten om jouw gegevens te beschermen en onze beveiligingsmaatregelen te verbeteren

We hopen dat deze informatie je geruststelt en verzekert dat we alles in het werk stellen om jouw gegevens te beschermen. Ranzijn Dierenarts zal blijven streven naar verbetering van onze beveiligingsmaatregelen.
Met vriendelijke groet,

David Zwanenburg

Algemeen Directeur

Wij kregen deze mail vanmorgen pas, rijkelijk laat maar ze noemen het zelf “recent”.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

Gamebuster @Donstil • 16 mei 2024 22:41

2 maanden is wmb gewoon recent hoor. Je zoekt eerst uit wat er gebeurd is, daarna wat je wettelijk verplicht bent, dan check je alles nog even, en dan ga je het nog melden. Dan heb je nog 2 weken vakantie ertussen en poef, 2 maanden verder.

Ook is er een kans dat je er pas achteraf achter komt.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 16:28]

Donstil @Gamebuster • 16 mei 2024 22:43

2 maanden is wmb gewoon recent hoor. Je zoekt eerst uit wat er gebeurd is, daarna wat je wettelijk verplicht bent, dan check je alles nog even, en dan ga je het nog melden. Dan heb je nog 2 weken vakantie ertussen en poef, 2 maanden verder.

Vakantie? De privacy van je klanten lijkt mij wel wat belangrijker dan een vakantie.

Al met al had dit echt niet zo lang hoeven duren.

Frame164 @Donstil • 16 mei 2024 22:57

Jij komt terug van vakantie als zoiets op je werk is gebeurd (als het iets betreft waar jij verantwoordelijk voor vent)?

Donstil @Frame164 • 16 mei 2024 23:03

Jij komt terug van vakantie als zoiets op je werk is gebeurd (als het iets betreft waar jij verantwoordelijk voor vent)?

Bij een tent als Ranzijn is er echt niet maar 1 iemand die een mailtje naar de klanten kan sturen hoor.

Dat is gewoon een IT team die dat ontdekken, ook tijdens de fictieve vakanties, en dan de juridische afdeling (of partner als die extern is) inschakelen.

Heel erg inzoomen op het woordje recent lijkt mij hier niet nodig verder, ik vind het als klant van Ranzijn rijkelijk laat, wat andere daarvan vinden boeit mij eigenlijk niet zoveel.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

Gamebuster @Donstil • 17 mei 2024 07:33

Dat is gewoon een IT team die dat ontdekken, ook tijdens de fictieve vakanties, en dan de juridische afdeling (of partner als die extern is) inschakelen.

Ik vraag me af of je uberhaupt ooit betrokken bent geweest met zo'n proces. Ik nl. wel, en 2 maanden is zo voorbij. Het proces gaat door alle lagen van alle betrokken bedrijfjes & afdelingen heen en het is continue wachten en uitzoeken.

Ook is er veel grijs gebied, onduidelijkheid en tegenspraak in de documentatie van de AP en overheid. Het vereist echt wat research om uit te zoeken wat je eigenlijk exact wettelijk verplicht bent om te doen.

Parallel loopt het bedrijf gewoon door. Je gooit niet al het werk neer om zo snel mogelijk zo'n lek te melden. En waarom? Voor een paar moraalridders op social media?

[Reactie gewijzigd door Gamebuster op 22 juli 2024 16:28]

Donstil @Gamebuster • 17 mei 2024 07:42

[...]

Ik vraag me af of je uberhaupt ooit betrokken bent geweest met zo'n proces. Ik nl. wel, en 2 maanden is zo voorbij. Het proces gaat door alle lagen van alle betrokken bedrijfjes & afdelingen heen en het is continue wachten en uitzoeken.

Absoluut, meermaals betrokken geweest bij zulke zaken en juist daarom verbaast 2 maanden mij enorm, niet alleen als klant.

Tuurlijk het melden is niet prioriteit 1 en er moet veel uitgezocht worden maar twee maanden is echt nergens voor nodig.

En waarom? Voor een paar moraalridders op social media?

Nee voor de bewustwording bij je klanten.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

mjtdevries @Donstil • 17 mei 2024 10:01

Wat een onzin reactie. Je snapt duidelijk totaal niet waardoor je snel 2 maanden kwijt bent.

De termijn vanaf het constateren van het datalek tot het melden bij de AP is heel kort. (<72 hr)

Maar vervolgens moet je gaan bepalen hoe groot het datalek is. Welke gegevens wel of niet mogelijk ingezien zijn.
Dat is dus niet alleen gegevens die versleuteld zijn. Ook de gegevens waaraan niks te zien is kunnen ingezien zijn.
Maar tegelijkertijd wil je ook niet mensen nodeloos ongerust maken. Je wilt alleen een mail sturen aan mensen wiens gegevens daadwerkelijk gelekt zijn.

En afhankelijk van de situatie kan het uitzoeken daarvan heel makkelijk twee maanden in beslag nemen.

Donstil @mjtdevries • 17 mei 2024 10:26

Maar tegelijkertijd wil je ook niet mensen nodeloos ongerust maken. Je wilt alleen een mail sturen aan mensen wiens gegevens daadwerkelijk gelekt zijn.

Wat ze overigens niet gedaan hebben, ook klanten die lang na het datalek klant geworden zijn hebben de mail gekregen en zijn nu juist wel onnodig ongerust.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

mjtdevries @Donstil • 17 mei 2024 10:57

Dat zal je Ranzijn dan moeten vragen.
Wellicht constateerden ze na 2 maanden dat ze dat niet nauwkeurig kunnen bepalen en hebben ze dan maar besloten om iedereen te mailen.

Donstil @mjtdevries • 17 mei 2024 11:05

Dat zal je Ranzijn dan moeten vragen.
Wellicht constateerden ze na 2 maanden dat ze dat niet nauwkeurig kunnen bepalen en hebben ze dan maar besloten om iedereen te mailen.

Zelfs klanten die deze week voor het eerst inschreven zijn gemaild. Weet ik uit eerste hand maar zo ook iemand in de reacties hier.

Maar goed als ik antwoord ontvang op mijn vragen dan zal ik mijn eerste post zeker updaten.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

jdh009 @Frame164 • 16 mei 2024 23:48

Het is een landelijke keten met 16 vestigingen, waarvan er 15 dierenartspraktijken huisvesten. Dat is geen kleine dierenarts om de hoek waar de praktijk even stil komt te liggen als ze met vakantie zijn. De data is al sinds 18 maart, zie neonite in 'Ranzijn Dierenarts meldt datalek persoons- en dierengegevens na cyberaanval', online beschikbaar, en dat lijkt te zijn omdat ze ervoor gekozen hebben om niet te betalen. (Hulde hiervoor trouwens.) Hiervoor zal vermoedelijk een periode van bedenktijd gegeven zijn door de criminelen, dus ze zullen het echt wel geweten hebben voor die datum.

[Reactie gewijzigd door jdh009 op 22 juli 2024 16:28]

JeroenED @Frame164 • 17 mei 2024 09:35

Jep, daarmee zijn sommige managers niet aan hun proefstuk toe. Ik herinner mij ooit een migratie op het werk waarbij de IT manager 3 weken op vakantie ging op het moment dat de migratie effectief gebeurde. Als er iets gebeurde moesten ze naar een onderbemande helpdesk bellen want het alternatief lag aan een zwembad in mexico. Achteraf in de wandelgangen moeten horen "dat ze hem dan niet konden beschuldigen dat iets fout liep". Was ook een manager zoals in de zoals de clichés voorschrijven.

[Reactie gewijzigd door JeroenED op 22 juli 2024 16:28]

CPV @JeroenED • 17 mei 2024 12:55

Ha ha, ik ken (lang geleden) iemand die die bij een probleem altijd nodig naar toilet moest en pas terugkwam, als de medewerkers het probleem hadden opgelost.

Tintel

Privacy

@Frame164 • 17 mei 2024 10:39

Rare vraag. Klein bedrijf -> weinig klanten -> weinig data gelekt -> minder erg maar ook minder interessant als doelwit. Het is misschien niet verschillend voor die specifieke klant van een klein cq. groot bedrijf maar de manier hoe grote bedrijven er mee zouden moeten omgaan is toch wel anders.
Let wel: een bedrijf is juist groot omdat ze meer mensen nodig hebben om ook dit te kunnen doen.

Dus 2 maanden na ontdekking van dit lek melden, is rijkelijk laat.

cobis taba @Frame164 • 17 mei 2024 13:05

Ja, eigenlijk wel. Jij niet?

Gamebuster @Donstil • 17 mei 2024 07:32

Vakantie? De privacy van je klanten lijkt mij wel wat belangrijker dan een vakantie.

Die lek was al geweest hoor. Het is niet zo alsof er een lek bekend was en dat ze op vakantie gingen en dan 2 weken lang het lek open bleef.

De welzijn van de medewerkers is net zo belangrijk.

Donstil @Gamebuster • 17 mei 2024 07:36

[...]

Die lek was al geweest hoor. Het is niet zo alsof er een lek bekend was en dat ze op vakantie gingen en dan 2 weken lang het lek open bleef.

Of het lek open bleef is als slachtoffer niet relevant meer en was ook het punt helemaal niet. Het ging over het late melden. Al met al had dit echt niet zo lang hoeven duren.

Bijna 2 maanden is simpelweg veel en veel te laat.

[Reactie gewijzigd door Donstil op 22 juli 2024 16:28]

Floort

Privacy

@Gamebuster • 17 mei 2024 01:09

De meldplicht onder de AVG verplicht voor melden aan de AP onverwijld (vanaf ontdekking, niet na alles uitgezocht te hebben) en in ieder geval niet later dan 72 uur. De meldplicht aan betrokkenen moet 'slechts' onverwijld. Ik snap dat je wat dingen wilt uitzoeken, maar twee weken vakantie voor laten gaan is niet onverwijld. Je kan ook melden en later meer informatie verstrekken. Je moet eerder aan een termijn van enkele dagen denken.

kimborntobewild @Floort • 17 mei 2024 04:58

72 Uur is ook niet goed. Ik begrijp dat het lastig is om alles nog sneller te doen, maar in zo'n geval moeten de betrokkenen maar even overwerken en liefst binnen 24h al melden en gebruikers informeren.

Floort

Privacy

@kimborntobewild • 17 mei 2024 08:23

Ik geloof dat je me tegenspreekt op iets dat ik niet gezegd heb. Het moet zonder onnodige vertraging, maar niet later dan 72 uur. Het uitgangspunt is dus zo snel mogelijk. Voor melden aan betrokkenen is die bovengrens er niet, maar het uitgangspunt blijft hetzelfde. Daar kan je het niet mee eens zijn, maar dat is wat de AVG zegt en niet mijn persoonlijke mening.

kimborntobewild @Floort • 7 juni 2024 11:55

Ik geloof dat je me tegenspreekt op iets dat ik niet gezegd heb.

Nee, dat heb ik niet gedaan.
Ik gaf aan dat ik 72 uur te ruim vindt. That's it.

Floort

Privacy

@kimborntobewild • 7 juni 2024 12:06

Helder. Ik las "niet goed" als "niet rechtmatig". Het staat je vrij om te vinden dat het eigenlijk sneller zou moeten.

mjtdevries @kimborntobewild • 17 mei 2024 10:12

Ja, het liefst wil je dat het onmogelijke mogelijk word.
De realiteit is echter dat het onmogelijke, daadwerkelijk onmogelijk blijkt te zijn.

Bij dit soort complexe datalekken is het niet makkelijk om vast te stellen hoe ver de criminelen zijn gekomen en welke gebruikers wel of niet getroffen zijn.

Floort

Privacy

@mjtdevries • 17 mei 2024 14:07

Het komt best vaak voor dat betrokkenen al op basis van onvolledige informatie moeten worden geinformeerd helaas. Het is meestal mogelijk om later aanvullende updates te geven. Wachten met informeren kan ook betekenen dat je betrokkenen niet in staat stelt om zelf maatregelen te nemen als dat voor hun concrete situatie noodzakelijk is.

kimborntobewild @Floort • 7 juni 2024 11:54

Precies!

Gamebuster @Floort • 17 mei 2024 11:53

Melden aan de AP is niet hetzelfde als melden aan de gebruiker.

Floort

Privacy

@Gamebuster • 17 mei 2024 14:00

Dat klopt. Daarom maak ik ook expliciet onderscheid tussen de twee. Melden aan betrokkenen moet onverwijld volgens het eerste lid van artikel 34 van de AVG. Het eerste lid van artikel 33 bepaald o.a de termijn van de meldplicht aan de toezichthouder.

Het is het standpunt dat 'onverwijld' de ruimte overlaat om eerst nog twee weken op vakantie te gaan waar ik een probleem mee heb. Dat is een totaal onredelijk standpunt om in te nemen.

neonite @Gamebuster • 16 mei 2024 23:01

Onzin. De hele wereld heeft al twee maanden toegang tot de data. Doordat een tijdige reactie is uitgebleven, zijn klanten al twee maanden exposed voor mogelijke aanvallen.

Tintel

Privacy

@Gamebuster • 17 mei 2024 10:34

Wat? Laat wordt niet alleen afgemeten aan de tijd die zij ervoor nemen....
Laat is: dan is het al vrij goed mogelijk dat de data inmiddels beschikbaar is gekomen cq. verhandeld en derhalve is gebruikt voor niet zo zuivere doeleinden.

Gekke manier om dit goed te praten....de klok begint te lopen vanaf het moment van de ontdekking van het lek. Dat onderzoek naar wat en hoe dient niet voor de waarschuwing van het lek, afgerond te zijn.

TheVivaldi @Gamebuster • 17 mei 2024 11:26

Maar goed, het had ze wel gesierd als ze even een mailtje hadden gestuurd met “er is iets voorgevallen en we zoeken het grondig uit”.

kodak

Datalek
Beveiliging en antivirus
Privacy
Nederland

@Gamebuster • 17 mei 2024 13:21

Beweringen als recente gebeurtenis, strenge veiligheidsmaatregelen, meteen melding gedaan en we werken hard zijn niet zomaar op te vatten alsof dat past bij de werkelijlheid of hoe slachtoffers dat ervaren. Zeker als het bedrijf geen moeite doet zulke beweringen te onderbouwen met inhoudelijke feiten. Ze laten weg wanneer ze het ontdekt hebben. Ze laten weg waaruit valt op te maken dat ze strenge beveiliging zouden hebben gehad, ze laten weg hoe snel ze na het ontdekken de melding hebben gedaan. Ze laten weg waaruit blijkt dat ze zelf hard werken. Het is eerder een opeenstapeling van suggestie. Terwijl het doel van bedrijven gewoonlijk is om vooral aan het eigen (winst)belang voorop te stellen met selectieve marketing in plaats van transparantie waarmee klanten ze nog meer verantwoordelijk kunnen stellen.

Het doel van het melden aan slachtoffers is niet slechts het melden zelf. Het is ook niet het proberen gerust te stellen wat een bedrijf goed uit komt. Het doel is dat het slachtoffers zelf een zo goed mogelijke inschatting over de situatie (en dus ook over de verantwoordelijkheid van het bedrijf) kan maken. Beweringen horen dus niet vaag of suggestief te zijn, maar juist zo concreet mogelijk.

pa2ra @Gamebuster • 17 mei 2024 15:03

Je bent verplicht om binnen 72 uur dit bij de Autoriteit Persoonsgegevens te melden. Daarna moet (!) te bekijken of je het moet melden bij de slachtoffers. Daar zijn maar een paar uitzonderingen. Als je het netjes binnen 72 uur bij AP gemeld hebt, is het onredelijk dat je er dan nog 1 maand en 3 weken over doet voordat je slachtoffers informeert. Dat kan en moet veel sneller.

fre0n @Donstil • 17 mei 2024 01:45

verzekeren dat we direct actie hebben ondernomen om de impact te minimaliseren en jouw privacy te beschermen

Maar in de lange uiteenzetting die volgt zijn ze vooral algemene tips om phosing tegen te gaan aan het geven. Hoe gaat ranzijn dan voorkomen dat buitgemaakte gegevens niet misbruikt worden en hoe gaan ze t voor elkaar krijgen de privacy te beschermen nadat die al geschonden is?

Gaan ze de ransom betalen en hopen dat de gegevens dan inderdaad vernietigd worden? Als dat zo is hadden ze dit ook moeten melden denk ik

kimborntobewild @fre0n • 17 mei 2024 05:01

Hoe gaat ranzijn dan voorkomen dat buitgemaakte gegevens niet misbruikt worden en hoe gaan ze t voor elkaar krijgen de privacy te beschermen nadat die al geschonden is?

Dat kunnen ze natuurlijk niet voorkomen.
Dat kan nooit als er eenmaal gegevens gelekt zijn.
En daar hadden ze in de brief wel wat meet nadruk op mogen leggen.

fre0n @kimborntobewild • 28 mei 2024 00:53

Precies, dat kan niet als t al gelekt is. Toch geven ze aan dat ze dat gaan doen.

kimborntobewild @fre0n • 7 juni 2024 11:53

Precies, ik versterkte je post.
Ze liegen dus.

WhiteSnake76 @Donstil • 17 mei 2024 06:23

Afgelopen Dinsdag voor het eerst bij de Dierenarts van Ranzijn geweest, en ik kreeg ook die mail gisteren...
Ik zie nergens wanneer die data buit gemaakt is, zie hier verschillende mensen zeggen "2 maanden geleden" maar waar staat dat?
(Edit: zie het al in @Donstil zijn post, hoef me dus niet veel zorgen te maken denk ik)

[Reactie gewijzigd door WhiteSnake76 op 22 juli 2024 16:28]

ChefA @Donstil • 18 mei 2024 23:31

Wel vreemd om een melding doen bij de Autoriteit Persoonsgegevens te noemen onder 'maatregelen'.

ErikG2 17 mei 2024 07:06

Mijn dochter werkt op de plantenafdeling van Ranzijn en het is dus niet alleen de dierenarts aangezien de medewerkers ook een mail hebben gehad waarin staat dat er persoongegevens zijn buitgemaakt. Niet van alle medewerkers zeggen ze zelf:

"Helaas hebben wij moeten vaststellen dat bij de cyberaanval mogelijk ook persoonsgegevens
van een beperkt aantal (oud-)medewerkers in handen zijn gekomen van onbevoegde
personen.
Wij vinden het belangrijk om al onze medewerkers en oud-medewerkers hierover te
informeren en een zo compleet en transparant mogelijk beeld te geven van de implica+es.
Daarnaast is dit ook een verplich+ng vanuit de AVG-wetgeving. Het kan hierbij gaan om ID
bewijzen, bankpassen, loonbelas+ngverklaringen, salarisstroken, arbeidsovereenkomsten,
sollicita+es en cv’s, getuigschriRen, gespreksverslagen, diverse formulieren (denk aan:
ziekmeldingen, werkgeversverklaringen, contractaanvragen, salaris-, functie en
werktijdenmutaties, etc.) of andersoortige correspondentie"

Deze mail is van 6 mei.

Tintel

Privacy

@ErikG2 • 17 mei 2024 10:46

<off topic>
Plantenafdeling bij een dierenartsenpraktijk? Hoe moet ik dat voor me zien? (Puur nieuwsgierig hoor)

vrow @Tintel • 17 mei 2024 11:20

Kijk anders zelf ook even op www.ranzijn.nl
Beetje onderzoek doen kan geen kwaad, toch? Niet verkeerd bedoeld hoor, maar in de tijd dat je deze reactie typte had je ook 'ranzijn' in kunnen voeren in Google en had je alles gesnapt en geweten :-)

Even de homepage doorscrollen en je ziet foto's van hun winkels en foto's van de dierenarts...

[Reactie gewijzigd door vrow op 22 juli 2024 16:28]

Tintel

Privacy

@vrow • 17 mei 2024 11:35

Ja - dat kan ik wel zien maar dan noem ik het dus geen dierenartsenpraktijk. Dat zie ik toch echt als een nogal aparte divisie zeg maar.

En dan: onderzoek is toch ook gewoon vragen stellen?
Die site vertelt me dus helemaal niets over hoe deze 2 uiterst verschillende diensten (artsen en verkopers) naast elkaar staan. Dat een overkoepelend bedrijf eigenaar kan zijn van allerlei verschillende bedrijven is vrij normaal. Maar dan zijn de medewerkers ook 'gescheiden' van elkaar. Dat er dan weer een overkoepelende website is - tja, alsof dat automatisch betekent dat de mensen erachter in 1 gebouw zitten...

(en zeg nu zelf: mijn eerste trigger was toch iets van planten-welzijn - en dat kan dus ook omdat je ook bomendokters hebt).

vrow @Tintel • 17 mei 2024 14:37

Er is niets gescheidens aan.
Het is een tuin-/dierenwinkelbedrijf met vele vestigingen in het land en een dierenarts, trimsalon en hondenwasstraat in veel van de winkels.
De werknemers zijn allemaal ‘gewoon’ in dienst van Ranzijn.
Het is dus gewoon 1 bedrijf, net zoals de Karwei ook planten, schuttingen en verf verkoopt. En de ene medewerker wel de verfmengmachine kan bedienen maar niet de grote zaag. Iedereen werkt bij Karwei.

Tintel

Privacy

@vrow • 17 mei 2024 15:48

Aha - dat wist ik dus niet. Vandaar mijn vraag.

ShitHappens @Tintel • 17 mei 2024 14:28

Ranzijn zijn in principe tuin/dierenwinkels, met een dierenartsenpraktijk in de winkel

neonite 16 mei 2024 21:19

Daar zijn ze rijkelijk laat mee, gegeven dat zij op 18 maart op het dark web zijn gepubliceerd: https://images.ransomware.live/screenshots/posts/f67df46dd4ea90692c1afcb1e904678a.png

kimborntobewild @neonite • 17 mei 2024 04:48

Ook staat er in het screenshot dat er wél financiële gegevens zijn gelekt.

Pendora @kimborntobewild • 17 mei 2024 07:17

Vermoed eerder dat er interne informatie gelekt is en dat Ranzijn bedoeld dat er geen financiële gegevens van klanten gelekt is.

jeffreytigch 16 mei 2024 21:19

De Ransomware groep “RA Group” heeft de aanval al op 22 maart gerapporteerd. De gegevens zijn gepubliceerd na het niet betalen van losgeld.

https://cti.fyi/groups/ragroup.html

WoBoW

16 mei 2024 21:33

Het erge is vooral dat zij die persoonsgegevens zo lang hebben opgeslagen. Ik ben één keer langs geweest meer dan 10 jaar geleden en mijn data zit toch in het lek. Ik snap niet dat ze vonden dat ze die data onder de AVG zo lang mochten bewaren.

Besouro @WoBoW • 16 mei 2024 23:57

Even aangenomen dat je bij de dierenarts daar langs geweest bent aangezien ik me niet kan bedenken waarom je bij de kassa van een tuincentrum je gegevens achter zou laten.
Op het moment dat jij met een dier langs gaat wordt je ingeschreven als klant en blijft ingeschreven tot jij je actief afmeld.
Ik ben zelf dierenarts en je wil/moet een medisch dossier gewoon compleet hebben, ook als een dier 20 wordt.

Tintel

Privacy

@Besouro • 17 mei 2024 10:45

Dat je gelijk hebt is eigenlijk het probleem. Dat het dier 20 jaar kan worden, betekent nog niet dat de eigenaar al 20 jaar klant is.
Dus ik verwijt jou niets als je die gegevens bewaard hebt maar het zou dus anders moeten. Dat dossier hoort bij het dier cq. de eigenaar - niet 'de' dierenartsenpraktijk.
Want anders krijg je dit niet goed natuurlijk. Zodra die persoon verhuist (kiest andere arts) of het dier verandert van eigenaar of het dier (of zelfs de eigenaar) sterft, dan wordt het dossier nu niet gesloten/verwijderd.

Webgnome @Tintel • 17 mei 2024 11:04

Een gecentralizeerd patientendossier dus. Daar waren we toch zo ontzettend tegen?

Tintel

Privacy

@Webgnome • 17 mei 2024 11:28

Nee, nee - niet gecentraliseerd - dan beheer jij 'm niet zelf. Een papieren dossier beheerde je toch vroeger ook gewoon zelf?
Juist niet gecentraliseerd - veel te handig voor criminelen en overheden met dubieuze motieven.

Webgnome @Tintel • 17 mei 2024 11:32

Nee, een papieren dossier van het ziekenhuis beheerde ik zeer zeker niet zelf. Dat lag bij het ziekenhuis en andere partijen hadden zelf ook een papieren dossier. Daar kwam je na veel zeuren wel bij maar nam je zeer zeker niet mee naar huis.

Tintel

Privacy

@Webgnome • 17 mei 2024 11:43

Daar kwam je na veel zeuren wel bij maar nam je zeer zeker niet mee naar huis.

Nou, vanwege allerlei redenen heb ik daar toch gewoon om kunnen vragen hoor (voor mijn dochtertje). Maar buiten dat.
Dat ze het niet mee zouden willen geven is toch gekkigheid? Dus wel inzage maar niet afdrukken?

En het gaat voorbij aan mijn punt dat je best je eigen dossier kan beheren - ook digitaal. Dat jij nu andere ervaringen noemt is eigenlijk niet relevant. Het gaat erom hoe we dit probleem van data-diefstal zouden kunnen minimaliseren en dan is centralisatie dus juist niet zo verstandig.

Ooit was dit voorheen juist omgekeerd natuurlijk; liever centraal want lekker handig en slechts eenmalig een systeem opzetten om dit te kunnen doen.
Maar juist omdat het gevoelige gegevens zijn (niet altijd natuurlijk) en omdat centrale systemen veel eerder een doelwit zijn, is een nieuwe aanpak nodig lijkt mij.

Besouro @Tintel • 17 mei 2024 12:49

Ik kan me avg technisch voorstellen dat het beter is om je dossier in eigen beheer te hebben.
Het is echter volkomen onwerkbaar, ik werk niet alleen in het dossier van een patiënt op het moment dat de klant bij me is.

En dan heb je nog het probleem van klachten/ tuchtrecht waar vrij regelmatig blijkt dat het verhaal van de klant totaal afwijkt van wat er feitelijk gebeurd is en soms ronduit leugens bevat. Hoe ga je waarborgen dat een dossier bij de feiten blijft als het in beheer van de klant is?

Tintel

Privacy

@Besouro • 17 mei 2024 13:21

Ja, dat is inderdaad een probleem. Maar het is ook te fixen met de technieken die we nu al gebruiken voor source-code beheer. Ook daar kun je disconnected wijzigingen maken en daarna 'mergen'.

Hoe ga je waarborgen dat een dossier bij de feiten blijft als het in beheer van de klant is?

Ja, maar dat houd je dus altijd. Als de uitvoerder het dossier bijhoudt moet deze 100% betrouwbaar zijn, als het centraal wordt bijgehouden heb je nog meer spreiding van vertrouwen en als de patient zelf het dossier bij kan houden, dient deze te vertrouwen zijn. Maar met blockchain technieken zou dat wel mogelijk moeten zijn denk ik. Dan kun je zorgen dat mutaties nooit onopgemerkt gebeuren ondanks decentrale opslag.

En het kopie behouden i.v.m. bewijslast is weer een ander probleem maar daar zouden wetten/regels zodanig kunnen worden opgesteld dat klachten binnen X jaar/maanden moeten worden ingediend en dat de maximale bewaartermijn daaraan gelijk is.

Wel erg veel moeite om te zorgen dat gegevens waar we in beginsel eigenlijk niet zoveel om geven cq. geen vertrouwensproblemen hebben, maar in combinatie wel degelijk privacy gevoelig zijn.
Want dat de arts registreert dat je als patient of je huisdier medicijn X hebt/heeft gekregen vanwege conditie Y, is prima. Maar als het wordt gecombineerd en gebruikt wordt voor spoofing, identiteitsdiefstal e.d., dan is het wel een probleem.

Met @WoBoW • 16 mei 2024 22:21

Dus hebben ze de AVG niet nageleefd en hebben ze de bestanden niet opgeschoond .c.q. automatisch de persoonsgegevens verwijderd. Dus boete van de AP moet volgen.

Frame164 @Met • 16 mei 2024 22:55

Tenzij ze een hele goede reden hebben beschreven waarom data zo lang wordt bewaard.

Met @Frame164 • 19 mei 2024 18:01

En die hebben ze niet.

Donstil @WoBoW • 16 mei 2024 23:08

Het erge is vooral dat zij die persoonsgegevens zo lang hebben opgeslagen. Ik ben één keer langs geweest meer dan 10 jaar geleden en mijn data zit toch in het lek. Ik snap niet dat ze vonden dat ze die data onder de AVG zo lang mochten bewaren.

Oei dat is wel een kwalijke zaak inderdaad. Ben benieuwd wat de uitleg daarvoor is, behalve laksheid.

sircampalot 16 mei 2024 21:11

Zou er een mogelijkheid zijn om persoonsgegevens waardeloos te maken?
Bijvoorbeeld door deze ongeschikt te maken voor: legitimatie? aankopen op krediet doen? etc?

Of denk ik nu te simpel?

bmwgozer @sircampalot • 16 mei 2024 21:31

Zou tijd worden dat de overheid er eens vanuit gaat dat gegevens kunnen lekken. Dus je BSN nummer wijzigbaar is.

Helaas komt dat idee vast over 20 jaar.

Orangelights23 @sircampalot • 16 mei 2024 21:51

Je denkt de goede richting op. In Zweden en Noorwegen zijn dit soort gegevens openbaar (behalve als je ze rechtsgeldig geheim maakt). Zelfs het BSN kun je online vinden. Overal zit MFA op, waardoor de gegevens an sich weinig waarde hebben. Dat de gegevens openbaar zijn en wat men hier van vindt is een andere discussie, maar dit laat zien wat er mogelijk is.

Frame164 @sircampalot • 16 mei 2024 22:54

Gewoon alles openbaar maken. Dan heeft het geen waarde meer.

renecl 16 mei 2024 22:16

Wanneer nemen we een actie tegen dit soort losers?
Pakkans en straffen zijn minimaal, en hacken is nog steeds een soort "coole bezigheid"

Met kinderporno pakken we het toch wel wat beter aan. Daar rust echt (gelukkig) nu een taboe op en pakkans is redelijk groot.

En waarom zijn dit soort sites nog online?

DonJunior @renecl • 17 mei 2024 08:27

En waarom zijn dit soort sites nog online?

Wat bedoel je hiermee? Welke site heb je het over?

En dan nog, op welke voorwaarde mag men een site offline halen? Dan moet er volgens mij eerst een dossier opgebouwd worden. Anders kan de politie wel zomaar elke verdachte site offline halen en dan moet jij als bedrijf maar bewijzen dat jij niets van doen hebt met een criminele organisatie.
Ik denk dat jij veel te makkelijk denkt over diit soort zaken, dit soort keuzes ligt echt wel ingewikkelder.

renecl @DonJunior • 17 mei 2024 19:31

Die dark web sites waar de DB wordt aangeboden. Het kan ook allemaal maar zo............

D3F 16 mei 2024 22:51

Waren het maar een keer alleen betaalgegevens, zoals transacties, ipv persoonsgegevens…

Het kan mij een stuk minder schelen dat ze weten dat <hash van naam> 500€ speciaal hondenvoer heeft gekocht. Bankrekeningnummers is dan wel weer zorgelijk.

SiGNe 16 mei 2024 23:18

Ik heb ook een mailtje gehad, normaal gaat mijn kat naar een andere dierenarts maar die was met pasen gesloten dus maar naar Ranzijn gegaan..
En anderhalve maand later dus al slachtoffer van een datalek.

{edit] Ik lees in de reacties dat de hack al in Maart gebeurd zou zijn, morgen toch maar een mailtje naar Ranzijn sturen of er toen ook al meteen maatregelen zijn genomen.
Bij het registreren op 1 April werd er in elk geval niks over gemeld

[Reactie gewijzigd door SiGNe op 22 juli 2024 16:28]

Gertjan 17 mei 2024 08:42

Ik snap wel dat Ranzijn doelwit is. Die data is een goudmijn voor het achterhalen van antwoorden op securityvragen als: hoe heet je huisdier?

mjtdevries @Gertjan • 17 mei 2024 10:17

Je maakt een grapje, maar je ziet helaas veel van die domme security vragen. Dus ik denk dat je een manier te pakken hebt waardoor de naam en email adres veel makkelijker misbruikt kunnen worden.

Want zeg nou zelf, hoeveel kan een crimineel nou eigenlijk doen met alleen je naam en email adres? Die zijn nou niet bepaald geheim.

Tintel

Privacy

@Gertjan • 17 mei 2024 10:47

Ja, en je kan ook nog achterhalen hoe groot de waakhond is.....

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (82)

Sorteer op:

Weergave: