Ahold waarschuwt duizenden medewerkers na datadiefstal

Persoonsgegevens van (voormalig) personeel van Albert Heijn, Etos en Gall & Gall zijn mogelijk gestolen, meldt moederbedrijf Ahold Delhaize. In november werd de Amerikaanse tak slachtoffer van een ransomwareaanval, maar ook medewerkers in Nederland zijn mogelijk geraakt.

Ahold heeft mogelijk getroffen (oud-)medewerkers van Albert Heijn, Etos en Gall & Gall per e-mail ingelicht. Het lijkt te gaan om personeel dat rond april 2021 in dienst was bij een van deze bedrijven. Ahold laat weten dat hun naam, hun bankrekeningnummer zonder IBAN die bekend is bij de salarisadministratie en de hoogte van hun salaris van begin april 2021 mogelijk zijn buitgemaakt. Het onderzoek loopt nog.

"Op basis van ons lopende onderzoek gaan we ervan uit dat er bepaalde bestanden zijn buitgemaakt. Onlangs is gebleken dat hier mogelijk gegevens van Nederlandse medewerkers tussen zaten, waaronder mogelijk ook jouw gegevens", zegt Ahold in de e-mail. Het bedrijf belooft extra maatregelen te nemen om systemen beter te beveiligen en heeft melding gedaan bij de Autoriteit Persoonsgegevens.

In november vorig jaar meldde de Amerikaanse tak van Ahold Delhaize een 'cybersecurityprobleem' waardoor enkele apotheken en online verkoopdiensten minder goed functioneerden. De systemen werden destijds tijdelijk offline gehaald, maar later bleken er toch bestanden te zijn gestolen.

De ransomwareaanval wordt opgeëist door hackgroep INC Ransom, die vermoedelijk uit Rusland komt. De groepering deelde al enkele buitgemaakte documenten, waaronder identiteitsbewijzen, en dreigt ook de rest van de 6TB aan gestolen gegevens te openbaren als Ahold niet ingaat op haar eisen. Het is niet bekend wat die eisen zijn.

Albert Heijn heeft ongeveer 125.000 mensen in dienst. Bij Etos zijn dat er meer dan 5400 en bij Gall & Gall ongeveer 1800. Het is onduidelijk van hoeveel van deze en voormalig personeelsleden gegevens zijn buitgemaakt bij de ransomwareaanval. Wereldwijd werken er 393.000 mensen voor Ahold Delhaize, met vestigingen in onder meer Nederland, België en de Verenigde Staten.

Door Sabine Schults

Redacteur

Feedback • 23-04-2025 08:07
75 • submitter: Ryster

23-04-2025 • 08:07

75

Submitter: Ryster

Lees meer

Delhaize lost kassabug op waarbij klanten tientallen euro's te veel betaalden
Delhaize lost kassabug op waarbij klanten tientallen euro's te veel betaalden Nieuws van 28 mei 2025
VanHelsing-ransomwaregroep deelt broncode van ransomware op forum
VanHelsing-ransomwaregroep deelt broncode van ransomware op forum Nieuws van 22 mei 2025
FBI adviseert gebruik adblocker tegen malafide zoekadvertenties
FBI adviseert gebruik adblocker tegen malafide zoekadvertenties Nieuws van 25 april 2025
FBI: Cybercrimeschade liep in 2024 op tot 16 miljard dollar in de VS
FBI: Cybercrimeschade liep in 2024 op tot 16 miljard dollar in de VS Nieuws van 24 april 2025
Kassa's Delhaize selecteren door bug producten die klanten niet hebben gekocht
Kassa's Delhaize selecteren door bug producten die klanten niet hebben gekocht Nieuws van 24 april 2025
Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken
Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken Nieuws van 17 april 2025
Amerikaanse tak van moederbedrijf Albert Heijn meldt 'cybersecurityprobleem'
Amerikaanse tak van moederbedrijf Albert Heijn meldt 'cybersecurityprobleem' Nieuws van 11 november 2024
Meer producten en artikelen
Beveiliging en antivirus Privacy Albert Heijn Criminaliteit Cybercrime Hack Ransomware

Reacties (75)

-Moderatie-faq
75
75
41
3
0
27
Wijzig sortering
MR_VIPER 23 april 2025 08:20
Wat ik mij afvraag. Ik zie dat er mogelijk identiteitsbewijzen en dus waarschijnlijk ook BSN nummers gestolen zijn. Die nummers zouden tot identiteits diefstal kunnen leiden. Is het dan mogelijk je BSN gewijzigd te krijgen. Zo ja moet Ahold dan meewerken c.q. assisteren om dit voor elkaar te krijgen? Als mijn werkgever mijn BSN gegevens "kwijt raakt" en het zou mogelijk zijn deze te veranderen dan zou ik toch behoorlijke inspanning van mijn werkgever verwachten om te zorgen dat hier een wijziging op komt.
Bor Coördinator Frontpage Admins / FP Powermod
@MR_VIPER23 april 2025 08:31
Is het dan mogelijk je BSN gewijzigd te krijgen.
Daarop is het antwoord eenvoudig te vinden:
Je kunt geen nieuw Burgerservicenummer (BSN) krijgen. Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Bron: RvIG, Rijksdienst voor Identiteitsgegevens, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties

Rond deze vraag is verder er een interessant stuk leesvoer te vinden:
Een verkennend onderzoek naar de effecten van het wijzigen van het burgerservicenummer

en ook: Kamerbrief ontwikkelingen burgerservicenummer

[Reactie gewijzigd door Bor op 23 april 2025 08:37]

The Zep Man
@Bor23 april 2025 08:42
Dat is niet helemaal waar:
Uit die gesprekken komt naar voren dat nu al in sommige gevallen het BSN gewijzigd wordt. Het gaat namelijk weleens mis bij het toekennen van een BSN aan een persoon. Volgens inschatting van onze respondenten komt dit circa 500 keer per jaar voor. In dergelijke gevallen is het BSN niet éénmalig en foutloos verstrekt en staat de Wabb het wijzigen van het BSN toe. Voorbeelden zijn gevallen van systeemtechnische aard of menselijke fouten, waardoor bijvoorbeeld het BSN tweemaal is verstrekt aan twee verschillende personen. Of gevallen waar één persoon meerdere nummers heeft, bijvoorbeeld bij terugkeer uit het buitenland in combinatie met een naamswijziging door een huwelijk. Als de burger dat bij hernieuwde inschrijving in de gemeente niet vermeldt, kan het voorkomen dat hij of zij een nieuw BSN toegewezen krijgt. Voor dergelijke gevallen is in het kader van de BRP een aparte procedure beschikbaar. Dit is een arbeidsintensieve procedure waarbij niet alleen het BSN in de BRP gewijzigd moet worden, maar ook zorg gedragen moet worden dat de wijziging van het BSN goed wordt verwerkt in de systemen van de afnemers van de BRP.

Het CMI ontvangt gemiddeld per jaar 5000 tot 6000 meldingen van mensen die slachtoffer zijn van identiteitsfraude. (...) Slechts een klein gedeelte (één tot enkele) van deze meldingen is te herleiden tot een lek waar alleen het BSN bij betrokken is.
Dus deze stelling klopt niet:
Je kunt geen nieuw Burgerservicenummer (BSN) krijgen.
Het gaat niet willekeurig, maar wel wanneer nodig. Circa 500 keer per jaar wordt een BSN gewijzigd.

Deze stelling klopt ook niet:
Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Een BSN is een pseudoniem, dus identificeert daadwerkelijk een persoon. Verder zijn er per jaar enkele meldingen van identiteitsfraude die beginnen met enkel een BSN.

[Reactie gewijzigd door The Zep Man op 23 april 2025 08:49]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man23 april 2025 08:44
Dat zijn de edge cases; gevallen waar het toekennen van een BSN fout is gegaan, bijvoorbeeld een dubbele toekenning. Dat moet je wel repareren gezien je geen 2 gelijke BSN's kunt hanteren.

Je kan zelf als burger geen verzoek doen om je BSN aan te passen en daar gaat het hier om.
The Zep Man
@Bor23 april 2025 08:48
Dat zijn de edge cases;
Edge cases tonen de fouten in het systeem aan en waarom men voorzichtig moet zijn met absolute uitspraken. De RvIG gaan niet specifiek in op dat het een los verzoek betreft, maar noemt het niet kunnen wijzigen van BSN als absoluut (wat niet waar is, want het kan gedaan worden wanneer nodig) en bagatelliseren de waarde van een BSN als persoonsgegeven (claim dat er geen identiteitsfraude mee gepleegd kan worden terwijl onderzoek aantoont dat dit wel kan).

[Reactie gewijzigd door The Zep Man op 23 april 2025 08:52]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man23 april 2025 08:52
Jouw bronnen gaan niet specifiek in op dat het een los verzoek betreft, maar noemen het niet kunnen wijzigen van BSN als absoluut
Dat is niet geheel waar. De link van de RVIG kopt zelfs met: "Kan ik een nieuw Burgerservicenummer (BSN) krijgen?". Het antwoord op die vraag is nee. Dat je (systeem) fouten waarbij een nummer bv dubbel is toegekend zal moeten repareren is evident. Dat geldt voor alle nummers en andere reeksen die uniek horen te zijn. Het is het intrappen van een open deur.
en bagatelliseren de waarde van een BSN als persoonsgegeven
Dat ben ik geheel met je eens. De RVIG is echter leidend rond de vraag of je een BSN kan laten wijzigen. Het antwoord daarop is duidelijk. We kunnen het met de onderbouwing eens of oneens zijn; dat veranderd niets aan de mogelijkheden.

[Reactie gewijzigd door Bor op 23 april 2025 08:53]

The Zep Man
@Bor23 april 2025 08:53
Dat is niet geheel waar. De link van de RVIG kopt zelfs met: "Kan ik een nieuw Burgerservicenummer (BSN) krijgen?". Het antwoord op die vraag is nee.
Eens met in de algemene zin. Het is nee als er geen sprake is van bijvoorbeeld een dubbel uitgegeven BSN.
Dat je (systeem) fouten waarbij een nummer bv dubbel is toegekend zal moeten repareren is evident. Dat geldt voor alle nummers en andere reeksen die uniek horen te zijn. Het is het intrappen van een open deur.
Dat BSN's dubbel uitgegeven kunnen worden als fout van het systeem is geen open deur. Het RiVG noemt dat ook niet.
De RVIG is echter leidend rond de vraag of je een BSN kan laten wijzigen.
Dat is een beroep doen op dat een autoriteit een autoriteit is en dat het daarmee de heilige waarheid is. Dat enkel is geen goede reden om iets als waar of absoluut te beschouwen. Het aangehaalde onderzoek toont scheuren aan in de gegeven stellingen. Door daar niet eerlijk over te zijn doet het afbreuk aan de integriteit van de autoriteit als onderdeel van de overheid, en daarmee aan het vertrouwen in de overheid.

Beter had het RiVG kunnen zeggen dat een burger geen nieuw BSN aan kan vragen (want fouten in het BSN worden aan de kant van de overheid opgemerkt en gecorrigeerd, maar dat hoeven ze niet expliciet te noemen). Dan heb je een goede stelling die de werkelijkheid representeert.

[Reactie gewijzigd door The Zep Man op 23 april 2025 08:57]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man23 april 2025 09:03
Dat BSN's dubbel uitgegeven kunnen worden als fout van het systeem is geen open deur. Het RiVG noemt dat ook niet.
Elk systeem kan fouten bevatten die moeten worden hersteld. Gezien een BSN uniek hoort te zijn zal elke mogelijke dubbeling tegen gegaan moeten worden. Dat lijkt mij evident. Dat de RVIG in mijn link de voorwaarden niet noemt waaronder een BSN toch aangepast moet worden lijkt mij duidelijk; dat is de vraagstelling waarop geantwoord wordt helemaal niet.
Dat is een beroep doen op dat een autoriteit een autoriteit is en dat het daarmee de heilige waarheid is.
De overheid bepaald in deze. Dat is dus de "waarheid" tot er een ander besluit genomen wordt.
Beter had het RiVG kunnen zeggen dat een burger zelf geen nieuw BSN aan kan vragen (want fouten in het BSN worden aan de kant van de overheid opgemerkt en gecorrigeerd, maar dat hoeven ze niet expliciet te noemen).
Dat hand gekund maar wederom, dat was de vraagstelling niet. Daarbij geldt vaak "less is more". Dat (systeem) fouten gerepareerd dienen te worden is voor de doorsnede burger helemaal niet relevant gezien deze zelf niet kan verzoeken tot aanpassing, ook niet als het BSN gelekt is. Dit wordt een beetje discussieren om het discussieren / tot op de letter; niet in de geest van de vraagstelling waarop de RVIG link antwoord. Er is vast meer informatie te vinden die de uitzonderingen ook noemen. Ik heb expres de link naar de "Q&A" voor de burger gezocht.

[Reactie gewijzigd door Bor op 23 april 2025 09:06]

MrFax @Bor23 april 2025 09:09
Als er geen identiteitsfraude met een BSN gepleegd kan worden, waarom raadt dezelfde overheid aan om je BSN onzichtbaar te maken bij een kopie ID? Dit is toch botsende informatie?

Beetje bijzonder wel.

[Reactie gewijzigd door MrFax op 23 april 2025 09:10]

SunnieNL @MrFax23 april 2025 15:55
Omdat er geen identiteitsfraude met ALLEEN een BSN gepleegd kan worden.
Dat wordt wat anders als er meerdere zaken zijn gestolen, zoals een volledig paspoortnummer of andere gegevens die gecombineerd worden.
MrFax @SunnieNL23 april 2025 17:18
Maar dat zou per definitie betekenen dat er met een BSN *wel* identiteitsfraude gepleegd kan worden. Het doet er namelijk niet toe of je wel of niet alleen met ee BSN identiteitsfraude kan plegen.

De statement is is dat je niks aan het BSN hebt. Als iemand je BSN buitmaakt, dan zit daar bijna altijd ook wel een naam en geboortedatum bij. En wat dan? Je naam en geboortedatum ga je natuurlijk niet aanpassen.

Wat blijft er dan over? Juist. :)

En dat is de reden waarom ik de redenatie van de overheid maar niet kan begrijpen.

[Reactie gewijzigd door MrFax op 23 april 2025 17:20]

The Zep Man
@Bor23 april 2025 09:18
Volgens mij is alles gezegd in deze discussie. Wel ga ik nog even op dit in:
De overheid bepaald [sic] in deze. Dat is dus de "waarheid" tot er een ander besluit genomen wordt.
Ik vind dit een hele enge stelling, gezien ik een link geef naar een onderzoeksrapport (gepubliceerd door de Tweede Kamer) dat anders aantoont.

"The Party told you to reject the evidence of your eyes and ears. It was their final, most essential command."

[Reactie gewijzigd door The Zep Man op 23 april 2025 09:20]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man23 april 2025 09:32
Ik vind dit een hele enge stelling, gezien ik een link geef naar een onderzoeksrapport (gepubliceerd door de Tweede Kamer) dat anders aantoont.
Dat onderzoeksrapport is een exacte kopie van het rapport uit mijn reactie waar je op reageert. Die bron is dus al inbegrepen ;) En nee, het toont niet anders aan. Het noemt alleen edge cases waarin wijzigen wel moet, namelijk in het geval van fouten. Als burger kan je geen wijziging van het BSN aanvragen en dat is nog steeds de vraag waarop we geantwoord hebben. Dat wijzigen in sommige gevallen toch nodig is om fouten te herstellen is te veel op de letter, geen antwoord op de vraag en eigenlijk daarmee niet helemaal relevant. Je verzoek als burger zal immers afgewezen worden.

Het is goed informatie ter discussie te stellen, ook wanneer deze van de overheid komt. Als we echter kijken naar de feitelijke vraag (is het mogelijk je BSN gewijzigd te krijgen) dan is er maar 1 entiteit die daar het huidige "finale" antwoord op kan geven. Dat is namelijk de entiteit die hier over gaat. Tot er een ander besluit wordt genomen is het duidelijk niet mogelijk een BSN te laten aanpassen. Daar kunnen we met zijn allen wat van vinden maar voor dat dit echt veranderd zal je toch echt de wet- en regelgever moeten overtuigen.
The Realone @The Zep Man23 april 2025 08:55
Of het technisch gezien mogelijk is of niet doet er toch niet toe? In beginsel kun je je BSN niet laten wijzigen. Een BSN is een uniek nummer en ook krijgt een persoon er altijd maar één. In jouw voorbeeld voldoet een BSN daar niet aan en is het dus ook geen geldig BSN meer. Een ongeldig BSN kan worden aangepast, een geldig BSN niet.
Ik ben wel benieuwd naar de onderzoeken die aantonen dat je enkel met een BSN identiteitsfraude kunt plegen.
WillySis
@Bor23 april 2025 15:10
Het is aannemelijk dat de dubbele BSN nummers juist door identiteitsfraude zijn ontstaan! Met een valse identiteitspapieren, maar bestaande BSN is het mogelijk om bijvoorbeeld leningen aan te vragen. Zeker bij leningen die gekoppeld zijn aan de koop van bijvoorbeeld een auto is de controle onvoldoende en de slagingskans groot.

Goed nagemaakte identiteitspapieren zijn voor een gewone medewerker moeilijk te herkennen.
SJCE @Bor23 april 2025 09:42
Dat antwoord van RvIG is natuurlijk volledig onjuist. En als zelfstandige wacht ik ook nog steeds op een nieuw bsn dat m'n oude moet vervangen. Het extra bsn dat is toegekend voor m'n facturen is onvoldoende.
Maar voor zover ik weet zijn er bij de overheid ook nog geen informatiesystemen gebouwd die correct omgaan met bsns en dit koppelnummer voldoende beschermen. Het moet in een aparte tabel, en voor iedere koppeling met een ander system moet een eigen koppelnummer aangemaakt worden, zodat het bsn nooit terug te vinden is in de communicatie tussen die systemen
elmuerte @Bor23 april 2025 08:45
Dat is wel heel kort door de bocht van de RVIG. Een BSN is een persoonsgegeven, en met genoeg persoonsgegevens kan je identiteitsfraude plegen. Een gedeeltelijke BSN is een heel sterk gegeven om een valse identiteit te laten bevestigen.

https://www.autoriteitper...evoelige-persoonsgegevens
Persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zijn:
- gegevens over elektronische communicatie;
- locatiegegevens;
- financiële gegevens (zoals inkomen of koopgedrag);
- het burgerservicenummer (BSN).

[Reactie gewijzigd door elmuerte op 23 april 2025 08:46]

Bor Coördinator Frontpage Admins / FP Powermod
@elmuerte23 april 2025 08:49
Een BSN in inderdaad een (gevoelig) persoonsgegeven volgens de Autoriteit Persoonsgegevens:

AP - Burgerservicenummer (BSN)
Het burgerservicenummer (BSN) is een uniek persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor organisaties in de zorg en het onderwijs.

Het BSN is een gevoelig persoonsgegeven. Met het BSN kan gemakkelijk informatie uit verschillende bestanden aan elkaar worden gekoppeld. Onzorgvuldig gebruik van het BSN levert daarom privacyrisico’s op. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.
Zo zie je dat het verschilt wie je vraagt. De RVIG is leidend in de vraag of je een BSN kan laten wijzigen.

[Reactie gewijzigd door Bor op 23 april 2025 08:49]

lenwar
@Bor23 april 2025 09:06
Klopt, maar zoals in je bron-artikel staat, kan het wel gedoe zijn.

Alleen een BSN kun je inderdaad niets mee.
Maar BSN 12345 van J Janssen geboren in Appeldam kan wel voor gedoe zorgen.

Dan 'kan' het fijn zijn als J Janssen, geboren in Appeldam (wat volgens mij publieke informatie is (geboorteregister)) een ander BSN kan krijgen, zeker omdat docment-nummers wel regelmatig worden overgenomen die met een datalek dus naar buiten kunnen komen.

Nou gebeurd het in de praktijk relatief weinig en je hebt er, als overheid wel heel veel gedoe/registratie omtrent, dus of het, het waard is, is weer een ander verhaal.
PageFault @lenwar23 april 2025 13:36
Wanneer mensen een BSN nummer hebben weten te bemachtigen, hebben ze (vaak) ook de bijbehorende naam, geboortedatum en mogelijk adres.
lenwar
@PageFault23 april 2025 18:47
Dat ligt er natuurlijk heel erg aan hoe ze er aan komen.
PageFault @lenwar24 april 2025 07:44
Klopt, maar een lijst met enkel BSNs zal niet zo snel lekker, hooguit in combinatie met bovenstaande gegevens.
rob12424 @Bor23 april 2025 11:17
Vraag ik mij toch iets af. Toen we van sofi naar BSN nummer gingen. En ik van zorgverzekering wisselde. Bestond ik niet volgensikn ziektekostenverzekeraar. Want het BSN nummer bestond niet.

In hoeverre is er dan niets gekoppeld aan je BSN?
Bor Coördinator Frontpage Admins / FP Powermod
@rob1242423 april 2025 11:19
Er is binnen diverse systemen van alles gekoppeld aan je BSN. De uitspraak uit de quote in mijn bericht gaat waarschijnlijk alleen over het BSN op zich. Binnen het BSN nummer vind je geen zaken als bv een geboortedatum of ander persoonlijk kenmerk. Ja dat is krom. Ik heb de quote niet geschreven en zou het zelf niet op deze manier verwoorden.
SJCE @Bor23 april 2025 11:23
Het antwoord is feitelijk onjuist. Delen van het bsn worden gebruikt door de belastingdienst in het betalingskenmerk.
Bor Coördinator Frontpage Admins / FP Powermod
@SJCE23 april 2025 11:26
Dat is andersom; je gebruikt een deel van het BSN in een ander nummer. Dat betekent niet dat het BSN meer informatie bevat dan alleen het nummer. Dat komt nog steeds overeen met de quote die ik aanhaal dus. Ik ben het zelf niet helemaal eens met de uitleg van de RvIG overigens.
SJCE @Bor23 april 2025 11:31
En daarmee is de uitspraak dus misleidend en onjuist. En heeft de overheid nog nergens software gebouwd die voldoet aan de AVG.
Bor Coördinator Frontpage Admins / FP Powermod
@SJCE23 april 2025 12:15
De uitspraak is puur wanneer je naar de informatie in de BSN kijkt juist. Dat (delen van) de BSN elders worden gebruikt of in verwerkt doen daar niets aan af. Dat is het omdraaien van de stelling. "De overheid" is nogal een breed begrip gezien "de overheid" bestaat uit vele takken waarbinnen diverse (verschillende) systemen worden gebruikt.
SJCE @Bor23 april 2025 13:58
De uitspraak is misleidend en onzin. Hij moet gewoon weg van die site. Van de overheid mag ik verwachten dat ze niet probeert burgers te misleiden, en dat is wat deze uitspraak doet. Ik zeg de overheid omdat ik nog van geen een systeem gehoord heb dat correct met bsns omgaat.
wjn @Bor23 april 2025 15:39
Je kunt geen nieuw Burgerservicenummer (BSN) krijgen. Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Het is een identificerend nummer, dat was juist het doel van dat fiscaal nummer en zegt al genoeg.

Uiteraard kun je niet met een BSN alleen fraude plegen, maar ik ken dan ook geen gevallen waarbij je alleen je BSN moet opgeven en verder geen persoonsgegevens. Het is juist de combi van persoonsgegevens en BSN in de administratieve systemen (wat dus blijkbaar gestolen is) die identiteitsfraude mogelijk maken.
Krommetenen @MR_VIPER23 april 2025 08:27
Dat waar een wijziging in komt?
mjansen2016 @MR_VIPER23 april 2025 08:29
Nee, en ja.

Jij krijgt geen nieuw BSN nummer, dat zou teveel gevolgen hebben en teveel rompslomp opleveren en de overheid heeft niet alles in de hand dat derden en pensioenfondsen alles "meewijzigen".

Wat je wel moet doen is een nieuw document aanvragen, het documentnummer is een 2e deel van de verificatiesleutel, en daarbij is het niet te betwisten dat (Als voorbeeld) wanneer een lening afgeloten word onder een oud/ongeldig verklaard document dat de leningverstrekker zijn huiswerk niet heeft gedaan.
lucatoni @MR_VIPER23 april 2025 11:35
Ik denk dat in dit geval je beter achteraf de schade kan/moet verhalen op Ahold. Is toch geen beginnen aan om iedereen zijn BSN aan te passen op mogelijke identiteitsdiefstal? Daarnaast gaat dit om een lek van 4 jaar geleden, dus er zal ook een groot gedeelte niet meer geldig zijn. Ik zou zowiezo kijken of je een schade vergoeding kan eisen. Een lek ontstaat uiteindelijk toch ook wanneer systemen niet goed beveiligd zijn, waardoor je best kan veronderstellen dat Ahold nalatig is geweest met zeer gevoelige data.
Leaplasher 23 april 2025 08:14
De Amerikaanse tak had een lek/hack.
Mocht Ahold data van EU burgers dan buiten de EU opslaan? Of hadden ze een exceptie?
Krommetenen @Leaplasher23 april 2025 08:30
Men moet aan een EU en bestemmings ISO voldoen, maar verder is dat gewoon prima. Ik heb alleen nooit begrepen waarom er na een check, ID kopies bewaard moeten blijven.

Heb je weer een check? Vraag er dan om en verwijder het dan direct. Zelfde met een VOG. Kijk een NDA is iets anders…

[Reactie gewijzigd door Krommetenen op 23 april 2025 08:32]

The Zep Man
@Krommetenen23 april 2025 08:34
Ik heb alleen nooit begrepen waarom er na een check, ID kopies bewaard moeten blijven.
Bron:
U moet een duidelijke kopie maken van het identiteitsbewijs. Het documentnummer, de pasfoto en het bsn moeten goed leesbaar zijn. U bewaart deze kopie in uw administratie voor eventuele controles, bijvoorbeeld door de Nederlandse Arbeidsinspectie. U moet de kopie bewaren tot minstens 5 jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan.
Dit is één van de wettelijke uitzonderingen waarvoor wel een volledige kopie van het identificatiebewijs wordt verwerkt.

[Reactie gewijzigd door The Zep Man op 23 april 2025 08:35]

Redondo1982 @Krommetenen23 april 2025 08:35
Dat heb je ook nodig bij bijv. overheidscontroles. Denk dan aan Belastingdienst en Arbeidsinspectie.

https://www.rijksoverheid...euwe%20kopie%20te%20maken.

[Reactie gewijzigd door Redondo1982 op 23 april 2025 08:36]

Glasscar @Leaplasher23 april 2025 08:16
Het is niet verboden om data van EU burgers buiten de EU op te slaan, dus daar heb je geen aparte exceptie voor nodig.
Bor Coördinator Frontpage Admins / FP Powermod
@Glasscar23 april 2025 08:56
Aan doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) (ook wel naar "derde landen" genoemd) kleven wel aparte regels.

Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van:

1. Aen adequaatheidsbesluit;
2. Passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR);
3. Specifieke uitzonderingen.

Voor meer informatie kan je bij de Autoriteit Persoonsgegevens terecht.
david-v @Leaplasher23 april 2025 08:34
De Amerikaanse tak hoeft niet de gegevens lokaal te hebben, die geïnfecteerde systemen zouden toegang kunnen hebben tot data opgeslagen in de EU. Opslaan van data ergens betekent niet dat je als multinational vervolgens de data niet mag inzien
supe @david-v23 april 2025 11:15
Opslaan van data ergens betekent niet dat je als multinational vervolgens de data niet mag inzien.
Gelukkig spreken we in de informatie beveiliging niet van enkel data opslag, en zijn er ook beheersmaatregelen voor data in transitie of data wat door een proces verwerkt wordt.
Je kunt dus als multinational in de V.S. niet zomaar data inzien die alleen in de EU opgeslagen en verwerkt mag worden.
Dit is dus gewoon gedekt binnen de algemene richtlijnen van bijvoorbeeld een instelling als de ISO.
Ook AHOLD zal zijn certificeringen willen behouden en dus zal dit allemaal binnen hun raamwerk van beheersmaatregelen gedekt zijn. Daarmee wil ik zeggen, dat er een uitzondering gemaakt kan zijn binnen AHOLD om dit wel toe te laten mits de risicoafwegingen binnen het acceptabele vallen.

Maar strikt genomen is dat dus niet de bedoeling.
Dreamvoid @Leaplasher23 april 2025 08:23
Het internet is internationaal, de data kan best in de EU staan, maar via de Amerikaanse Ahold tak gelekt zijn
pbruins84 23 april 2025 08:37
Wat wordt er bedoelt met " bankrekeningnummer zonder IBAN"? 10-cijferige rekeningnummers waren toen toch ook allang afgeschaft?
lenwar
@pbruins8423 april 2025 09:13
IBAN is een combinatie van een bankrekeningnummer (het nummertje bij de bank), een landcode en wat meer meta-informatie die per land verschilt (in lengte en opmaak)

In Nederland gebruiken wel NL<twee-cijferig-controlegetal><4-letterige bankcode><bankrekeningnummer>
In België gebruiken ze: BE<twee-cijferig-controlegetal><3-cijferige bankcode><bankrekeningnummer>

In andere landen (zoals bijvoorbeeld Frankrijk) worden filiaalcodes (of regiocodes) van een bank toegevoegd, enz.
Wikipedia: International Bank Account Number
gfgw @lenwar23 april 2025 12:21
In de praktijk is een rekeningnummer tegenwoordig gelijk aan het IBAN. Ik kan (ook binnen dezelfde bank) geen geld overmaken naar een andere rekening door NL<controlegetal><bankcode> weg te laten.
Waarom zou je die informatie in een personeelssysteem dan weglaten, en bij elke salarisbetaling er weer bij zoeken?
lenwar
@gfgw23 april 2025 13:13
Salarisbetalingen zijn 'speciaal'. Die worden op een andere manier verwerkt dan reguliere overboekingen. (moet je je voorstellen dat je als groot bedrijf op één dag dan ineens 30.000 transacties moet opsturen en hoe dat er op je afschriftje komt uit te zien ;) )

Salarisbetalingen worden in 'batches' verstuurd per bank. (heel vroeger moest je zelfs bankieren bij de bank van je werkgever, anders kon je je salaris niet ontvangen). Nou is dat voor de huidige tijd natuurlijk wat minder spannend dan in 2005, maar het is nog steeds anders.

Ook heb je in grotere landen dan Nederland/België heb je een bankrekening bij een "filiaal"/branche/regio van een bank, dus daar is dat niet per definitie zo simpel als wij het hebben.
jongetje @pbruins8423 april 2025 08:44
Misschien een kopie of backup die is buit gemaakt die ergens (lokaal) stond?
Joey_k 23 april 2025 09:12
Waar ik dan vooral als oud-werknemer nieuwsgierig naar ben, is of je ergens kunt checken of je gegevens buit zijn gemaakt.

Iets à la “Haveibeenpwnd” of “checkjehack”

(Of waar de gegevens te vinden zijn die nu gelekt zijn, zoek ik zelf wel 😇).
Bor Coördinator Frontpage Admins / FP Powermod
@Joey_k23 april 2025 09:20
Er is geen portal waar je kan controleren of je geraakt bent. Wel heeft AH een melding gedaan richting de getroffen personen. In het artikel staat dan ook:
Ahold heeft mogelijk getroffen (oud-)medewerkers van Albert Heijn, Etos en Gall & Gall per e-mail
ingelicht.
Dat melden naar de getroffen personen hoeft overigens niet in alle gevallen. De AP zegt over het melden richting getroffenen:
U hoeft de slachtoffers alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. U beoordeelt dit zelf op basis van uw risico-inschatting.
In de AVG staan 3 situaties waarin slachtoffers mogelijk niet persoonlijk hoeven te worden geïnformeerd over het datalek:

1. Maatregelen vooraf
U heeft vooraf passende maatregelen genomen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling.

2. Maatregelen achteraf
U heeft achteraf maatregelen genomen die ervoor zorgen dat het datalek is beëindigd. En dat het hoge risico voor de slachtoffers zich waarschijnlijk niet (meer) voordoet. Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad, onmiddellijk heeft geïdentificeerd. En u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.

Let op: Als de onbevoegde ontvanger de persoonsgegevens al heeft ingezien, kan dit soms al een hoog risico met zich meebrengen. Bijvoorbeeld bij medische gegevens. Dan kunt u geen beroep doen op deze uitzondering.

3. Onevenredige inspanning
Het individueel informeren van de slachtoffers vraagt een onevenredige inspanning van u. ijvoorbeeld omdat u de contactgegevens van de slachtoffers bent kwijtgeraakt door het datalek. Of omdat de contactgegevens niet bekend zijn.

U mag de slachtoffers dan ook informeren met een openbare mededeling of een soortgelijke maatregel. Bijvoorbeeld door een bericht te plaatsen op sociale media of in de lokale krant, in combinatie met een mededeling op uw website.

Daarnaast zijn er nog uitzonderingen benoemd in de Uitvoeringswet AVG (UAVG) waarin slachtoffers niet hoeven te worden geïnformeerd:

1. Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld Wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dit weten.

2. Uw organisatie is een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft). De meldplicht aan de slachtoffers geldt dan niet voor u. Wel geldt de meldplicht aan de AP.

[Reactie gewijzigd door Bor op 23 april 2025 09:25]

Muncher 23 april 2025 08:41
Klinkt alsof de hackers lekker persoonsgegevens konden.... HAAAAMMSSTEREN! (sorry) :Y)
veltnet @Muncher23 april 2025 08:48
De persoonsgegevens waren in de bonusaanbieding
Jeroen hofman @veltnet23 april 2025 09:22
en met air Miles
Remcooo87 @Muncher23 april 2025 10:12
Dat is het hackere van Albert Heijn
Jaldea 23 april 2025 09:05
Wat is de boete aan Ahold of wordt er onderzoek gedaan of ze wel de volledige veiligheid hebben gewaarborgd van die privégegevens?

Er komt steeds vaker op het nieuws dat een (groot) bedrijf gehackt is en er veel persoonsgegevens verkregen zijn, de huidige cybersecurity maatregels blijken keer op keer niet voldoende, en het lijkt me dat dat ook bestraft moet worden.
Crawl NL 23 april 2025 09:08
Voor zover ik mezelf heb kunnen inlezen geldt dit niet voor franchiseondernemers, toch?
Davey400 23 april 2025 09:16
“hun bankrekeningnummer zonder IBAN” roept meer vragen op dan dat het zegt.
Het klinkt als ‘downplaying’ van de ernst van de zaak.
Als je de bank weet is de IBAN bepalen natuurlijk helemaal geen kunst, maar zelfs zonder is het achterhalen niet echt lastig meer, al is het maar dat zelfs gokken in een groot deel al heel snel een hit zal geven.
Vooral vreemd waarom dit zo geformuleerd is.
vinkjb 23 april 2025 13:02
Ik werk bij AH gewoon op de vloer en heb gisteren idd een mail gekregen dat er een hack is geweest, met vooral veel waarschuwingen waar iedereen je al voor waarschuwt en toch sommige nog intrappen en wie weet ik ook ooit. Ik hoop het niet, verder was er niks bijzonders te lezen in de mail.

[Reactie gewijzigd door vinkjb op 23 april 2025 13:43]

GoogleWave 23 april 2025 09:43
“ Is het dan mogelijk je BSN gewijzigd te krijgen.
Daarop is het antwoord eenvoudig te vinden:
Je kunt geen nieuw Burgerservicenummer (BSN) krijgen. Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Bron: RvIG, Rijksdienst voor Identiteitsgegevens, Ministerie van Binnenlandse Zaken en Koni”

Dat verklaart waarom je nooit van echt van BSN fraude hoort, altijd afgevraagd
Davey400 @GoogleWave23 april 2025 09:48
Hoewel het BSN op zichzelf niet direct tot identiteitsfraude leidt is het wel degelijk een cruciaal gegeven in allerlei administraties. Als iemand je BSN weet te combineren met andere gegevens, wordt identiteitsfraude wel degelijk makkelijker.

De Autoriteit Persoonsgegevens waarschuwt hier ook voor: het BSN is een bijzondere categorie persoonsgegeven en moet zorgvuldig worden beschermd.

Dus: formeel klopt het dat het BSN 'informatieloos' is, maar de stelling dat je er geen identiteitsfraude mee kunt plegen, is te kort door de bocht.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq