Klantendata Adidas gestolen via externe serviceprovider

Adidas meldt een datalek. Hackers zouden een provider van klantendiensten hebben gehackt. Het Duitse sportmerk heeft maatregelen genomen om de schade te beperken en is een onderzoek gestart.

De gestolen gegevens bevatten contactinformatie van klanten, maar volgens Adidas zijn er geen betaalgegevens of wachtwoorden uitgelekt. Het bedrijf heeft de bevoegde instanties geïnformeerd. Het moet getroffen klanten nog op de hoogte stellen. Adidas heeft nog geen details vrijgegeven over de identiteit van de getroffen serviceprovider. Het is niet bekend van hoeveel klanten de gegevens zijn buitgemaakt en of de eigen systemen van Adidas zijn getroffen.

Dit is niet het eerste datalek bij het sportmerk. Eerder in mei meldde Adidas lekken bij klanten in Turkije en Zuid-Korea. Ook toen werden contactgegevens gelekt, waaronder telefoonnummers, namen, e-mailadressen, adressen en geboortedata. Ook in juni 2018 werden contactgegevens en wachtwoorden van Amerikaanse gebruikers gestolen. Toen ging het om miljoenen gebruikers.

IT-banen

Reacties (71)

TheProst 27 mei 2025 14:17

vraag voor de security specialisten: Is er nog een manier om je data echt veilig te hebben? Ik zie toch echt taloze keren Datalek hier data gestolen daar. Je bent zo afhankeling van de security van plekken waar je je aanmeld.

Skit3000

@TheProst • 27 mei 2025 14:23

Het zou technisch gezien een heel stuk veiliger kunnen als organisaties gewoon helemaal geen gegevens over hun klanten opslaan. Bij het verkopen van schoenen zou het voldoende moeten zijn voor Adidas om enkel een betaallink te sturen (zoals ze nu al doen) en dan te wachten op het seintje van je bank dat de betaling is geslaagd. Zelfs het verzenden zou anders kunnen; in plaats van dat Adidas jouw adresgegevens nodig hebt, zouden ze het zo in kunnen richten dat je zelf een verzendlabel aan maakt bij PostNL of een andere pakketdienst, waarna zij enkel de streepjescode afdrukken en op het pakket plakken.

loewie1984 @Skit3000 • 27 mei 2025 14:27

Het mooiste in mijn ogen zou zijn een omgekeerde DigiD. Dat als klanten of overheden iets van mij willen weten dat ze voor de lengte van de sessie deze info kunnen in zien zonder deze gegevens op te slaan. Gewoon een validatie van: dit is waar de klant woont, dit is de leeftijd, dit is zijn e-mail adres.

En dat ik dan in mijn portaal kan zien welke bedrijven nog toegang hebben tot mijn data, en ik die koppeling/data kan revoken wanneer nodig. En als ik verhuis pas ik mijn gegevens aan, of als ik ouder wordt veranderd mijn leeftijd. Maar niet dat je dat soort informatie maar steeds achterlaat.

Dat zou pas mooi zijn.

cracking cloud @loewie1984 • 27 mei 2025 15:04

Ik denk dat de belastingdienst ook eisen stelt aan wat je moet bewaren aan data.

thetakman @cracking cloud • 27 mei 2025 15:12

Hahaha ja zou een hele mooi boel worden als alle bedrijven hun hele cijfers kunnen aanleveren op anonieme klanten die niet te traceren zijn.

1 troost, hiermee lossen ze wel permanent het zwart geld probleem op, want dat bestaat dan nooit meer.

BlueSix @cracking cloud • 27 mei 2025 20:52

Hier dacht ik ook direct aan, maar toen bedacht ik me dat het met pinbetalingen in de winkel eigenlijk niet heel anders is. De transactie wordt bij de bank wel opgeslagen en wellicht wordt ergens mijn rekeningnummer nog in een administratie verwerkt, maar verder hoeven ze niets uit te leggen aan de belastingdienst.

loewie1984 @cracking cloud • 27 mei 2025 16:20

Hypothetisch hier even op doorgaan:

Ik bestel iets bij Adidas. In de bestel portaal koppel ik mijn gegevens die ik beheer.
Ik doe de betaling.

Adidas ontvangt vervolgens op need to know basis: mijn naam, mijn adres. Meer hoeven ze niet te weten. Er wordt een factuur aan mij verstuurd door Adidas gericht aan mij. Er wordt een pakket met goederen van Adidas verzonden naar mijn adres. Er vindt een banktransactie plaats van mij naar Adidas.
Dan heb je (imho) alle gegevens die je nodig hebt voor de belastingdienst.

Skit3000

@loewie1984 • 27 mei 2025 14:33

dit is waar de klant woont, dit is de leeftijd, dit is zijn e-mail adres.

Ik geloof dat bedrijven dat in de meeste gevallen niet eens nodig hebben. Mocht er toch de behoefte bestaan om klanten na de verkoop te benaderen (bijvoorbeeld voor een terugroepactie), kan dat ook via geanonimiseerde kanalen (bijvoorbeeld een vanitymailadres of doorkiesnummer).

Wat jij beschrijft bestaat overigens al; IRMA.

The Zep Man

Bedrijfsnieuws

@Skit3000 • 27 mei 2025 14:37

Het zou technisch gezien een heel stuk veiliger kunnen als organisaties gewoon helemaal geen gegevens over hun klanten opslaan.

Factuurgegevens moeten zoveel jaar bewaard blijven, dus daarvoor is een juridische grondslag. Omdat je factuurgegevens moet opslaan, moet je klantgegevens opslaan.

[Reactie gewijzigd door The Zep Man op 27 mei 2025 14:38]

Gover

@The Zep Man • 27 mei 2025 14:44

Enkel een tegenrekening is dan voldoende, banken slaan de NAW daarachter sowieso meer dan 20 jaar op. Je moet aan de belastingdienst je omzet kunnen aantonen, ordernummer, betaaldatum, in- en verkoopwaarde. Of je 1 paar sneakers of 1 paar pantoffels besteld of verkoopt doet er voor de belastingdienst niet toe. Dat bedrijven sommige info wel moeten bewaren heeft meer met CBS te maken (en de uitgebreide vragenlijsten die je verplicht ben in te vullen).

The Zep Man

Bedrijfsnieuws

@Gover • 27 mei 2025 14:56

Enkel een tegenrekening is dan voldoende,

Onwaar. Uitgaande facturen moeten bewaard worden voor zeven jaar, waaronder de naam en het adres van de afnemer.

[Reactie gewijzigd door The Zep Man op 27 mei 2025 15:02]

sypie @The Zep Man • 27 mei 2025 16:42

Maar... Wanneer de factuur als PDF wordt bewaard zonder dat alle gegevens in een ERP-systeem staan, is dat dan ook geldig voor de belastingdienst? Het maakt best wel wat uit of je de klantgegevens doorzoekbaar maakt etc in een ERP of een factuurnummer in een map op een server (desnoods alleen vanaf het interne netwerk te benaderen).

The Zep Man

Bedrijfsnieuws

@sypie • 27 mei 2025 18:37

Maar... Wanneer de factuur als PDF wordt bewaard zonder dat alle gegevens in een ERP-systeem staan, is dat dan ook geldig voor de belastingdienst?

Belastingdienst: "bewaar de originele factuur digitaal als die digitaal is uitgegeven".

Dus ja.

laurxp @The Zep Man • 27 mei 2025 16:49

Alleen als je gebruik maakt van facturen. En zoals de belastingdienst duidelijk zegt: "Verkoopt u goederen of diensten aan particulieren? Dan bent u niet verplicht een factuur uit te reiken".

Wanneer heb je voor het laatst bij de Albert Heijn je naam en adres moeten opgeven? Juist, dat hoeft niet. Reken contant af, en ze kunnen geen enkele informatie over de koper doorgeven. Waarom zou een webwinkel niet volgens hetzelfde principe kunnen werken?

The Zep Man

Bedrijfsnieuws

@laurxp • 27 mei 2025 18:39

Alleen als je gebruik maakt van facturen. En zoals de belastingdienst duidelijk zegt: "Verkoopt u goederen of diensten aan particulieren? Dan bent u niet verplicht een factuur uit te reiken".

Het is logisch dat je geen factuurgegevens hoeft te bewaren als je geen facturen hoeft te bewaren. Dat scenario valt buiten de scope van de discussie, wat facturen betreft.

R4gnax @The Zep Man • 27 mei 2025 20:35

De bewaarplicht voor facturen bestaat alleen waar er een factuur nodig is, cq waar je verplicht bent te factureren. En als je goederen of diensten levert aan particulieren ben je doorgaans, uitzonderingen voorbehouden, niet verplicht te factureren.

https://www.belastingdien...n_verplicht_te_factureren

[Reactie gewijzigd door R4gnax op 27 mei 2025 20:36]

The Zep Man

Bedrijfsnieuws

@R4gnax • 27 mei 2025 22:38

Dat was geen onderdeel van de discussie. Als je facturen levert dan moet je ze voor zeven of tien jaar bewaren, inclusief persoonsgegevens.

[Reactie gewijzigd door The Zep Man op 27 mei 2025 22:39]

R4gnax @The Zep Man • 28 mei 2025 01:21

Dat was geen onderdeel van de discussie.

Was het wel.

Jij begon zelf in The Zep Man in 'Klantendata Adidas gestolen via externe serviceprovider' over een factureringsplicht waardoor het onrealistisch zou zijn voor organisaties om minder klantgegevens op te slaan.
En dat plaatste je als antwoord op Skit3000 in 'Klantendata Adidas gestolen via externe serviceprovider' wat overduidelijk over detailhandel-kanalen richting consumenten ging.

[Reactie gewijzigd door R4gnax op 28 mei 2025 01:21]

The Zep Man

Bedrijfsnieuws

@R4gnax • 28 mei 2025 07:38

[...]

Was het wel.

Jij begon zelf in The Zep Man in 'Klantendata Adidas gestolen via externe serviceprovider' over een factureringsplicht waardoor het onrealistisch zou zijn voor organisaties om minder klantgegevens op te slaan.

Ik noem nergens een factureringsplicht. Ik noem factuurgegevens die verplicht zijn om op te slaan. Als je geen facturen hebt dan heb je geen factuurgegevens die verplicht zijn om op te slaan.

Fireshade @Gover • 27 mei 2025 15:14

Als verkoper moet je ook de geleverde producten en de klantgegevens ook opslaan vanwege de garantiewetgeving en de koop op afstand wet.
Dat is nog los van de belasting wetgeving.

[Reactie gewijzigd door Fireshade op 27 mei 2025 15:15]

R4gnax @Fireshade • 27 mei 2025 20:45

Als verkoper moet je ook de geleverde producten en de klantgegevens ook opslaan vanwege de garantiewetgeving en de koop op afstand wet.

Dat hoef je niet. De consument moet aannemelijk maken dat zij een artikel daadwerkelijk bij jou als handelaar aangeschaft hebben om je aansprakelijk te kunnen stellen voor non-conformiteit, of om aanspraak te kunnen maken op hun herroepingsrecht. Dat kan een consument doen middels hun kassabon of andere vorm van betaalbewijs, welke je als handelaar als onderdeel van de transactie verplicht bent aan de consument te verstrekken via een duurzaam medium. (Daaronder valt, digitaal, ook een email adres - maar niet een afschrift binnen een digitaal systeem dat onder beheer van de handelaar of leverancier valt.)

Dat is nog los van de belasting wetgeving.

Je bent in de regel, zeker in de normale detailhandel - ook digitaal, niet verplicht te factureren. In dat geval heb je ook geen factuur om in je BTW-administratie te bewaren. Je kunt dan o.a. middels registratie van kassaverkopen van artikelen aan de belastingdienst alsnog aannemelijk maken hoeveel BTW je verschuldigd bent, en daarvoor zijn geen persoonsgegevens van particuliere kopers benodigd.

[Reactie gewijzigd door R4gnax op 27 mei 2025 20:47]

magician2000 @Gover • 27 mei 2025 21:07

Mensen denken hier toch wel heer erg makkelijk over, over de factuureisen.

Hardstyler1987 @magician2000 • 28 mei 2025 06:41

Nee. Kijk bovenaan die pagina bij ; Wie zijn verplicht te factureren? De detailhandel is in Nederland nooit verplicht om bij particuliere bestellingen te factureren.

magician2000 @Hardstyler1987 • 28 mei 2025 21:00

Nee? Ik zou zeggen, probeer het eens en kijk wat er werkelijk gebeurd. Tenzij je praat over een kassa betaling, zal er altijd sprake zijn van facturatie.

Hardstyler1987 @magician2000 • 28 mei 2025 21:09

Blijkbaar verkeer je in de veronderstelling dat een kwitantie en een factuur hetzelfde zijn. Dat is incorrect. Een kassabon met overzicht van de gekochte producten die je aan een particulier verstrekt is een kwitantie en geen factuur. Die krijg je er bij webshops wel bij, maar boeiend.

Het als service verstrekken van een factuur aan een particulier levert ook geen verplichting op een kopie te bewaren. Voor dat doeleinde is een kwitantie a.k.a. de kassabon voldoende.

Er is geen enkele juridische noodzaak om klantgegevens van particulieren op te slaan.

magician2000 @Hardstyler1987 • 29 mei 2025 20:16

Ik denk dat je niet goed begrijpt wat een kwitantie is. Want een kwitantie bevat vaak een naam, maar absoluut geen BTW. Een kassabon is geen kwitantie.

Webshops leveren geen kwitanties, maar veelal een factuur.

Van iedere factuur moet je een kopie bewaren. Een webshop zal die ook altijd leveren, maar geen kassabon.

Er is zeker wel juridische noodzaak om klantgegevens van particulieren op te slaan.

Hardstyler1987 @magician2000 • 29 mei 2025 22:34

Wat snap je niet aan de volgende tekst?

'Verkoopt u goederen of diensten aan particulieren? Dan bent u niet verplicht een factuur uit te reiken, met uitzondering van de volgende situaties:

U bent een groothandel in levensmiddelen, tabaksproducten, tandheelkundige grondstoffen of (onderdelen van) tandtechnische werken en ten minste 80% van uw afnemers is ondernemer.
U levert een nieuw of bijna nieuw vervoermiddel aan een afnemer in een ander EU-land.'

De complete detailhandel en dus ook webshops, mits het om particuliere aankopen gaat, vallen hier buiten.

Als je niet verplicht bent een factuur uit te reiken ben je ook niet verplicht die aan de fiscus te overleggen indien je het wél doet.

magician2000 @Hardstyler1987 • 30 mei 2025 19:31

Nogmaals, probeer het uit en zie de gevolgen.

William_H @Skit3000 • 27 mei 2025 15:39

Ik denk dat het hier eerder gaat over een service-afdeling. Ze hebben het over een klantendienst. In mijn Nederlands is dat als je bijvoorbeeld een probleem hebt met een schoen en de Serviceafdeling (die tegenwoordig meestal uitbesteed wordt aan externe bedrijven, vandaar dit verhaal) contacteert.

Dan heeft dat dus niks te maken met het bestellen van schoenen op de website van Adidas.nl (ik noem maar een adres), maar wanneer je dus om service vraagt.

Skit3000

@William_H • 27 mei 2025 17:18

Je kunt ook om service vragen zonder dat ze je complete naam en adres hoeven te hebben (mits je aan kunt tonen dat je het product bij hen hebt gekocht).

Zackito @Skit3000 • 27 mei 2025 16:38

Dus dan heeft postnl alsnog mijn gegevens. Interessant doelwit om aan te vallen.

Mijn gegevens bij minder partijen opslaan zou wel fijn zijn overigens.

schrikbeeld @Skit3000 • 27 mei 2025 17:52

Mooi plan van je maar zo'n leverancier wil zoveel mogelijk van je weten om je later met gerichte reclame te kunnen bestoken.
Iedere webshop doet niet anders.

Mathijs Kok @Skit3000 • 27 mei 2025 20:06

Vrijwel alle bedrijven handelen hun betalingen al op die manier af. Wij zien de credit card data nooit, krijgen alleen een ok of niet ok. Maar ik denk dat klanten niet erg blij zullen zijn als ze zelf een verzendlabel moeten maken. Daarnaast... Het zijn vaak niet bedrijven die data will bewaren maar bijvoorbeeld de belastingdienst die wil dat ik elke verkoop vijf jaar kan aantonen. Met volledige naam en adres. Van de belastingdienst moet ik het bewaren en van de rest van de overheid moet ik klanten de klans geven hun data te laten wissen.

Gisteren nog een hele boze meneer aan de lijn aan wie we geen service wilden leveren. Hij had een paar maanden geleden al zijn data laten wissen en was nu kwaad dat we hem niet meer in bestanden konden vinden. Wij zijn heel braaf en wissen zelfs de emails met die klant. Ik had dus gewoon helemaal niets meer van hem en hij kreeg dus geen nieuwe licentie.

magician2000 @Skit3000 • 27 mei 2025 21:04

Dan zou ik dit maar eens bekijken om te ontdekken dat het wettelijk onmogelijk is.

Skit3000

@magician2000 • 27 mei 2025 21:51

Heel leuk, maar al die regels zijn niet van toepassing bij verkoop aan consumenten.

U maakt een factuur voor alle goederen en diensten die u aan andere ondernemers levert.

lenwar

Bedrijfsnieuws

@TheProst • 27 mei 2025 14:35

Het 'kan' prima, maar het is in de praktijk wel complex. Je moet er echt iets omheen bouwen. Er is niets algemeens te zeggen over wat de beste manier is. In de basis begin je met het 'niet aan het internet hangen' van diensten die er niets te zoeken hebben. (zoals een databaseserver of applicatieserver). Daar zet je iets voor.

Stel je hebt een webwinkel die sportschoenen verkoopt. Die site bestaat uit: Een webserver, een applicatieserver en een database.

De webserver haalt informatie uit de applicatieserver, de applicatieserver haalt informatie uit de database.

Dit is relatief makkelijk af te kaderen. De webserver mag alleen via één protocol naar de applicatieserver communiceren, enz. Er zijn allerlei maatregelen met throttling (één webclient-sessie mag maar één sessie openen naar de applicatieserver, en de applicatieserver mag maar één query doen per webserver sessie. Alles wat afwijkt, wordt geblokkeerd.

Makkelijk.

Tot zover de zuiver theoretische situatie

Maar nu komt de crux. Die website bestaat niet uit één webserver, één applicatieserver en één databaseserver. Sterker nog. Het is één (klein) onderdeel van een compleet bedrijf. Het is een complete straat aan allerlei verschillende soorten webservers/applicatieservers/databaseservers. Er moeten rapportages worden gemaakt. Er moet marketing gedaan worden, er moeten mails uitgestuurd worden, koppelingen met dataanalysebrijven, overheden (verschilt per land), enz, enz.

De datastromen worden al snel een brij aan informatieflows. En dan hoeft er maar één zwakke schakel te zijn in de keten, en die kan dan net misbruikt worden.

Dan heb je aan de andere kant ook nog zaken als phishing/malware. Uiteindelijk moet al dat spul beheerd worden. Iedereen kan een keer op een verkeerd moment op het verkeerde mailtje klikken. Want aan de andere kant van diezelfde webserver/applicatieserver/database server zit een heel beheer-netwerk, dat ook weer contact heeft met werknemers/laptops/enz.

Als je bovenstaande in acht neemt, is het soms zelfs al een wonder dat ze er achter zijn gekomen dat het lek er was.

TheProst @lenwar • 27 mei 2025 15:28

Ja, dat vraag ik me dus ook altijd af. Hoe veel hebben ze geprobeerd voordat het geluk is. Maar lijkt tegenwooridug bijna onmogelijk om het 100% beveiligd te hebben. Liefst heb ik inzichtelijk waar ik overal accounts heb en verwijder die allemaal om risco te beperken. Maar dat lijtk mij onmogelijk omdat ik geen idee heb waar ik allemaal accoutns in de loop van de jaren hebt geopend. Ivm met alle game accounts, webshop accounts.

lenwar

Bedrijfsnieuws

@TheProst • 27 mei 2025 15:34

Nou ja, en nog veel meer.

Kijk alleen al naar de cookieverklaring van Tweakers. Tweakers werkt met meer dan 50 advertentiebedrijven en meer dan 50 bedrijven voor 'veiligheid, fraudebeperking, enz.' Deze website kan dus al met 100 bedrijven data uitwisselen. 100 bedrijven waar jij en ik nooit van gehoord hebben. Nou zeg ik niet dat die 100 bedrijven onze mail adressen ontvangen, maar je snapt waar ik naartoe wil. Het is ondoenlijk om te weten bij hoeveel bedrijven onze data is en hoe zorgvuldig die bedrijven zijn.

Ook Tweakers/DPG-Media kan dit nooit met zekerheid weten. Laat staan met hoeveel vierden die bedrijven onze data uitwisselen.

gitaarwerk @lenwar • 27 mei 2025 16:08

Yep; dat is een van de kanten van het verhaal. Marketing in ieder geval.

Als developer bij een grote partij (en andere grote partijen), zijn er altijd ook hoe verantwoordelijkheden werken. Daar wordt het dan lastig.

In geval van marketing:

Stel; men wilt advertenties tonen op meerdere devices van dezelfde gebruiker. Nu kun je dit met een identiefier doen. Ooit met een grote Franse partij gezeten die op basis van md5 hash van een email je wilde retargetten. Je ziet de buil al hangen. Open database is dus emails gelekt. Maar... ook dit soort bedrijven willen je data gemakkelijk kunnen gebruiken om te fungeren als data-broker.

Fast forward naar nu, stel, je wilt als bedrijf alles goed doen (en dat willen we waar ik nu zit heel graag), kun je consent vastleggen. Ook voor kleine dingen kun je dit fijnmazig inregelen. Nu stuur je voor marketing dit consent dus door naar bijvoorbeel hetgeen wat de tracking beheerd. Google Tag Manager. Daar zit het geheel ingebakken. Dan weet je niet wat in een derde partij softwae gebeurd met deze gegevens. Je kan dan kiezen om het dus helemaal al niet te versturen. Nadeel is dat je als beheerder/dev van jouw domein invulling gaat geven aan iets waar je ogenschijnelijk minder kennis van zou hebben. Nu is hier de de crux ook, wie is die derde partij? en de beheerders, zijn die wel zo op de hoogte als "wij". (soms wel, soms niet). En dan heb je nog het dus vertrouwen.

Binnenkort doe ik een talk ergens hierover; niet als specialist, maar als dev die vanuit zijn positie kijkt naar dit soort vraagstukken en hoe je hier de juiste vragen kan stellen en je onderzoek doet. Dat is geen garantie of eis, maar het zal helpen de juiste beslissingen te maken, hopelijk.

Terug op het hoofdonderwerp; hoe kun je het doen? er zijn veel manieren om alles te verbeteren. Een van de dingen is dat APIs/data nooit jouw gegevens 1 op 1 terug gaat geven. Denk hierbij bij een 2FA request waarbij je email met heel veel sterretjes staat. Daarbij is het nog vervelend dat die afgeschermde gegevens nog net leesbaar kunnen zijn. Maar alle beetjes helpen.

Geen get requests maken met postcode checks/emails etc. Alles kan in logs blijven hangen bij het bedrijf, of alles tussen klant en bedrijf, (zowel in huis, buitens huis, bij het bedrijf, of ergens waar je niet wilt)

Geen scripts toelaten op de site, en werk enkel met tracking die opt-in is (opt out is de meest onhandigste keuze).

En er is nog een hoop te noemen.

Ik hoor vaak dat de persoon (dev) zich bij zijn vak moet houden, maar silo-denken helpt bijvoorbeeld bij dit totaal niet. Ook zijn de kennis en beschikbaarheid van de CISO en privacy officer niet te schalen; dus zelf er over na blijven denken is altijd een must. En daarna nog even kort checken bij deze en genen.

Dit is in ieder geval mijn boodschap aan mijn mede dev collega's; en die ik ermee kan inspereren om dit te doen, is meegenomen

R4gnax @lenwar • 27 mei 2025 21:00

Het is ondoenlijk om te weten bij hoeveel bedrijven onze data is en hoe zorgvuldig die bedrijven zijn.

Dat is dan ook waarom het Belgische Marktenhof als onderdeel van de uitspraak die het "Transparency & Consent Framework" (TCF) van de Europese divisie van het van origine Amerikaanse Interactive Advertising Bureau (IAB) illegaal verklaart heeft, gesteld heeft dat de verwerkingsgrondslag "gerechtvaardigd belang" nooit wettelijk gebruikt kan worden binnen het kader van online advertenties waarbij "Real-Time Bidding" (RTB) gebruikt wordt. RTB omvat nl. een extreem hoog risico grip op de omloop van de gegevens te verliezen.

https://www.iccl.ie/digit...urope-has-no-legal-basis/
https://www.iccl.ie/digit...judgement-of-14-may-2025/

Real-time bidding is hiermee, dankzij de rechtsgelijkheidsprincipes die in de AVG/GDPR vastgelegd zijn, in de gehele Europese Unie effectief illegaal. In afwezigheid van de mogelijkheid gerechtvaardigd belang te gebruiken, resteert de grondslag toestemming. (De grondslag "uitvoering contract" is al eerder ontoepasbaar verklaart inzake Meta.) En het is onmogelijk om vooraf de gebruiker om weloverwogen toestemming te vragen, waarbij alle mogelijke ontvangers en verwerkers van de gegevens vermeld moeten worden. Die gegevens heb je bij real-time bidding namelijk helemaal niet.

Dat gaat nog een behoorlijk juridisch spektakel worden als dit eenmaal goed inzinkt en bewustwording krijgt.

Sailliant detail: deze uitspraak bevestigt ook dat waar de beheerder van een gegeven niet de partij is die redelijkerwijs de mogelijkheid heeft om middels dat gegeven een persoon te herleiden, dat gegeven alsnog gewoon een persoonsgegeven is - zolang er maar enige andere partij kan bestaan die dat redelijkerwijs wel zou kunnen en die redelijkerwijs zich toegang tot die gegevens kan verschaffen.

[Reactie gewijzigd door R4gnax op 27 mei 2025 21:04]

Rob Coops @TheProst • 27 mei 2025 14:52

Nee.

Maar dat was nooit het geval, vroeger toen ik nog jong en vitaal was knalde er eens in de zo veel tijd een dikke dode boom op de deurmat. Dat was het telefoonboek voor de omgeving waar je woonde en daar instonden vrijwel alle telefoon nummers van alle mensen om je heen. Als je dus wilde weten waar J, Jansen woonde kon je gewoon alle J. Jansen opzoeken en hun address en telefoon nummer vinden.

Als je geboorte data wilde weten dan was ook dat meestal gewoon beschikbaar via het bevolkingsregister bijvoorbeeld. En zo waren eigenlijk alle nu oh zo geheime gegevens gewoon beschikbaar zonder dat iemand er ooit van wakker lag.

Het geen dat veranderd is is twee delig aan de ene kant is het nu veel makkelijker om die gegevens te vinden en dankzij de moderne computer kinderlijk eenvoudig om miljoenen van deze gegevens te verzamelen waardoor een lek van deze gegevens vaak veel meer mensen raakt.
Daar naast zijn we van een fysieke samenleving naar een digitale samenleving gegaan. En is het dus mogelijk om dit soort gegevens digitaal te misbruiken waar je vroeger naar een kantoor of een bank toe moest kun je dat nu allemaal van grote afstand online doen en is er vrijwel nooit een simpele check waar men zegt hey, is het niet raar dat deze mevrouw/meneer uit Thailand iedere seconde claimt een andere persoon te zijn. Dit zorgt er voor dat misbruik een heleboel waarschijnlijker is omdat de pak kans flink kleiner is en de succes kans simpel weg dankzij de enorme hoeveelheden pogingen een stuk groter is.

Dit is waarom een datalek tegenwoordig een veel groter probleem is en je vroeger gewoon naam address en telefoon nummer door de brievenbus geduwd kreeg en dat nooit een probleem leek.
Toen deze gegevens online werden gezet was iedereen blij toen men een omgekeerd online telefoonboek maakte (de naamgeving was nog niet echt goed uitgewerkt) was het een ramp op eens kon ik van een willekeurig telefoon nummer uitvinden welk address deze bij hoorde. En dat was een schending van privacy... Telefoon boeken waren op alfabetische volgorde en je kon dus eigenlijk niets met een telefoon nummer.

rko4u @Rob Coops • 27 mei 2025 16:19

U beschrijft wel de tijd dat je een veilig touwtje uit de brievenbus kon hangen zonder dat je ban was voor insluipers. Online is dat ook heel lang goed gegaan.

Rob Coops @rko4u • 27 mei 2025 17:09

Absoluut andere tijden. En online ging dat al van af dag een mis...

Ik weet nog wel dat ik in '95, denk ik dat het was, een virus scanner kocht, downloaded met een gegenereerde credit card bijvoorbeeld. Dat was toen nog gewoon mogelijk zeker als je buiten de VS woonde omdat er totaal geen kennis was aan de kant van politie of justitie en zelfs als die er geweest was was er totaal geen data beschikbaar om dagen na dat de misdaad gepleegd was te achterhalen wie toen dat IP had bijvoorbeeld.
Ik was ook veel jonger en had nooit gedacht dat het zou werken maar gewoon eens proberen en het werkte gewoon. De tool stond beschreven in een computer magazine dat gewoon in de lokale boekhandel lag en makkelijk te vinden was op de FTP server waar gratis software waar het magazine over schreef te vinden was.

Ook online waren toen al zeker op nieuws groepen en BBS'en dingen te vinden die het dag licht absoluut niet konden verdragen. Omdat een thumbnails nog niet echt een ding waren (veel te weinig bandbreedte aan zowel de server als de client kant) gebeurde het nog wel eens dat je letterlijk per ongeluk een plaatje deed downloaden dat je onmiddellijk weer verwijderde en nooit meer zal vergeten.
Misbruik van gebruikers data was veel minder een ding omdat er simpel weg te weinig gebruikers waren en het hele idee van een profiel maken van je gebruikers nog niet echt was uitgewerkt want ook hier gold al weer dat de hardware van toen niet instaat was dat efficient te doen. Dus die droom die vast al wel bestond aan de kant van de marketing mensen kon nog niet uitgevoerd worden. Met dat dat wel mogelijk was waren er voldoende andere die geld zagen in die zelfde data...

Omdat de hardware te langzaam de bandbreedte te beperkt en de gebruikersaantallen te klein waren leek het toen goed te gaan. In werkelijkheid werden toen al de beginsellen van de huidige problemen ontdekt en beschreven. Alleen heeft het nog vele jaren mogen duren voor de massa het probleem begreep en de media er aandacht aan bestede.
Nu zijn er zo veel dingen gebouwd op funderingen waar men eigenlijk al sinde de jaren 70 en 80 van wist dat het niet goed zat maar toen was het nog geen probleem in de jaren 90 zag men de problemen omdat de gebruikers aantallen zeer snel stegen de data die opslagen kon worden altijd maar meer werd en de eerste data lekken op grotere schaal voor problemen begonnen te zorgen.
Ondanks dat werd er zo veel geld verdiend boven op de onveilige oplossingen dat men gewoon door is gegaan met bouwen. En in middels is het een heel groot probleem geworden.

Of het nu om email gaat, of om snmp om tcp/ip of om dhcp allemaal hebben ze alle beveiliging pas veel later en op een zeer onnatuurlijk manier toegevoegd. Dat is voor de vele netwerk hardware en software niet anders, allemaal pogen ze op de zelfde wankele fundering een soliede beveiliging te bieden zonder ooit het echte onderliggende probleem aan te pakken en de basis technologie te verbeteren.
Maar goed dat is een heel ander verhaal natuurlijk.

Frappuccino @TheProst • 27 mei 2025 14:45

Bij bedrijven bestellen waar je geen account aan hoeft te maken kan een mogelijkheid zijn.
Al zijn die wel relatief schaars.

CAPSLOCK2000

Hack

@Frappuccino • 27 mei 2025 15:15

Bij bedrijven bestellen waar je geen account aan hoeft te maken kan een mogelijkheid zijn.
Al zijn die wel relatief schaars.

Vergis je niet, dat betekent nog niet dat je gegevens niet worden opgeslagen. Ze zullen ze in ieder geval je adres een tijdje moeten opslaan om je pakje op te kunnen sturen. Soms is het enige verschil tussen wel of geen account aanmaken dat je al een wachtwoord instelt of nog niet.

Frappuccino @CAPSLOCK2000 • 27 mei 2025 15:49

Ik zeg ook niet dat het zaligmakend is, maar er zou theoretisch minder data achter moeten blijven dan wanneer je een account hebt. En er zijn zelfs bedrijven, zoals bijv Amazon, waar je je credit card gegevens op kunt slaan. Leuk als je van makkelijk houdt, maar ik beschouw dat niet als veilig.

CAPSLOCK2000

Hack

@TheProst • 27 mei 2025 15:20

vraag voor de security specialisten: Is er nog een manier om je data echt veilig te hebben? Ik zie toch echt taloze keren Datalek hier data gestolen daar. Je bent zo afhankeling van de security van plekken waar je je aanmeld.

Nee, helaas niet, er is teveel waar je geen controle over hebt.

Ik adviseer dus om zo min mogelijk informatie te delen en als je iets moet delen om dan zoveel mogelijk te liegen. Helaas is dat niet altijd mogelijk of verstandig. Als het om een paar schoenen gaat zie ik niet zoveel problemen maar tegen je bank of je verzekeraar kun je maar beter niet liegen.

TheProst @CAPSLOCK2000 • 27 mei 2025 15:31

Weet jij toevallig een manier om te achterhalen waar je allemaal accounts hebt of hoe je die kan laten sluiten? Via pwned zie ik wel dat mijn primaire email in 2021 is gelekt met adres en 06 maar voor de rest met mijn andere emails geen idee waar ik accoutns heb.

Ja, maar toch kan je niet echt een nepadres geven als je schoenen of wat dan ook betseld. Het moet immers besteld worden op je adres.

Mathijs Kok @CAPSLOCK2000 • 27 mei 2025 20:10

Als het om een paar schoenen gaat zie ik niet zoveel problemen maar tegen je bank of je verzekeraar kun je maar beter niet liegen.

Als schoenverkoper moet ik je naam, adres, email adres en schoenmaat weten. Over welke wilde je gaan liegen?

R4gnax @Mathijs Kok • 27 mei 2025 21:10

Naam hoef je alvast niet te weten, alleen bezorgadres. Want detailhandel heeft geen factureringsplicht richting consumenten en derhalve ook geen plicht niet-bestaande hypothetische facturen richting consumenten opgesteld, te bewaren in de BTW administratie.

Verder heb je ook geen noodzaak een email adres (of telefoonnummer) te weten.
Dat is enkel handig als er problemen ontstaan met de bezorging, maar de consument kan alsnog kiezen dat risico te accepteren. Sterker nog: briefpost is ook nog een mogelijkheid en je hebt al de beschikking over het bezorgadres. Dus er is geen strikte noodzaak - zoals in de officiele formulering van de grondslag "noodzaak voor uitvoering contract".

Schoenmaat? Nee. Heb je ook niet nodig. Klant vraagt om een bepaalde schoen, cq. artikelnummer, waar een bepaald maatbereik bij hoort. Maar jij hebt om dat artikel te kunnen leveren, wederom, geen noodzaak de exacte schoenmaat te weten.

CAPSLOCK2000

Hack

@Mathijs Kok • 28 mei 2025 12:56

Als schoenverkoper moet ik je naam, adres, email adres en schoenmaat weten. Over welke wilde je gaan liegen?

Je moet natuurlijk niet liegen over data die voor jezelf belangrijk is, zoals je schoenmaat. Ik zou echter niet weten waaarom jij als schoenverkoper mijn naam of e-mail-adres nodig hebt.

MIjn woonadres heb je wel nodig, maar eigenlijk ook niet echt. De postbode heeft het nodig, niet de verkoper.
Er is op dit moment geen praktische manier om daar mee om te gaan maar in theorie kan die informatie gescheiden blijven.

SprockerJock @TheProst • 27 mei 2025 16:04

Easy. Maak geen accs aan op ieder site dat je tegenkomt.

Is die €25 cashback het echt waard om je gegevens te grabbel te gooien?

Anderzijds is het aantal sites die mijn echte gegevens hebben op 2 handen te tellen.

TheProst @SprockerJock • 27 mei 2025 16:23

Ik heb nog nooit een account aangemaakt voor zoiets. Alleen voor dingen zoals streaming diensten en game accounts.

Dat had ik ook moeten doen. niet mijn echte gegevens in vullen...

R4gnax @TheProst • 27 mei 2025 19:31

Totaal niet delen buiten waar je er niet aan kunt ontkomen door bijv. wettelijke verplichtingen. En zelfs dan ga je nog nat. Neem bijv. het grote lek bij de organisatie Samenwerkende Tandartsen een tijd terug.

(Die gegevens zijn trouwens gewoon uitgelekt het dark web op en worden misbruikt. Daar kun je gerieflijk van op aan. Ik ken mensen die recentelijk gebeld zijn door 'de politie' met volledige sets gegevens die ze nooit ergens anders gedeeld hebben als met bijv. een zorgverlener zoals de tandarts. En de 'ijskastperiode' waarbij die gestolen gegevens een tijd lang niet gebruikt gaan worden, is juist zo ongeveer verlopen. Komt iets te perfect uit.)

Wouterie @TheProst • 27 mei 2025 21:46

Ja en nee. Als je ziet hoeveel data er opgeslagen staat her en der, dan gaat het veel vaker goed dan mis. Aan de andere kant wordt er ook wel heel veel data opgeslagen en uitgewisseld. Geen idee welke data Adidas allemaal heeft verzameld, maar wat moet een schoenmaker nou aan data hebben?! Wees dus niet al te scheutig met je gegevens! Moet bedrijf xyz echt weten welke bloedgroep je hebt en of je liever koffie of thee drinkt? Je moest eens weten wat mensen allemaal zomaar weggeven aan data.

lenwar

Bedrijfsnieuws

27 mei 2025 14:19

Ik begin hier langzamerhand een beetje zout van te worden. Eigenlijk toont dit aan dat er eigenlijk gewoon op veel en veel minder plaatsen contactgegevens opgeslagen moeten worden. Centraliseren, en laat bedrijven maar met API's daar naartoe communiceren. Uiteraard creëer je dan een paar 'choke points', maar dit gebeurt zo ongelofelijk vaak.

Ik krijg de laatste maanden bijna dagelijks phishing mailtjes van bedrijven waar ik geen klant ben (Eneco, Vattenfall, ANWB, ABN-AMRO, Rabobank, McAfee enz.) of van pakketbezorgers die ineens een paar euro willen hebben om me mijn pakketje te geven. Ik durf erom te wedden dat ik op dit soort lijsten ben gekomen door dit soort datalekken.

Data veilig opslaan is gewoon een vak apart en laat dat in vredesnaam over aan een paar gespecialiseerde organisaties in plaats van dat ieder marketingbureau of analyticsbedrijfje een eigen databaseje bijhoudt.

turkeyhakan @lenwar • 27 mei 2025 14:24

Voorstel: we leggen onze gegevens vast bij de Autoriteit Persoonsgegevens en bouwen per website een koppeling naar deze website (raadpleeg functie) :-) Maar hoe ga je vervolgens om met de order/factuurgegevens?

En dan hebben we natuurlijk nog de websites buiten NL..

[Reactie gewijzigd door turkeyhakan op 27 mei 2025 14:24]

lenwar

Bedrijfsnieuws

@turkeyhakan • 27 mei 2025 14:45

Ik schreef nadrukkelijk 'veel en veel minder'. Niet helemaal niet.

Een postorderbedrijf heeft uiteraard NAW/contactgegevens nodig. Maar niet iedere serviceprovider heeft dit nodig en kan met een stuk minder verder, of hoeft dit echt niet perse zelf op te slaan. (het verschilt per serviceprovider welke data wel of niet 'daar' opgeslagen moet worden, natuurlijk.)

Alleen Tweakers heeft (op het moment van schrijven) al 56 advertentiepartners, en 58 partners voor 'beveiliging, fraude voorkomen, enz.' en dit zijn zelfs relatief kleine getallen.

Nou zeg ik niet dat al die bedrijven m'n e-mailadres hebben natuurlijk, maar ik ben ervan overtuigd dat er wereldwijd gigantisch veel bedrijven zijn die mijn Naam/E-mailadres ergens hebben opgeslagen staan waar ik nooit van m'n leven van gehoord heb, en dat die ook prima zonder kunnen en dus een soort koppeling kunnen maken met een geanonimiseerde derde partij die hierin is gespecialiseerd. (als het dan toch al aan mijn persoon gekoppeld moet kunnen worden)

Fugitive2008 @lenwar • 27 mei 2025 14:24

Volgensmij is het ook zo dat wanneer je ergens een product koopt je soms ook akkoord gaat met de kleine lettertjes waarin staat dat een webwinkel bepaalde klanten gegevens met 'anderen' mag delen en dit dus vrijwel altijd reclame bureaus zijn. Ik kan hier even geen voorbeeld bij vinden maar meen in het verleden daar wel eens tegenaan gelopen te zijn.

[Reactie gewijzigd door Fugitive2008 op 27 mei 2025 14:26]

Jol65 27 mei 2025 14:17

Ik vraag me altijd af waarom een bedrijf als Adidas een geboortedatum nodig heeft. Ik vul in ieder geval iets anders in.

dutchgio @Jol65 • 27 mei 2025 14:24

Voor aanbevelingen op basis van je profiel, een kortingscode met je verjaardag etc.
Maar eigenlijk is het helemaal niet nodig om enkel die bestelling te doen.

Rob Coops @Jol65 • 27 mei 2025 14:27

Omdat men graag wil zeggen gefeliciteerd met je verjaardag

De echte reden is iets anders het geeft Adidas de mogelijkheid om je in te delen in een leeftijds groep en dus uit te vinden welke leeftijdsgroep naar welke producten kijkt, hoe ze de site of de app gebruiken welke route ze nemen om de site te bereiken en zo nog een hele lading van marketing, design en UI technische wetenswaardigheden waar door men de waren beter kan verkopen de site beter kan maken en producten kan ontwerpen die goed aansluiten bij de wensen van de doelgroep.

zx9r_mario @Jol65 • 28 mei 2025 08:47

Ik gebruik altijd de unix startdatum 1-1-1970

Randfiguur 27 mei 2025 14:19

maar volgens Adidas zijn er geen betaalgegevens of wachtwoorden uitgelekt.

Zo'n zin lees ik vaker in soortgelijke nieuwsberichten, maar ik zet er mijn vraagtekens bij. Ik kan me goed voorstellen dat organisaties dit ten tijde van hun mededeling aan de pers nog niet (kunnen) weten, maar het nieuws zo positief mogelijk willen houden.

Of valt de scope van datadiefstal toch al snel met zekerheid te bepalen?

lenwar

Bedrijfsnieuws

@Randfiguur • 27 mei 2025 14:21

Als de service-provider een marketingbureau is dat analyses op browsegedrag doet, dan zullen er geen betalingsgegevens bij zitten toch?

R4gnax @lenwar • 27 mei 2025 19:39

Hangt af van wat de scope is van wat ze aan browsegedrag verzamelen.

Organisaties als Facebook/Meta hebben bijv. een soort van automatische piloot stand voor het verzamelen van marketinggegevens die letterlijk alles wat de gebruiker in invoervelden invult, opslurpt als ware het een keylogger. Websites die dat gebruikt hebben waren in de EU gewoon in overtreding van de AVG/GDPR (ligt een rechtszaak over in, vziw, Oostenrijk - aangespannen door NYOB).

Niet ondenkbaar dat anderen met een minder groot profiel / aanwezigheid dat dus ook gewoon doen.
En dan in sommige gevallen ook betaalgegevens mee kunnen pakken.

Het gaat hier alleen niet om een marketingbureau. Maar om een bedrijf dat de klantenservice afhandelt.
En als die ook met betalingstransacties werken (bijv. voor refunds?) kan er best wel de mogelijkheid zijn dat er wat doorlekt.

[Reactie gewijzigd door R4gnax op 27 mei 2025 19:41]

Dennism @Randfiguur • 27 mei 2025 14:30

Of zoiets snel te bepalen is hangt van de situatie af, echter betaalgegeven of wachtwoorden zal je niet heel snel opslaan bij een externe partij verantwoordelijk voor klantenservice zoals hier vermeld in het artikel. En als je dan weet welke data er mogelijk wel staat bij de getroffen dienstverlener kan je natuurlijk vrij snel uitsluiten wat er niet gelekt kan zijn, simpelweg omdat die partij die data niet heeft.

Daarnaast kan je, als je nog niet zeker weet wat er buit gemaakt is, daar beter helemaal geen uitspraken over doen en zeker niet roepen dat X of Y niet buitgemaakt is als je daar niet 100% zeker van bent, als dat immers niet klopt kan dat (juridisch) gevolgen hebben.

Wasabi! 27 mei 2025 14:31

Privé gegevens...... denkt aan een oud telefoonboek...... Ooit gehad dat mijn geheime nummer erin stond, foutje bij Ziggo, jaren goed gegaan, opeens stond ik erin. Kwam er bij toeval achter. Duurde weer een jaar voordat ik uit het papieren boek was in de nieuwe editie.

CPV @Wasabi! • 27 mei 2025 19:32

Problemen met geheime nummers zijn al heel oud:

de familie Ten Cate had telefoonnummer 1;
Hofkes had 2,
Bendien had 3,
Smits had 4,
Salomonson had 5,
Palthe had 6,
Hospes had 7,
Ter Beek had een geheim telefoonnummer
Dijkers had 9."

Herman Finkers.

Wasabi! @CPV • 27 mei 2025 21:39

Haha, classic

Kimbo72 27 mei 2025 19:05

O vandaar dat ik elke dag 5 berichten van Mcafee in mijn spam vind.

Op dit item kan niet meer gereageerd worden.

Klantendata Adidas gestolen via externe serviceprovider

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: