Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener

CZ heeft eind augustus een datalek gehad, waardoor een klein aantal verzekerden een bericht heeft gezien dat niet voor hen bedoeld was. De zorgverzekeraar bevestigt dit aan Tweakers en licht toe dat het kwam door een technisch probleem bij een externe IT-dienstverlener.

De Nederlandse zorgverzekeraar CZ meldt aan Tweakers dat het bedrijf op 21 augustus een datalek heeft gehad. Tweakers stelde hierover vragen naar aanleiding van een comment van een tweaker die een persoonlijk bericht van CZ heeft gekregen over een datalek. Die comment is geplaatst bij een nieuwsartikel over een soortgelijk datalek bij het Belgische zorgfonds Helan.

"Door een technisch probleem in MijnCZ heeft u een bericht gezien dat niet voor u bedoeld was", begint het bericht van CZ aan deze klant. "Onze oprechte excuses daarvoor, we vinden het heel vervelend. We kunnen ons voorstellen dat dit u bezorgd maakt. In deze brief leggen we uit wat er gebeurd is en wat dit voor u betekent."

De woordvoerder van CZ bevestigt het datalek. "Door een technisch probleem in de Mijnomgeving van CZ is op 21 augustus gedurende een korte tijd een bericht zichtbaar geweest voor een verzekerde waarvoor dit bericht niet was bedoeld." Dit datalek speelde tussen 15.00 en 17.00 uur op donderdag 21 augustus.

"We hebben het snel ontdekt en de toegang tot MijnCZ direct dichtgezet. Het probleem is kort daarna verholpen." Het gaat om een groep van 105 verzekerden, aldus de woordvoerder van het bedrijf met vier miljoen verzekerden. "Omdat het om een beperkte groep gaat, konden we de betreffende verzekerden persoonlijk benaderen via telefoon en via een brief om naast onze excuses ook ondersteuning aan te bieden."

De woordvoerder benadrukt dat het zorgvuldig beveiligen van persoonlijke gegevens heel belangrijk is voor CZ. "We vinden het dan ook erg vervelend dat het in dit geval niet goed is gegaan." Hij geeft aan dat er geen sprake is geweest van een hack. Het datalek is diezelfde dag nog gemeld bij de privacytoezichthouder Autoriteit Persoonsgegevens.

Het datalek 'was het gevolg van een technisch probleem bij een externe IT-dienstverlener waar wij als CZ wel verantwoordelijk voor zijn'. Tweakers heeft vervolgvragen uitgezet over de aard van het technische probleem, de externe partij en de activiteiten van dat bedrijf.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 04-09-2025 07:03 89

04-09-2025 • 07:03

89

Lees meer

Secret Service ontmantelt crimineel netwerk dat 5G-netwerk van NY kon platleggen
Secret Service ontmantelt crimineel netwerk dat 5G-netwerk van NY kon platleggen Nieuws van 23 september 2025
Te vroege IT-update koppelde klantgegevens en betalingen verkeerd bij Helan
Te vroege IT-update koppelde klantgegevens en betalingen verkeerd bij Helan Nieuws van 8 september 2025
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd Nieuws van 3 september 2025
Belgisch ziekenfonds Helan koppelt data en betalingen aan verkeerde personen
Belgisch ziekenfonds Helan koppelt data en betalingen aan verkeerde personen Nieuws van 2 september 2025
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen Nieuws van 29 augustus 2025
Meer producten en artikelen
Bedrijfsnieuws Websites en community's Politiek en recht Privacy Cz Datalek Zorgverzekering

Reacties (88)

-Moderatie-faq
88
86
52
3
0
26
Wijzig sortering

Sorteer op:

Weergave:
m-a-r-t-1 4 september 2025 07:26
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo. In dit geval zal dat wel meevallen, maar het ene naar het andere bericht verschijnt over gelekte gegevens. Maak het mogelijk om een nieuw BSN nummer te krijgen en laat de partij die het heeft laten lekken dit maar betalen.

Ik zeg maar wat hè, heb er weinig verstand van. Maar verander het systeem, we hebben DigiD. Laat partijen alleen een hash die gekoppeld is aan DigiD gebruiken of zo, zodat de persoonlijke gegevens alleen in DigiD zijn en blijven opgeslagen. Laat ieder bedrijf dat denkt persoonsgegevens nodig te hebben hier verplicht gebruik van maken. Het huidige systeem kan echt niet meer.

[Reactie gewijzigd door m-a-r-t-1 op 4 september 2025 07:29]

The Zep Man
@m-a-r-t-14 september 2025 07:36
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo. In dit geval zal dat wel meevallen, maar het ene naar het andere bericht verschijnt over gelekte gegevens. Maak het mogelijk om een nieuw BSN nummer te krijgen en laat de partij die het heeft laten lekken dit maar betalen.
M.b.t. het BSN: het is (ook) een taak van de overheid om dit niet meer te gebruiken als geheime voor bepaalde processen. Daarmee zou het lekken ervan een stuk minder erg zijn.

[Reactie gewijzigd door The Zep Man op 4 september 2025 07:41]

gaskabouter @The Zep Man4 september 2025 11:16
Telkens dezelfde rare reflex. Mensen moeten toch echt geïdentificeerd worden.

BSN gelekt? Afschaffen

Naam gelekt? Afschaffen?

Misschien ligt het niet aan de manier waarop we ermee omgaan?
108rogar @gaskabouter4 september 2025 14:56
Het punt is dat BSN lekken hetzelfde zou moeten zijn als naam lekken, maar dat niet zo is, omdat het BSN naast unieke identificatie ook als een soort wachtwoord gebruikt wordt. Terwijl het daar niet geschikt voor is, want je kunt je BSN niet wijzigen, en het staat in allerlei post.

Lekken op zich zijn niet uit te sluiten, maar het zou niet meteen zo'n groot risico op identiteitsfraude moeten zijn.
karma4 @108rogar4 september 2025 15:19
Simpele conclusie HET BSN MAG NIET ALS PASSWORD gebruikt worden.
Eenvoudiger is het niet. Dat zelfs een instantie als de AP daar veel moeite mee heeft zegt genoed.
gaskabouter @108rogar4 september 2025 17:15
Ik hoor dat steeds maar ik heb nog nooit iets kunnen regelen met mijn BSN.

Ik moet altijd gewoon inloggen met DigiD.

En hoe zie je zo'n conversie voor je? Met alles wat al is opgeslagen?

Ict moet gewoon zijn werk doen en spullen netjes beveiligen en niet zeuren over wat er beveiligd moet worden.
bytemaster460 @108rogar4 september 2025 22:34
Ik weet dat je een jaar of 15 geleden nog van alles kon regelen met enkel een BSN. Wat kun je anno 2025 nog regelen met alleen een BSN? zover ik weet is dat inmiddels nagenoeg aangepast zodat identificatie nodig is.
108rogar @bytemaster4605 september 2025 12:33
Geen idee wat er kan, maar er wordt nog steeds bij ieder datalek met BSN's ophef gemaakt over identiteitsfraude, dus blijkbaar is het nog mogelijk.
bytemaster460 @108rogar6 september 2025 01:44
Volgens mij is het tegenwoordig behoorlijk overtrokken. Voor bijna alles moet je inloggen met DigiD
CivLord @108rogar5 september 2025 08:08
Het mooie van het BSN is juist dat het niet als wachtwoord gebruikt wordt, maar als 'gebruikersnaam'.

Noem me één voorbeeld waar het als wachtwoord gebruikt wordt.
Webgnome @The Zep Man4 september 2025 07:45
Dan komt er een ander iets dat we willen gebruiken voor deze situaties, en dan lekt dat ook uit en dan hebben we het zelfde probleem met een ander nummertje..
The Zep Man
@Webgnome4 september 2025 07:48
Dan komt er een ander iets dat we willen gebruiken voor deze situaties,
Kijk niet naar het dataveld. Kijk naar de processen die dat dataveld gebruiken. Het BSN wordt als statisch geheim gebruikt voor authenticatie. Dat deel moet weg. Gebruik voor zulke authenticatie digitale ondertekening, bijvoorbeeld met paspoort, identiteitskaart of rijbewijs.

Voor een "digitale overheid" zal het je nog verbazen hoeveel zaken enkel met een papieren formulier kunnen. Maar zelfs dat moet geen probleem zijn. Een gescand formulier kan ook digitaal ondertekend worden.

[Reactie gewijzigd door The Zep Man op 4 september 2025 08:30]

Webgnome @The Zep Man4 september 2025 07:51
Ik kan mij zo geen situaties bedenken waarbij ik alleen een BSN nodig heb om mij zelf te authenticeren eerlijk gezegd? De enige situatie waarbij ik mij dat zou kunnen voorstellen is wanneer ik mijn identiteitspapieren kwijt ben. En dan nog moet ik volgens mij een bak aan persoonlijke informatie aanleveren om aan te tonen dat ik ben wie ik zeg dat ik ben? Het BSN lekken is echt niet het grootste probleem. De processen waarbij mensen dingen klakkeloos aannemen etc dat is het echte probleem
The Zep Man
@Webgnome4 september 2025 08:02
Ik kan mij zo geen situaties bedenken waarbij ik alleen een BSN nodig heb om mij zelf te authenticeren eerlijk gezegd?
Elke keer als je iets aanvraagt enkel "op papier" bij bijvoorbeeld de Belastingdienst. Het wordt ook misbruikt om in naam van een ander toeslagen en uitkeringen aan te vragen.

Als het niet zo belangrijk was, dan zou de overheid niet inzetten op het beschermen ervan (in wet- en regelgeving en in instructie naar de burger).

[edit]
Reagerende tweakers missen het punt. De Belastingdienst is onderdeel van de overheid. Daar ligt dus het probleem. De overheid moet afdwingen dat enkel het aanleveren van het BSN niet meer gebruikt kan worden om verzoeken te doen bij de overheid. Dat moet bij alle balies van de overheid altijd met een digitaal ondertekend verzoek. Het enige "analoge" proces is het proces van het aanvragen van een nieuw/vervangend identiteitsbewijs, want dat is de basis van de digitale identiteit en het vertrouwen.

Bestaande handmatige formulieren kunnen gebruikt worden bij gebrek aan een digitaal equivalent, maar moeten gescand en digitaal ondertekend zijn voordat ze bij de overheid worden aangeleverd.

Voor mensen die moeite hebben om digitaal te werken moet er een vangnet zijn, net als dat dat er nu ook al is/zou moeten zijn.

[Reactie gewijzigd door The Zep Man op 4 september 2025 10:47]

Sleurhutje @The Zep Man4 september 2025 08:24
In dat geval blijft de Belastingdienst dus in gebreke en verzuimd om de juiste controles te doen met DigiD/iDIN/fysieke controle van legitimatie. Het BSN was oorspronkelijk alleen een referentienummer voor administratieve gegevens sneller aan elkaar te kunnen koppelen, het SoFi-nummer (Sociaal Fiscaal nummer). Echter is dat nummer verheven tot een ultieme code die onveilig is om zomaar te publiceren omdat het niet uitsluitend een administratieve referentie meer is.
Niemand_Anders @Sleurhutje4 september 2025 09:32
Behalve dan als je (zelfstandig) ondernemer was, dan was zeer lang je BSN onderdeel van je BTW nummer...
Sleurhutje @Niemand_Anders4 september 2025 09:53
Dat komt omdat het SoFi-nummer een referentie was voor de Belastingdienst. En omdat je BTW-nummer dan als ZZP'er eenvoudig te linken was, was je BTW-nummer gebaseerd op je SoFi-nummer. Dat is dus één van de dingen waar dit fiscale nummer voor was bedoeld.
Z80 @The Zep Man4 september 2025 08:34
Op dat moment is de belastingdienst (als voorbeeld) verantwoordelijk voor het misbruik. Zij hebben de verificatie niet correct uitgevoerd. Probleem is alleen dat de belastingdienst all verantwoording van zich afschuift. En er alles aan doet om de persoon waarbij het BSN hoort verantwoordelijk te maken. Dat zou moeten veranderen.

Die gene die de verificatie van de persoon niet correct uitvoert zou verantwoordelijk moeten zijn voor ALLE gevolg schade. Dan blijkt dat de correcte verificatie ineens wel kan.
laptopleon @Z804 september 2025 09:23
Ik snap je gedachtegang wel, maar dat laatste kan natuurlijk niet. Stel je werkt bij de Belastingdienst en moet subsidieaanvragen controleren, maar de identificatiemethode is zo lek als een mandje. Dan zou jij verantwoordelijk zijn voor honderden tot soms wel tienduizenden euro’s per keer, terwijl je geen invloed hebt op of de identificatie wordt verbeterd of niet. Dan wil niemand daar meer werken. Bovendien gaat dat geen stand houden bij de rechter. Zo’n wet wordt niet eens aangenomen.

Het hoogst haalbare in die richting, is dat je degene die de identificatiemethode bepaald, mede verantwoordelijk maakt. Dat is bij banken / bedrijfsleven ook gedaan, als ik het goed begrijp, na de financiële crisis, al komt dat in de praktijk niet altijd goed uit de verf.
Z80 @laptopleon4 september 2025 10:26
Nee. De belastingdienst is verantwoordelijk in alle gevallen. Vanuit het slachtoffer gezien.

Intern bij de belastingdienst kan dan gekeken worden of de regels gevolgd zijn. En daar actie op ondernemen. Richting procedures of personeel. Afhankelijk van waar het niet goed gegaan is.
karma4 @The Zep Man4 september 2025 15:17
Wat je zegt is dat het bsn een identificerend iets is zoals de naam gebruikersaccount een emailadres.
Identificerend als herkenbaar bij wie het hoort.

Authenticerend wil zeggen het bewijs leveren dat voor een verwerking die bewering ook klopt.

Het gaat menigeen boven de pet die enkel instructies opvolgt met gehoorzaam uitvoeren.

Laten we het verschil helderder maken. Bij geen enkel automatiseringssysteem mag een een password of zo'n nummerscan gebruikt worden want het bewijs leveren is te lastig. Gewoon het account opgeven en dat is het om toegang te krijgen. <User> (void) niet eens admin/admin maar admin (void).
Dezelfde groep die begint te steigeren dat het BSN geheim gehouden moet worden zal dan beginnen te steigeren dan een password moet dat een MFA apparaat bij moet etc.
Orangelights23 @Webgnome4 september 2025 09:03
Hier in Zweden moet je alles doen met BankID, een soort Digid. Je BSN is niets waard hier, want alles gaat dus middels BankID. En het aantal fraudegevallen is opvallend laag hier, juist omdat men zo gewend is aan de algemene implementatie van BankID. Je hebt het werkelijk voor alles nodig, parkeren op straat, abonnementen afsluiten, aanmelden bij de dokter, enzovoorts.
laptopleon @Orangelights234 september 2025 09:28
Dit is gewoon de sterkste en meest logische oplossing. Uiteindelijk gaat heel de wereld zoiets doen, want anders blijft het dweilen met de kraan open.

Ik ga er bij elk account wat ik aanmaak van uit, dat het ooit een keer uitlekt. Daarom geef ik geen of een valse geboortedatum op, al kan dat uiteraard niet altijd zoals bij een ziektekostenverzekering.
Jeroen V @Orangelights234 september 2025 14:48
Dat hebben wij toch ook met iDIN?
Orangelights23 @Jeroen V4 september 2025 15:53
Deels, want het is nog niet zodanig geïntegreerd dat je het bij alles nodig hebt.
litebyte @The Zep Man4 september 2025 08:41
Waarom moeten zorgverleners ook je BSN hebben het moet toch mogelijk zijn om hier een niet direct te herleiden nummer aan te koppelen dat buiten de overheid alleen voor derden toegankelijk
laptopleon @litebyte4 september 2025 09:33
Dat bedoelt @m-a-r-t-1 ook, met een hash van het bsn.

Nog beter is het om het bsn niet als geheim te beschouwen. Klanten laat je gewoon eerst inloggen met digid en pas dan iets aanvragen. Andersom laat je overheden ook in een centrale database kijken, in plaats van 100 instanties die allemaal zelf jouw data gaan opslaan, met 100 keer zoveel kans op een lek of hack.
bytemaster460 @litebyte4 september 2025 22:37
Dat is wettelijk geregeld om uitslagen en declaraties zeker bij de juiste persoon terecht te laten komen. Dat is op zich best logisch. De overheid moet ervoor zorgen dat je met een BSN van een ander je verder niets kan doen.
rob12424 @The Zep Man4 september 2025 08:24
Lekken kan altijd en dingen moeten te achterhalen zijn.

Daarnaast je had vroeger het sofinummer. Toen zijn ze op van over gegaan en kan uit ervaring spreken dat ging niet vlekkeloos. (Ik was 1 van die mensen waarvan het BSN niet bestond voor meer dan een jaar) Als je dan een zorgverzekering moet afsluiten en krijgt te horen: maar u bestaat niet?

Het zou handiger zijn als ze identiteitsfraude beter zouden kunnen ondermijnen.
Sissors @m-a-r-t-14 september 2025 07:50
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo.
Welke schade dan? Als in, afgesloten telefoon abo's? Dat zal in dit geval inderdaad meevallen. In alle andere gevallen zal dat ook meevallen. En natuurlijk moet je soms extra opletten, maar kijk naar het vorige echt grote datalek, diegene van het bevolkingsonderzoek. Daarbij zijn er heel veel paniek verhalen verspreid over wat er met die zeer geheime BSN's wel niet gedaan kan worden die waren gelekt! Ik heb ook posts enzo gezien van mensen die zich afvragen hoe je in hemelsnaam nu veilig verder moest gaan met je (online) leven. Nou, op exact dezelfde manier die de miljoen ZZP'ers ofzo tot een paar jaar geleden moesten doen? Toen van al die mensen de BSN ook publiekelijk was (en dus nog steeds wel ergens terug te vinden is).

En natuurlijk, dat betekend niet dat die datalekken prima zijn. En extra waakzaamheid is geen slecht idee dan, al moet je dat tegelijkertijd ook altijd zijn. Maar een beetje realisme is ook wel op zijn plaats.
Llopigat
@Sissors4 september 2025 07:58
Welke schade dan? Als in, afgesloten telefoon abo's? Dat zal in dit geval inderdaad meevallen
Ehh als een crimineel in mijn naam een telefoon abo (of waarschijnlijker: een bankrekening) afsluit, is dat een enorm probleem. Dat doen ze natuurlijk niet om er maar voor 25 euro van te profiteren.
Nou, op exact dezelfde manier die de miljoen ZZP'ers ofzo tot een paar jaar geleden moesten doen? Toen van al die mensen de BSN ook publiekelijk was (en dus nog steeds wel ergens terug te vinden is).
Dat is dan ook aangepast omdat het niet veilig was en zo niet verder kon.

Wat er gewoon nodig is, is om een niet-geheim burgernummer te introduceren. In Spanje hebben ze dat ook, je hebt je BSN (sociale verzekering) nummer, en daarnaast een "DNI" nummer, dat is korter en niet bedoeld om geheim te zijn. Je kan daar ook geen serieuze dingen mee aanvragen, het is meer voor als je een account aanmaakt bij bijvoorbeeld de mediamarkt.

[Reactie gewijzigd door Llopigat op 4 september 2025 08:08]

Rolfie @Llopigat4 september 2025 09:32
[quote](of waarschijnlijker: een bankrekening) afsluit[/quote]

Ik ben heel benieuwd hoe hem dat zal lukken met alleen je BSN nummer. Laatste keer toen ik dit online deed, moest ik toch echt de NFC van mijn passport scanner, volgens mij zelfs foto's er van uploaden en had ik een controle via een camera met een persoon aan de andere kant.


Dus hoe zie jij dit waarschijnlijker precies? Ik zie dit namelijk eigenlijk als zeer onwaarschijnlijk.

Al hoor ik dit regelmatig, maar nooit lees ik er iets over in het nieuws dat dit ook echt gebeurt.
Sleurhutje @Llopigat4 september 2025 08:33
Wat het BSN eerst was, een Sociaal-Fiscaal nummer (SoFi). Dat was niets, gewoon een nummer waarmee overheden en instanties gegevens eenvoudiger konden koppelen omdat de kans op foutieve koppelingen op basis van een naam of adres met typefouten dan kleiner werd. Met dat nummer kon je verder niets.

En dat is precies waar alles en iedereen ook door lijken te slaan. Een hotel of telco heeft geen enkel belang bij jouw BSN, je identificatie is alleen maar ter controle en de receptionist/verkoper hoeft alleen maar aan te geven in zijn/haar admistratie dat de identificatie heeft plaatsgevonden. Er is geen enkel verband tussen de BSN en de gebruikte NAW gegevens (die staan bijvoorbeeld alleen op een rijbewijs, niet op een ID-kaart, en hoeven niet eens valide te zijn want je kunt wel verhuisd zijn ondertussen).
Sissors @Llopigat4 september 2025 08:16
En dan kan je dus met het niet geheime burgernummer dingen doen waar we in Nederland uberhaupt geen BSN voor gebruiken? Lijkt mij niet dat dat direct een voordeel is.

Maar hoeveel van die miljoen ZZP'ers hebben duizenden Euro's schade of nog meer doordat iemand met hun gegevens een bankrekening heeft aangevraagd, enorm rood zijn gegaan, en dat ze daadwerkelijk die rekening moesten betalen?

En nogmaals, het is niet de bedoeling dat het gebeurd, datalekken moeten zover als mogelijk voorkomen worden. Maar de paniek die wordt veroorzaakt voor de slachtoffers met horror verhalen wat in theorie mogelijk zou kunnen gebeuren helpen ook niemand. Wat logischer is, is niet dat er een minder geheim BSN moet komen, maar dat er fatsoenlijke verificatie moet zijn bij alles wat er toe doet. En eigenlijk is dat bij het meeste al. Eg bij een telefoon abo die je offline afsluit zullen ze gewoon je ID vergelijken met jou. Bij een online abo is het nog makkelijker gezien ze gewoon een ideal betaling kunnen eisen, waarmee je bewijst dat je toegang hebt tot die bankrekening.
Webgnome @Sissors4 september 2025 08:24
Helemaal met je eens Sissors. De paniek die sommige mensen ervaren rondom het lekken van data, ongeacht welke data dat dan moge zijn, is echt stuitend. Hoe deden we dat in de jaren 80 eigenlijk? Toen er dingen bestonden als telefoonboeken en gouden gidsen? :+.

Zoals Sissors ook al aangeeft, het gaat er dus niet om dat datalekken worden gedownplayed, wel dat we eens wat realisme toevoegen. Dat we ook bij onszelf te rade gaan wat we allemaal online doen.

[Reactie gewijzigd door Webgnome op 4 september 2025 08:25]

jigalvh @Webgnome4 september 2025 14:56
In de jaren '80 ging je met je spaarbankboekje naar een bank om geld te storten of op te nemen. Het werd in een intern netwerk verwerkt en in je boekje geschreven.

Grotere bedragen ging je niet pinnen, maar je gaf een paar Eurocheques aan de verkoper.

Bedrijven konden niet even een koppeling met een telefoon- of postcodedatabase maken. 'k Ben ooit nog als baantje ingehuurd om de database van een bedrijf te verrijken door ontbrekende telefoonnummers en postcodes op te zoeken in een grote stapel telefoonboeken (en een postcodeboek).

Datalekken had je simpelweg niet op de schaal waarop ze nu voorkomen doordat er minder gegevens werden opgeslagen en als dat al het geval was dan waren er geen koppelingen met andere systemen.

De gevolgen van datalekken hoeven niet realistischer te worden. Ze worden al genoeg gedownplayed door de bedrijven die het hebben laten gebeuren. Data is tegenwoordig enorm belangrijk. Als je geen toegang tot een account hebt dan zijn er allerlei procedures om de beveilging te omzeilen. Daarvoor zijn meestal extra gegevens nodig en/of toegang tot e-mail. Als je veel gegevens heb van iemand dan wordt het simpeler om wachtwoorden te raden (lang niet iedereen gebruikt een wachtwoordbeheerder of onthoudt lange wachtwoorden voor belangrijke accounts).

Dat we veel online doen komt ook omdat je daartoe gedwongen wordt (veel banken hebben bijvoorbeeld geen kantoren meer), of doordat het bedrijf/de organisatie waar je producten/diensten van gebruikt dat zelf in hoge mate doet. Het bevolkingsonderzoek is via de post uitgevoerd maar toch ging de communicatie tussen de centrale organisatie en het laboratorium toch weer gezellig online.
Llopigat
@Sissors4 september 2025 09:42
De overheid zegt zelf dat het kwaad kan en adviseert het nummer zwart te maken: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs
CPV @Llopigat4 september 2025 10:09
Ja, dezelfde overheid die het BSN gewoon in het BTW nummer van ZZPers zette.
kftnl @Llopigat4 september 2025 13:33
Als jij kunt aantonen dat die schade grotendeels te wijten is aan een misconfiguratie bij deze aanbieder dan heb je een goede kans dat ze met je schikken, of dat je een zaak zou winnen. Probleem is dat dat vaak een lastig verhaal is om aan te tonen. Je data is waarschijnlijk honderden keren gelekt, zie dat maar eens te bewijzen of aannemelijk te maken dat het door deze komt.

In de genoemde gevallen (telefoonnummer, bank) is het aan de bank/telco om jou te identificeren en te zorgen dat ze met de juiste persoon te maken hebben. Het is echt niet triviaal om dat met jouw BSN+NAW even zo'n contract af te sluiten, en als het wel is gebeurd, dan is het in eerste instantie aan de telco/bank om dat recht te trekken.
CivLord @Llopigat5 september 2025 08:46
Ehh als een crimineel in mijn naam een telefoon abo (of waarschijnlijker: een bankrekening) afsluit, is dat een enorm probleem. Dat doen ze natuurlijk niet om er maar voor 25 euro van te profiteren.
Dat zou inderdaad een enorm groot probleem zijn. Het is dan ook maar goed dat dat niet kan.

Voor alles waar je een BSN voor nodig hebt, moet je je ook met een ID-bewijs identificeren. Met enkel een BSN (en evt. aanvullende NAW-gegevens) kan je niets.
karma4 @Sissors4 september 2025 15:22
Ooit de grootste humor van onzin gezien. Geboorte aankondig met naam toenaam woonlocatie en de trotse ouders. Vervolgens zeer veel ophef door de vader dat het BSN van de geborene in een brief verkeerd bezorgd was en dat dat rampzalig zou zijn.
pietervdstar @m-a-r-t-14 september 2025 07:35
digid helpt niet als de server verkeerde berichten ophaalt. Als ik het oed begrijp logde men in met eigen account, maar kon het zijn dat er een bericht van iemand anders verscheen.
david-v @pietervdstar4 september 2025 08:34
Klopt, dit is na DigiD. De informatie wordt dan aan de verkeerde persoon getoont en dan heb je een datalek.

De impact is niet te vergelijken met een hack, maar vervelend is het wel dat andere mensen bepaalde gegevens van jou kunnen inzien. De meeste mensen zijn "nette" burgers die geen misbruik gaan maken van die gegevens.

Voor CZ weer een punt om de controles op de data die getoond wordt nog verder te verscherpen met extra software controles.
Pasteis @m-a-r-t-14 september 2025 07:52
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo. In dit geval zal dat wel meevallen, maar het ene naar het andere bericht verschijnt over gelekte gegevens. Maak het mogelijk om een nieuw BSN nummer te krijgen en laat de partij die het heeft laten lekken dit maar betalen.
Probeer maar eens te achterhalen dat het komt door dit datalek. Bovendien vind ik dat een telefoonprovider of ander bedrijf ook de plicht heeft om te verifieren dat degene die een contract afsluit ook degene daadwerkelijk is, bijv. door een extra verificatie.

Ik denk wel dat we nog stappen kunnen zetten in privacy en minder moeten werken met het decentraal opslaan van vertrouwelijke informatie, zoals je zelf ook suggereert. Netzoals bijv. met webshops, mijn adres staat in tig webshops. Bij elke bestelling bij een nieuw bedrijf (al is het via een tussenpartij, bijv. Amazon en Bol.com) verspreid mijn adres beetje bij beetje en wordt de kans beetje bij beetje groter dat het misgaat.

Om nog maar te zwijgen over de vele telefoonspam die ik krijg.
CivLord @Pasteis5 september 2025 08:52
Probeer maar eens te achterhalen dat het komt door dit datalek. Bovendien vind ik dat een telefoonprovider of ander bedrijf ook de plicht heeft om te verifieren dat degene die een contract afsluit ook degene daadwerkelijk is, bijv. door een extra verificatie.
Iedereen die je BSN nodig heeft, heeft de verplichting om te verifiëren dat ze met de juiste persoon te maken hebben, door je jezelf te laten identificeren. Sommige bedrijven vinden dat wat omslachtig en verzinnen wat procedures waarmee ze denken vast te kunnen stellen dat ze in de meeste gevallen met de juiste persoon te maken hebben.
Maar wanneer er in zo'n geval misbruik van je BSN gemaakt wordt, kunnen ze niet bewijzen dat ze met jou te maken hebben gehad. Uiteindelijk zullen ze bij misbruik dan ook altijd aan het kortste eind trekken.
SunnieNL @m-a-r-t-14 september 2025 07:54
Hoe ga jij dan bewijzen welke gegevens uit welk datalek zijn gebruikt.. Als je dat niet kan weet je niet wie je schadeloos kan stellen.

Afhankelijk van welke gegevens zou je wel slachtoffers een verzekering kunnen geven van X jaar waar de verzekering helpt als je slachtoffer wordt bij misbruik van je gegevens. Naar mijn gevoel heb je daar ook meer aan.
J_van_Ekris @m-a-r-t-14 september 2025 08:03
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo.
Volgens mij kan dat ook gewoon. Als je kunt aantonen dat jouw data als gevolg van een specifiek datalek misbruikt zijn kun je volgens mij de daadwerkelijk geleden schade claimen bij de lekkende partij.

Het fundamentele probleem zit hem in aantonen dat in dit geval een CZ het lek is dat misbruikt is, en niet een lek bij een andere partij waarvan we wellicht niet eens weten dat het bestaat. En dan kom je ook nog in de discussie dat een telecomprovider formeel eigenlijk een identiteitsbewijs had moeten controleren bij aangaan van het abbonement en dat vaak niet doet. En is het dan de telco die de fout gemaakt heeft of CZ? Dat soort ellende is de reden waarom claimen zo lastig is.

[Reactie gewijzigd door J_van_Ekris op 4 september 2025 08:03]

david-v @m-a-r-t-14 september 2025 08:37
Dit is geen hack maar een datalek, beperkt tot 105 mensen die verkeerde data hebben ingezien. Je weet wie dat zijn. De impact blijft beperkt maar is toch vervelend. Bovendien was die na inloggen met DigiD, dus daarmee voorkom je niet dit soort interne fouten die verkeerde routering van data.
Mathijs Kok @m-a-r-t-14 september 2025 09:15
Wordt het niet eens tijd dat wanneer dit soort dingen gebeuren de burger volledig schadeloos gesteld wordt voor bijvoorbeeld eventuele afgesloten telefoon abonnementen of zo.
Dat kan nu ook al. Als jij schade hebt door een dergelijke hack (en het kan bewijzen) dan kan je de rechter vragen de schade te laten vergoeden. Niets staat je daarbij in de weg.
J.E. Weinor @m-a-r-t-14 september 2025 17:00
Schadeloos? welke schade is er dan gemaakt voor jouw persoonlijk dat het op straat lag? of dan wel gehackt is, dan nog rijst de vraag heb je werkelijk schade ondervonden, het wil niet altijd zeggen dat je er geleden schade van ondervindt.

Dat de gegevens op straat komen te liggen is niet goed net als het bevolkingsonderzoek. maar de vraag rijst is alles wel 100% dicht te timmeren in de automatisering, denk het niet , die gasten worden ook slimmer, bijv, hackers etc dan wel via andere wegen.

Tegenwoordig moet alles maar geautomatiseerd worden, dan wel intern als extern het netwerk op.

Of alle gegevens maar op papier, denk dat nog het veiligster is, dan wel het beperkte bereik aan gegevens en gedupeerden, zo kijk ik er tegen aan.
GorgeousMetal 4 september 2025 08:38
Ik ben de tweaker die dit meldde in het andere bericht. Ik snap dat er dingen fout kunnen gaan, maar het stoorde mij vooral dat ze dit zo 'onder de pet' probeerden te houden, want het is natuurlijk geen goede reclame.

Ik vind dat bedrijven altijd transparant over zulke zaken moeten zijn, niet alleen naar de klant maar ook aan de buitenwereld. Ik ben blij dat Tweakers dit probleem heeft opgepakt en er een artikel over heeft geschreven. Hopelijk komen ze zo tot inzicht, maar ik ben bang van niet.
Triblade_8472 @GorgeousMetal4 september 2025 08:56
Wat deden ze dan om het onder de pet te houden? Wat is voor jou 'transparant' zijn?


De getroffenen kregen netjes een brief met daarin de vermelding of andere jouw gegevens daadwerkelijk hebben ingezien of niet en een speciaal geopend nummer om te bellen voor meer informatie. Ik weet vrij zeker dat de AP ook op de hoogte is gesteld. Moeten ze ook nog eens de media actief gaan benaderen voor maar 105 getroffenen?
latka @Triblade_84724 september 2025 10:47
In de communicatie wijzen naar een derde (niet verder benoemde) leverancier is ook een red-flag: als CZ iets uitbesteed en het gaat fout is het de fout van CZ. Niet van de 3e partij. Dan had je het of zelf moeten doen of zorgen dat je leverancier dit soort fouten niet kan maken.
Triblade_8472 @latka4 september 2025 11:03
Waar staat dat dan? Ik lees dat nergens in de tekst die GorgeousMetal in zijn post citeerd.

Wel lees ik: "Onze excuses: u mag verwachten dat we gegevens goed beveiligen". Dat is toch echt hand in eigen boezem.
latka @Triblade_84724 september 2025 11:32
Inderdaad. Ik had in een andere bron, denk ik, een ingekorte versie van het citaat hier gezien:
Het datalek 'was het gevolg van een technisch probleem bij een externe IT-dienstverlener waar wij als CZ wel verantwoordelijk voor zijn'.
Het 2e deel van de zin had ik niet meegekregen maar legt in ieder geval de schuld bij de juiste partij. Dank voor de correctie.
Hoover @GorgeousMetal4 september 2025 08:52
CZ staat ook onder curatele doordat ze niet hebben voldaan aan de zorgplicht die ze hebben.
Dit soort slecht nieuws er bovenop kan er voor zorgen dat klanten weg gaan lopen bij ze in november.

En aangezien hun inkomsten gekoppeld zit aan de aantal verzekerden, proberen ze natuurlijk verdere schade te voorkomen.

Laten we zo zeggen. Goed dat je het gemeld hebt.

[Reactie gewijzigd door Hoover op 4 september 2025 08:53]

kodak
@GorgeousMetal4 september 2025 09:29
Dus er is een datalek bij 0,04% van de klanten en de verantwoordelijke licht de gedupeerden in. Wat houden ze volgens jou dan onder de pet?

Zoals ik het lees kan je het als klant niet leuk vinden dat als een bedrijf fouten maakt ze het niet meteen aan alle klanten en de rest van de wereld kenbaar maken. Maar op welke manier hou je nu rekening dat als fouten gemaakt kunnen worden dit kennelijk niet zo bijzonder is om aan iedereen duidelijk te maken?

Iedereen moet van fouten kunnen leren lijkt me een goed uitgangspunt, maar bij te verwachten problemen ( dit is niet de eerste keer dat bedrijven gegevens verwisselen) mag dan ook wel blijken dat klanten en de wereld zich bewust zijn dat dit dus op kleine schaal te verwachten is. En bijvoorbeeld dus zelf moeite doen om te achterhalen hoe vaak dit soort fouten gemaakt worden, in plaats van bijvoorbeeld je keuze voor een bedrijf prima te vinden zolang je maar niet te veel problemen ziet.
Rolfie @GorgeousMetal4 september 2025 09:37
Wat bedoel je moet onder de pet houden?


Ze melden dit juist heel precies aan de personen die het betreft. Het betreft een klein aantal personen, die ze benaderen. Het was een probleem bij een IT leverancier, en niet direct bij CZ.


Zolang ze het melden bij het juiste instanties en de getroffen gebruikers informeren, wat moeten ze dan nog meer doen? Zorgen dat het op de voorpagina van de telegraaf komt te staan?
Meg 4 september 2025 09:55
Waarom wordt niet iedere klant geïnformeerd hierover met eventueel een automatische brief?
gaskabouter @Meg4 september 2025 11:19
Omdat het alleen die mensen aangaat die het betreft?
Meg @gaskabouter4 september 2025 11:21
Tot achteraf blijkt dat er meer mensen betrokken zijn dan ze eerst dachten.
gaskabouter @Meg4 september 2025 11:23
Of dat je een hoop onrust zaait om niks.
TVL 4 september 2025 07:42
Vraag me dan toch af wat voor een soort bericht dit geweest moet zijn waarbij dan eventueel ondersteuning nodig was voor sommige mensen.
Hoover 4 september 2025 08:35
Ow CZ, wat een bijzondere tijd heb ik daar beleeft ruim 5 jaar geleden.
Dat ze onder curatele staan en nu een data lek is ontstaan verbaast me totaal niets.

1. Grote uitloop van mensen geweest. Hierdoor veel kennis weggevallen.

2. bijzondere aanbestedingen gedaan en uiteraard gekozen voor de meest obscure en dure producten.
Hierdoor kun je niet aan personeel komen en ben je afhankelijk van een heel kleine en dure pool van consultants. Dit terwijl er betere en goedkopere producten zijn.

3. Eindeloze meetings over dezelfde onderwerpen.


Laat ik het zo zeggen. Ik had dit niet verwacht toen ik daar ging werken.
Ik was er ook heel snel klaar mee.

edit: Dit is wat ik toen geobserveerd heb. Of het nu nog zo is kan ik niet beoordelen. Toen was het een rare tijd daar.

edit2: ik heb toch maar wat punten weggehaald omdat dit wellicht teveel details geeft.

[Reactie gewijzigd door Hoover op 4 september 2025 08:44]

fuzzyIon 4 september 2025 08:50
Het kan nog erger. Als gekopieerde documenten in de cloud ineens voor de hele wereld in te zien zijn door een sechte cloud bucket configuratie. Daar is een search engine voor gemaakt:

https://buckets.grayhatwarfare.com/files?keywords=id&start=0&page=7

Je staat er versteld van hoeveel gekopieerde paspoorten er opduiken.


bron:https://www.nrc.nl/nieuws/2025/09/03/de-ict-man-let-soms-niet-op-en-dan-liggen-opeens-honderdduizenden-paspoorten-op-straat-a4904943
beheare 4 september 2025 08:50
Verfrissend om te zien dat er verantwoordelijkheid wordt genomen. De duidelijke duiding van de root cause laat zien dat zij een volwassen problem-managementproces hebben.

Het bericht blijft algemeen genoeg om breed te begrijpen, maar toch duidelijk en concreet over wat er speelde. Deze mate van transparantie is toch weer een lichtpuntje dat “het ook gewoon wel mogelijk is”.
kodak
4 september 2025 09:57
Dat het een klein aantal klanten treft klinkt misschien beter dan dat het alle klanten treft. Maar het is geen verklaring waarom dit maar een klein aantal klanten heeft getroffen. En dat maakt dit eerder zeer zorgelijk. Want het had dus net zo goed alle klanten kunnen treffen. En zonder uitleg of waardoor dit is mis gegaan en waarom dit maar een klein aantal klanten heeft getroffen is er dus alle reden te twijfelen dat het maar een beperkt probleem is. In plaats van het over het kleine aantal en wat goed ging te hebben is er opheldering nodig over waardoor en hoe het fout ging.
FrostyPeet 4 september 2025 11:51
Wat ik hier alweer mis is de vervolg problematiek.

Leuk dat al die gehackte bedrijven nu het "verplichte" we-are-so-sorry script afdraaien. Vervolgens mag de geachte klant het zelf uitzoeken.

Wat moet de klant met "sorry" als zijn identiteit actief misbruikt wordt en de klant dan zelf maar moet bewijzen dat hij het niet was? Als iemand op jouw gegevens een dienst koopt/afsluit? Dan krijg jij de deurwaarder, creditcard bedrijf of overheid achter je aan. Dat iemand met jouw gegevens ergens een mutatie aanbrengt? Dat jij plotseling geen baan krijgt omdat uit gegevens blijkt dat je een ziekte hebt of bij een onwelgevallige politieke partij lid bent? Dat je lid bent bij een second-love club?

Wat mij betreft moet het maar eens afgelopen zijn met dat vrijblijvende "sorry" na een hack of datalek.

Het is heel leuk dat de efficiëntie winst bij het bedrijf of de overheid komt door alles aan internet te hangen en alles in mega databases te stoppen. Als de consequenties van het falen hiervan niet bij het bedrijf of overheid terecht komt maar bij een externe partijd (bijvoorbeeld de klant) zal er weinig veranderen. Komen er nog heel veel "sorry" berichten.
Webgnome @FrostyPeet4 september 2025 14:10
En wat had je dan gedacht dat er moest gebeuren? Kun je bijvoorbeeld aantonen dat jou data actief worden misbruikt en zo ja dat die data direct te koppelen is aan een bepaald data-lek?
Aalard99 4 september 2025 12:04
Ik ken niet de IT van CZ maar bij iedere omgeving, hoe goed dan ook beveiligd kunnen security incidenten ontstaan. Oorzaak kan op alle vlakken zitten, bug in de software, fout door een gebruiker, zero day, etc. Doelstelling is om dit z.s.m. te zien en hierop te acteren.

Juist met dit in je achterhoofd ben ik wel gecharmeerd dat ze dit snel gedetecteerd hebben, actie ondernomen en de gebruikers ingelicht. Voor mijn gevoel zitten ze er bovenop en hebben het onder controle.

Hoe vervelend dan ook voor de getroffenen, het is gelukkig beperkt gebleven bij 105 gebruikers. Dit had veel erger kunnen worden als dit niet op tijd gezien was.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq