Werknemers Albert Heijn-franchisenemer zijn getroffen door datalek - update

Albert Heijn-franchisenemer Bun is slachtoffer van een cyberaanval. Bij de aanval op de franchisenemer werden mogelijk de gegevens van bijna 3500 werknemers gestolen. Het gaat onder meer om adressen, e-mailadressen, paspoorten, handtekeningen, bankrekeningnummers en medische informatie.

Volgens RTL is het datalek het gevolg van een ransomwareaanval op de franchisenemer. Cybercriminelen hebben een deel van de gestolen gegevens gepubliceerd en proberen Albert Heijn Bun af te persen door te dreigen met de publicatie van meer persoonsgegevens. De persoonsgegevens van alle grofweg 3500 medewerkers van de franchisenemer zijn mogelijk bij het datalek betrokken. Volgens RTL zijn er ook voormalige medewerkers slachtoffer van het datalek.

Het is de tweede keer in een jaar dat medewerkers van Albert Heijn-winkels slachtoffer zijn van een grootschalig datalek. In april waarschuwde moederbedrijf Ahold Delhaize voor de diefstal van de persoonsgegevens van huidige en voormalige medewerkers. Een half jaar daarvoor meldde de Amerikaanse tak van Ahold een 'cybersecurityprobleem'. Daar werden naar schatting ruim 2 miljoen mensen slachtoffer van.

Update, vrijdagochtend: Het artikel en de titel zijn aangescherpt om beter te reflecteren dat het gaat om een aanval op een Albert Heijn-franchisenemer.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 23-10-2025 20:31
199 • submitter: jdh009

23-10-2025 • 20:31

Submitter: jdh009

Lees meer

Cyberaanval Amerikaanse tak Ahold trof 2,2 miljoen mensen

Cyberaanval Amerikaanse tak Ahold trof 2,2 miljoen mensen Nieuws van 28 juni 2025

Albert Heijn-filiaal in Almere installeert camera's met AI-technologie

Albert Heijn-filiaal in Almere installeert camera's met AI-technologie Nieuws van 13 juni 2025

Delhaize lost kassabug op waarbij klanten tientallen euro's te veel betaalden

Delhaize lost kassabug op waarbij klanten tientallen euro's te veel betaalden Nieuws van 28 mei 2025

Kassa's Delhaize selecteren door bug producten die klanten niet hebben gekocht

Kassa's Delhaize selecteren door bug producten die klanten niet hebben gekocht Nieuws van 24 april 2025

Ahold waarschuwt duizenden medewerkers na datadiefstal

Ahold waarschuwt duizenden medewerkers na datadiefstal Nieuws van 23 april 2025

Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken

Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken Nieuws van 17 april 2025

Amerikaanse tak van moederbedrijf Albert Heijn meldt 'cybersecurityprobleem'

Amerikaanse tak van moederbedrijf Albert Heijn meldt 'cybersecurityprobleem' Nieuws van 11 november 2024

Meer producten en artikelen

Beveiliging en antivirus Albert Heijn Cybercrime Cybersecurity Datalek Hack Ransomware

Reacties (199)

199

196

106

1

0

64

Wijzig sortering

greg-a 23 oktober 2025 20:42

Is een bedrijf verplicht paspoorten te bewaren? Ik snap dat ze wellicht wat nodig hebben, maar wat is de reden om een volledig paspoort te bewaren ?

Buitenaerts @greg-a • 23 oktober 2025 20:46

Mensen die je als bedrijf in dienst hebt moet je die gegevens van bewaren, dit hoort bij je loonadministratie.

Azenomei @Buitenaerts • 23 oktober 2025 20:52

Een digitale kopie van een idkaart/paspoort? Papier in een map kan ik nog begrijpen.

bytemaster460 @Azenomei • 23 oktober 2025 20:57

Totdat iemand een keer een archiefkast afvoert en niet oplet en al die mappen op straat liggen. Dan wordt er weer geroepen: "wie bewaart dat in vredesnaam nog op papier in een kast?"

@bytemaster460 • 23 oktober 2025 21:23

Dat is een kwestie van interne procedures. De persoon die daar gaat opruimen mag sowieso geen toegang hebben tot die beveiligde kast. Gevoelige dingen bewaar je het beste nog steeds op papier, zeker wanneer je die informatie feitelijk nooit meer nodig hebt. Wil de Belastingdienst inzage, prima, dan zetten we een tafel naast die beveiligde kast neer en dan mogen ze er in grasduinen. Graag naderhand alles weer netjes terugzetten, waarvoor dank!

Tintel @FrankHe • 24 oktober 2025 14:05

En eigenlijk hebben we te maken met een steeds verder gaande cross-linking systeem. Want allemaal is opgezet om belasting te betalen...
(Bijna) niets mis met belasting betalen natuurlijk [het is nu eenmaal nodig] maar nu is het zo'n enorme brij geworden dat allerlei instanties steeds meer gevoelige gegevens moeten bijhouden.

Want als we iedereen een flat fee aan belastingen zouden laten betalen - dus onafhankelijk van inkomen dan is er veel minder administratie nodig toch?
Maar nee... alles gaat in percentages en staffels - onder de noemer: eerlijke verdeling. Maar juist aan dat laatste schort het steeds meer.
Dus wie houden we nu voor de gek?

@Tintel • 24 oktober 2025 14:48

Persoonlijk ben ik wel van het mantra de sterkste schouders dragen de zwaarste lasten. Aan de andere kant is er ook iets te zeggen voor een universeel basisinkomen, dat gaat echt een hoop ambtenaren schelen, over besparingen gesproken.

Maar goed, de realiteit is dat de dingen nu eenmaal zijn zoals ze zijn en dat je deze niet even snel kunt veranderen. We zullen het dus moeten doen met de huidige regels. Bij de Belastingdienst kunnen ze de verandering van wetgeving niet bijhouden dus laten we in de komende regeerperiode geen stelselwijziging bekokstoven die simpelweg niet kunnen worden uitgevoerd.

Het hoofdonderwerp blijft echter, zijn bedrijven zich in alle gevallen voldoende bewust van hun taak dat ze de informatie die ze hebben adequaat moeten beveiligen of schort daar nog het nodige aan?

Tintel @FrankHe • 24 oktober 2025 15:24

de sterkste schouders dragen de zwaarste lasten

Maar dat is nu precies omgekeerd...

zijn bedrijven zich in alle gevallen voldoende bewust van hun taak dat ze de informatie die ze hebben adequaat moeten beveiligen

Maar elke beveiliging kent een mogelijk lek want data zonder toegang is als de stapel papier in een kluis waarvan de sleutel is gebroken. Het idee dat alles altijd overal wordt opgeslagen maakt nu juist het risico voor 'de burger' zo groot. Eenmalig identificeren zou dan voldoende moeten zijn om te kunnen werken. Maar nee, een kopie moet worden bewaard.
En de combinatie van gegevens geeft de ellende. In ICT systemen weten we al lang hoe we het op kunnen lossen. Het idee dat we maar 1 uniek nummer hebben geeft meteen een enorm risico - lekker makkelijk voor de belastingdienst natuurlijk maar eigenlijk niet nodig. Er kan best met meerdere identificaties worden gewerkt.
Bijvoorbeeld:
Apart rekeningnr (alias) voor je salaris van werkgever A; weer een mogelijke link minder. Als de werkgever dat nummer kwijt raakt kan de dief hier niets mee, als dit nummer alleen maar gebruikt kan worden voor geld overmaken naar die rekening. Dan heeft de bank nog steeds intern de link van dat rekeningnr naar een ander maar die kan volledig intern blijven.
En zo wordt een systeem inherent veiliger i.p.v. dat we denken dat alles achter een gesloten deur wel veilig is - maar die deur kan altijd open...

Voor de gebruiker kan dit een berg gedoe zijn - overal een aparte login en ander password maar inherente beveiliging is altijd beter dan overal alle gevoelige data opslaan.

@Tintel • 24 oktober 2025 16:42

[...]

Maar dat is nu precies omgekeerd...

Hoe dan precies?

[...]

Bijvoorbeeld:
Apart rekeningnr (alias) voor je salaris van werkgever A; weer een mogelijke link minder. Als de werkgever dat nummer kwijt raakt kan de dief hier niets mee, als dit nummer alleen maar gebruikt kan worden voor geld overmaken naar die rekening. Dan heeft de bank nog steeds intern de link van dat rekeningnr naar een ander maar die kan volledig intern blijven.
En zo wordt een systeem inherent veiliger i.p.v. dat we denken dat alles achter een gesloten deur wel veilig is - maar die deur kan altijd open...

Voor de gebruiker kan dit een berg gedoe zijn - overal een aparte login en ander password maar inherente beveiliging is altijd beter dan overal alle gevoelige data opslaan.

Dat is inderdaad hoe ik met e-mail aliassen werk. Helaas zijn de entiteiten die beginnen met de letter 'B', Banken en Belastingdienst totaal niet voorbereid op dergelijke aliassen.

Bij de fiscus was het al een hele grote onderneming om voor eenmanszaken het nummer voor de omzetbelasting (BTW) los te koppelen van het nummer voor de inkomstenbelasting (BSN). Of het ze gaat lukken overweg te gaan met een dozijn alias nummers per Nederlander betwijfel ik ten zeerste. Bij de traditionele banken geldt een beetje hetzelfde. Bij fintech kun je als (bekende) klant doorgaans probleemloos meerdere alias rekeningnummers en virtuele bankkaarten aanvragen. Maar verwacht niet dat de grootbanken dit ook zomaar even kunnen.

bytemaster460 @FrankHe • 23 oktober 2025 22:50

Digitaal is het ook een kwestie van procedures en 9 van de 10 keer is de oorzaak van een lek ook dat iemand ergens een procedure niet heeft gevolgd.

@bytemaster460 • 23 oktober 2025 22:57

Het is altijd een combinatie van techniek en mensen. Beide zijn feilbaar. Het gebeurt helaas ook vaak genoeg dat mensen belangrijke procedures niet volgen of nog erger dat er helemaal geen goede procedures zijn.

Buitenaerts @bytemaster460 • 23 oktober 2025 21:00

Inderdaad ook dit nog buiten dat je tent afbrand haha

theduke1989 @bytemaster460 • 23 oktober 2025 23:03

Wij zijn dus sinds vorig jaar bezig om alle mappen die we hebben te digitaliseren.

Een externe persoon ingehuurd die elk dag zoveel mappen scanner Kodak s2028f machine (4000€) zijn bijna klaar Archivierungssoftware (Nscale) gebruiken we. En slaan het op twee datacenters.

Tintel @theduke1989 • 24 oktober 2025 15:36

En slaan het op twee datacenters.

Da's mooi voor data behoud maar dus slecht voor het risico van data-verlies.... (want 2 maal zoveel kans om 'gehacked' te worden)

En "alle mappen" is dat dan ook data die nog gebruikt werd of alleen als bewijsmateriaal zou moeten dienen? Dat is goed mogelijk natuurlijk en dan is het handig dat er digitaal gezocht kan worden. Maar het verhoogd wel weer het risico op data verlies.
Let wel: ik ben niet tegen digitalisering, maar het zet net zo goed de deur open voor misbruik/verlies.

theduke1989 @Tintel • 24 oktober 2025 16:45

Ik spreek over backup Ansicht. Dus het veiligstellen van je data/oude legacy data.

De voordeur open maken houden is natuurlijk een ander gesprek van de dag. Dat is de kunst om juist je huis op een manier veilig te stellen zodat het niet mogelijk is.

Frankyfreeze @bytemaster460 • 24 oktober 2025 15:34

Hahaha om eerlijk te zijn denk ik dat die dieven al die documenten dan moeten inscannen om het bedrijf af te kunnen persen, want wie koopt er nou een archiefkast vol met voor 90% waardeloos papier dat je eerst nog moet uitzoeken en je kunt het anders ook niet echt publiceren

Het bedrijf zou in zo'n geval de ransom in principe gewoon kunnen betalen en het digitalisering noemen

[Reactie gewijzigd door Frankyfreeze op 24 oktober 2025 15:35]

bytemaster460 @Frankyfreeze • 24 oktober 2025 17:39

Het gaat niet per se om vermarkten, maar een volle archiefkast die afgevoerd wordt is gewoon een datalek. Dat verschilt niet van een digitaal datalek.

Frankyfreeze @bytemaster460 • 24 oktober 2025 17:52

De post waar ik op reageerde zei niks over een datalek eigenlijk

Totdat iemand een keer een archiefkast afvoert en niet oplet en al die mappen op straat liggen. Dan wordt er weer geroepen: "wie bewaart dat in vredesnaam nog op papier in een kast?"

Het was een grapje op het stukje: "wie bewaart er nou in vredesnaam nog papier in een kast"

Buitenaerts @Azenomei • 23 oktober 2025 20:53

En als je bedrijf afbrand ben je alles kwijt, gewoon zorgen dat het goed en veilig bewaard wordt.

@Buitenaerts • 23 oktober 2025 21:33

Papier moet aan een behoorlijk hoge temperatuur worden blootgesteld voordat het gaat branden. In de praktijk heb je die kopieën verder nergens meer voor nodig. Alleen wanneer de Belastingdienst er om vraagt dan moet je ze kunnen tonen. Prima, daar is de kluis, binnen enkele minuten hebben we de gevraagde kopie gevonden.

theduke1989 @Buitenaerts • 23 oktober 2025 23:01

Tja daarom de 3-2-1 backup methode toepassen. En eventueel nog een extra datacenter rack huren. Tegenwoordig is data Goudswaard dus het is niet zo een belachelijke idee om het op meerdere plekken te bewaren. Uiteraard moet dit goed opgeslagen worden! Waar alleen bijvoorbeeld HR erbij kan, en niet iedereen zoals de CEO etc.

R_Zwart @Azenomei • 23 oktober 2025 20:56

En waar sla je die map op als 26 filialen hebt? Is bij jou op het werk alles op papier opgeslagen?

jpsch @R_Zwart • 23 oktober 2025 22:41

Wat dacht je van de salarisadministratie?

Azenomei @R_Zwart • 23 oktober 2025 21:03

edit:
Niet, waarom zou je die überhaupt op moeten slaan? Mag volgens mij ook niet meer met de AVG enzo.

[Reactie gewijzigd door Azenomei op 23 oktober 2025 21:09]

Quintiemero @Azenomei • 23 oktober 2025 21:22

Ik word gek van mag niet van de AVG. Daar zegt de AVG helemaal niks over.

@Quintiemero • 23 oktober 2025 21:34

Daar zegt de AVG toevallig wel iets over.

https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

andries98 @FrankHe • 24 oktober 2025 09:28

Het staat er letterlijk tich keer... de werkgever is een van de (volledige) uitzonderingen die het wel mag, net als banken etc. Daarnaast zijn er nog enkele bedrijven die het deels en/of onder voorwaarde mogen. Dit is overigens niet AVG maar algemeen (rijksoverheid/AP), hieroverheen tried de AVG in werking (waarbij ze uiteraard soms overlappen).

[Reactie gewijzigd door andries98 op 24 oktober 2025 09:29]

Quintiemero @FrankHe • 23 oktober 2025 22:12

Nee hoor. Dat staat allemaal in andere wetgeving. Lidstaten hebben juist de mogelijkheid om in eigen wetten regels te noteren. Maar niet de AVG. De UAVG zegt iets over gebruik BSN. Niets over identiteitskaarten.

Quintiemero @FrankHe • 24 oktober 2025 08:52

Zekers, zie geen een keer AVG. Zie een verwijzing naar website AP. Waar ziet u dat staan?

Het enige wat de AVG zegt is: De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.

Dit gaat over BSN. Niet over ID-kaarten of paspoorten

[Reactie gewijzigd door Quintiemero op 24 oktober 2025 08:54]

Buitenaerts @Azenomei • 23 oktober 2025 21:19

Is verplicht van de belastingdienst.

Azenomei @Buitenaerts • 23 oktober 2025 22:01

Een kopie? Belastingdienst heeft genoeg aan een paspoort/is kaart nummer, naam en bankrekening combinatie.

[Reactie gewijzigd door Azenomei op 23 oktober 2025 22:07]

daellat @Azenomei • 23 oktober 2025 22:33

Ja, een kopie tweede punt bij wat je moet doen als bedrijf

https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht

edit:
verkeerde link oops

[Reactie gewijzigd door daellat op 23 oktober 2025 22:34]

Azenomei @daellat • 23 oktober 2025 22:37

Dus, papieren kopie in een kluis. Geen digitale kopie op een aan het internet gekoppeld apparaat.

Tao @Buitenaerts • 24 oktober 2025 09:19

Ehm nee. Dit gebeurt volgens strikte (administratieve) wetgeving voor elk bedrijf in Nederland. Accountantbedrijven horen jaarlijks te toetsen of daaraan voldaan wordt (anders geen goedkeuring van de boeken).

De belastingdienst eist alleen noodzakelijke data, en verantwoording ervan (facturen/bonnen/declaraties etc.), op basis waarvan een evt. aanslag volgt. Ze doen geen uitspraak over de kwalitatieve staat van een administratie.

[Reactie gewijzigd door Tao op 24 oktober 2025 09:20]

klystr @Buitenaerts • 23 oktober 2025 20:53

Dat klopt, maar waarom is dat zo voor paspoorten? Ik zou toch hopen dat er voor dat doel (wat het ook moge zijn) inmiddels betere routes zijn?

Rekeningnummer, soms medische gegevens, een handtekening op een arbeidscontract...vind ik te verklaren. Waarom een kopie van een paspoort?

dasiro @klystr • 23 oktober 2025 21:06

Rekeningnummer, soms medische gegevens, een handtekening op een arbeidscontract...vind ik te verklaren. Waarom een kopie van een paspoort?

medische gegevens zouden ze enkel maar mogen hebben als die relevant zijn voor de functie, een kopie van een paspoort is om illegale tewerkstelling onder bvb een valse naam tegen te gaan, maar ik weet niet of dat bij jullie in Nederland een verplichting is/kan zijn (mogelijks voor bvb veiligheidsfuncties).

@dasiro • 23 oktober 2025 21:26

Die kopie van het paspoort past prima in een map in een kast, die hoeft helemaal niet digitaal op een server te staan. En die medische gegevens, dat zijn bijzondere persoonsgegevens waar zeer strenge regels voor gelden. Die mag niet iedereen zomaar verwerken. Je hoort daar procedures voor te hebben en daar horen ook periodieke security audits bij.

logix147 @FrankHe • 23 oktober 2025 21:43

En hoe beveilig je die kast? Slot erop en hopen dat Suzy van HR elke keer die op en van het slot haalt?

Fysieke diefstal is ook nog een ding hè.

@logix147 • 23 oktober 2025 21:49

De brandveilige kast plaats je in een inbraakwerende ruimte die zich in het gebouw bevindt. In beginsel gaan er alleen kopieën in de kast en hoef je er verder nooit naar te kijken. De Belastingdienst kan er om vragen, zet ze in de ruimte neer, geef ze een bak koffie en ze kunnen de mappen doorneuzen.

logix147 @FrankHe • 23 oktober 2025 21:59

je ontwijkt hier ook weer de vraag hoe je die kast dan weer beveiligd, want die zal echt niet altijd dicht zijn.

En als de boel dicht gaat of verhuisd of faillissement in; wat gebeurd er dan met die kast?

Precies ligt de inhoud ook op straat want dat is Suzy alweer vergeten of Suzy is inmiddels al 4x vervangen en niemand weet wat in die kast zit. Niet echt een systeem. Dat is hetzelfde als je sleutel onder de mat leggen en dan gek vinden dat je huis een keer leeg is.

Houtenklaas @logix147 • 23 oktober 2025 22:17

En als de boel dicht gaat of verhuisd of faillissement in; wat gebeurt er dan met die kast?

https://www.autoriteitpersoonsgegevens.nl/themas/financien/faillissement

Dan is de curator verantwoordelijk. En de heel flauwe: Als er een server staat te snorren waar de digitale paspoorten op staan, geldt daar exact hetzelfde voor uiteraard.

En een beveiligde ruimte kan je in ieder geval afsluiten met een deur die automagisch in het slot valt bij het open/dicht doen. Alarm geeft als deze langer dan 30 seconden openstaat, etcetera. Die gegevens hoe je ook niet 6X per dag te raadplegen, wat mij betreft leg je het in een kluis.

logix147 @Houtenklaas • 23 oktober 2025 22:34

Jij weet net zo goed als ik dat de verhalen dat dit soort gegevens op straat komen te liggen in verleden al gebeurd zijn door dit fysiek ergens op te slaan.

Ja dat kan op een server ook, maar als die server in de Azure/AWS cloud staat en de rekening wordt niet meer betaald “verdwijnt” die sneller dan zo’n fysieke kopie.

Feit is dat data bewaren nu allemaal prima gevonden wordt en er geen gevolgen zijn als je er niet goed om mee gegaan bent. Dat vind ik niet echt kunnen aangezien je er weinig tegen kunt doen als je gegevens op straat komen te liggen omdat je werkgever zijn zaken niet op orde blijkt te hebben.

Als we dit zelf zouden doen zou je nalatig gevonden worden hier op Tweakers maar omdat dit bedrijfsleven is dan zijn fysieke exemplaren ineens een oplossing voor een hoogstwaarschijnlijk slecht functionerende digitale oplossing.

Houtenklaas @logix147 • 23 oktober 2025 23:32

Ik zoek even wat je nu precies zegt ... Het punt is denk ik dat veel van dit soort bedrijven niet echt een state-of-the-art IT omgeving hebben. En dat vind ik ook niet kunnen, laat dat duidelijk zijn. Maar dan zie ik toch liever een kopie op papier dan digitaal, het risico is simpelweg door het lokale aspect een heel stuk kleiner dan het aanwezig zijn op de digitale snelweg zonder veiligheidsgordels.

En deze data bewaren is een verplichting vanuit de overheid, er is geen optie om dat niet te willen. Dan is de keuze m.i. ineens simpel. Op papier lokaal bewaren of digitaal op een netwerk dat de beveiliging van een Top500 bedrijf simpelweg niet haalt omdat IT niet hun core business is?

Tjidde @logix147 • 23 oktober 2025 22:38

Zo'n kluis moet je altijd een twee sleutel beleid hebben en daar ook goed op controleren.

Twee sleutels, is dat die deur alleen open kan met twee sleutels. Waarbij je intern er voor moet zorgen er nog twee dezelfde personen die sleutel kan hebben.

Dit soort beveiliging ook digitaal is 99% procedure. De procedure moet zijn dat het veilig is. Ook digitaal, kan je dat soort bestanden gaan versleutelen. Het uploaden van een ID moet makkelijk zijn, het opvragen niet. Zodat de medewerker die het ID moet controleren en opslaan, niet door allerlei hoepels moet wringen om hem op te slaan. Want dan zal een ID als een gewone bijlage in een dossier gestoken gaan worden.

@Tjidde • 23 oktober 2025 22:54

Het is inderdaad een kwestie van procedures opstellen en die procedures netjes volgen.

Er zijn ook gevallen waar je met minimaal drie mensen moet zijn voor de kluis die encryptiesleutels bevat.

@logix147 • 23 oktober 2025 22:37

Al deze vraagstukken zijn met digitaal opgeslagen informatie niet anders. Omdat je als organisatie persoonsgegevens verwerkt moet je daar procedures en werkinstructies voor hebben. Een duidelijk sleutelbeleid, welke personen waar bij mogen en hoe er correct en veilig wordt gewerkt.

logix147 @FrankHe • 23 oktober 2025 22:43

En dat beleid en uitvoering komt alleen als er een financiële prikkel achter zit.

Dus die kluis digitaal of analoog zal er niet komen als enkel het melden van het probleem voldoende is.

Dat lijkt geziene de enorme hoeveelheid lekken laatste maanden dus een bevestiging van te zijn want waarom zou een bedrijf in de beveiliging investeren als niemand er iets om geeft? (Zakelijk gezien: het kost me niets als het mis gaat)

@logix147 • 23 oktober 2025 22:50

Beveiliging is geen kostenpost, het is een noodzakelijke investering. Daar mag geen discussie over bestaan. Als daar maatschappij breed wel discussie over bestaat dan moet het niet in orde hebben van je beveiliging een kostbare aangelegenheid worden.

dasiro @FrankHe • 24 oktober 2025 06:53

je maakt er een debat van of dingen digitaal, dan wel analoog moeten opgeslagen worden, maar daar ging zijn vraag helemaal niet over. Elk medium heeft zijn voor- en nadelen en tenzij er een verplichte vorm is, ben je daar vrij in om te kiezen zolang er maar aantoonbaar zorgzaam mee wordt omgegaan.

@dasiro • 24 oktober 2025 09:22

De vraag is ook of je bepaalde gegevens überhaupt wel moet verwerken en bewaren. En op het moment dat je bijzondere persoonsgegevens hebt dan moeten die op passende wijze worden beveiligd. Daar zijn duidelijk gradaties in te onderscheiden. Hoe gevoeliger de gegevens hoe strenger de regels omtrent interne procedures en periodieke audits.

magician2000 @Buitenaerts • 24 oktober 2025 23:39

Wat eigenlijk al te ziek voor woorden is. Een controle en BSN nummer zouden voldoende moeten zijn. Dit soort dingen is simpelweg vragen om ellende.

Verplichtte bewaartijd tot 5 jaar na uit dienst.

Linkje toegevoegd.

[Reactie gewijzigd door magician2000 op 24 oktober 2025 23:40]

slaay @greg-a • 23 oktober 2025 20:47

Iedereen moet zich kunnen identificeren met een geldig identiteitsbewijs, ook op de werkplek. Als werkgever bent u verplicht de identiteit van uw werknemers te controleren. Voordat de werknemer in dienst komt, controleert u het originele identiteitsbewijs. U bewaart een kopie ervan in uw administratie. Wanneer het identiteitsbewijs van een werknemer verloopt, hoeft u geen nieuwe kopie te maken.

Bron: https://www.rijksoverheid...an-de-identificatieplicht

HoppyF @slaay • 23 oktober 2025 20:52

Dat klopt maar die betekent NIET dat een ID bewijs voor iedereen makkelijk inzichtelijk moet zijn.

Zeker niet door hackers ook al is een inbraak op het bedrijf gelukt. Dan nog moeten gevoelige gegevens extra beveiligd worden opgeslagen.

R_Zwart @HoppyF • 23 oktober 2025 20:59

Ook als het beveiligd is opgeslagen kunnen er vulnerabilities zijn waardoor je er op een gegeven moment toch bij kunt. Er worden dagelijks nieuwe vulnerabilities gevonden. Dat is overigens niet anders als je het op papier opslaat. Het beste slot kan ook open.

@R_Zwart • 23 oktober 2025 21:29

Een degelijk kluis met goede procedures waarin staat beschreven wie welke sleutel mag vasthouden is een uiterst veilige manier om paspoortkopieën op papier te bewaren.

Seth_Chaos @FrankHe • 23 oktober 2025 22:06

Niet alleen op papier. Digitaal is ook prima met een airgap en een kluis. Dit is gewoon regelrechte onkunde.

@Seth_Chaos • 23 oktober 2025 22:40

In dat geval kent papier een stuk minder onderhoud dan een elektronisch systeem met airgap.

Mschrijver88 @FrankHe • 24 oktober 2025 07:45

Ja, want er is nog nooit iets uit een kluis gestolen, of een sleutel gestolen of kwijt geraakt, of ff afgegeven aan die collega die je vertrouwd of als de sleuteldrager op vakantie ging. Ik zeg niet dat het verkeerd is hoor een kluis maar ook die zijn niet 100% veilig.

HoppyF @R_Zwart • 23 oktober 2025 21:53

Gaat erom hoeveel moeite het kost om bv een ID te ontcijferen. Door dit digitaal goed te beveiligen en op te slaan voorkom je veel ellende. Klinkt logisch en dat is het ook. Bedrijven die hier onachtzaam mee omgaan mogen wat mij betreft zwaar gestraft worden. Een hack is niet 100% te vermijden maar de gevolgen zijn wel te beperken. Ik ben dus wel benieuwd welke persoonsgegevens gelekt zijn in dit geval.

Houtenklaas @R_Zwart • 23 oktober 2025 21:56

Op papier in een hangmap is niks mis mee, maar wel opgeslagen dat "gewoon" personeel er niet bij kan. Dat er voldoende drempels tussen de voordeur en die kast zijn.

In de digitale wereld is - als je je netwerk aan het internet hangt - de hele wereld een mogelijk probleem, in het geval van een slot alleen de lokale junk. Dit soort data hoort opgeslagen te worden op een datadrager die 100% losstaat van een netwerk die op wat voor manier dan ook aan het internet hangt. Precies om de reden die je aangeeft, wat vandaag veilig is kan morgen ineens in de CVE database staan.

dss58 @HoppyF • 23 oktober 2025 22:16

een papieren kopie zou voldoende moeten zijn, waarom moeten dit soort zaken digitaal zonodig altijd beschikbaar zijn ?

JustSomeWords @greg-a • 23 oktober 2025 20:51

Ja dat ben je wettelijk verplicht.

Je moet van al je werknemers bij indiensttreding een geldig identiteitsbewijs checken waar ook het bsn en de nationaliteit op staat (rijbewijs is daardoor niet geldig bijv.). En of dit overeenkomt met de werknemer die het aan je overdraagt. Dan hier een kopie van maken en die tot 5 jaar na uitdiensttreding bewaren.

@JustSomeWords • 23 oktober 2025 21:17

Die kopie kan prima op papier in een kluis. Heel veilig en niet te hacken.

911GT2 @FrankHe • 23 oktober 2025 21:33

Heel veilig en niet te hacken.

Maar wel te stelen. Een kluis heeft een sleutel of een code... en daar is meteen het zwakste punt van dat systeem.

Barsonax @911GT2 • 24 oktober 2025 06:12

Je beseft je wel dat die paspoort kopieën voor flinke bedragen verkocht kunnen worden dus dan is die kluis gelijk een groot doelwit van inbrekers. Je hebt dan voor miljoenen in de kluis liggen.

Waterdicht ga je dit nooit krijgen. Je kan je wel afvragen of het nou zo handig is dat werkgevers een kopie moeten bewaren. Dat moet beter kunnen.

[Reactie gewijzigd door Barsonax op 24 oktober 2025 06:13]

@Barsonax • 24 oktober 2025 09:16

Helemaal mooi zou het zijn als de wetgever deze regel laat vallen.

@911GT2 • 23 oktober 2025 21:38

Zet de brandveilige kluis in een beveiligde ruimte die zich binnen het gebouw bevindt dat is voorzien van inbraakalarm buiten kantoortijden. Zorg dat je minimaal twee verschillende mensen met ieder een eigen sleutel nodig hebt om er bij te komen. Die kopie paspoorten in die kluis heb je verder nooit meer nodig tenzij de Belastingdienst graag inzage wil. Prima, dan zetten we een tafeltje neer in de beveiligde ruimte en een thermoskan koffie voor de mensen van de Belastingdienst. Dan kunnen ze lekker hun gang gaan. Met het vriendelijk verzoek om naderhand alles weer netjes terug te plaatsen.

911GT2 @FrankHe • 24 oktober 2025 01:13

Utopie. Alles waar mensen aan te pas komen is in te breken. Corruptie, nieuwsgierigheid, laksigheid, ongelukkigen het is allemaal mogelijk.

@911GT2 • 24 oktober 2025 09:15

Inbreken in een beveiligde kluis in een beveiligde ruimte vergt aanzienlijk meer inzet dan van afstand semi-geautomatiseerd bij duizenden bedrijven tegelijk te proberen via phishing en/of inbraak de systemen binnen te dringen. Digitale systemen hebben een vele malen groter aanvalsoppervlak.

911GT2 @FrankHe • 24 oktober 2025 09:34

Ik ben het met je eens. Maar inbreken wordt meestal niet door inbrekers gedaan, maar door werknemers. Het is een vorm van social hacking maar dan in real life. Dus ik snap je punt volledig. Maar ik vraag me af of het niet wat naïef is om te denken dat dat veiliger is. Het staat en valt bij hoe strikt men de eigen policies naleeft en in de praktijk blijkt dat vaker fluïde te zijn dan niet. Dus alle goede voornemens ten spijt komt de zwakste schakel toch opvallend snel boven...

@911GT2 • 24 oktober 2025 10:39

Zowel in fysieke als in digitale beveiliging komt het allemaal neer op het vaststellen van veilige procedures, het volgen van die procedures en een periodieke audit die onderzoekt of de procedures en de dagelijkse praktijk nog voldoen of dat er verbeterpunten te ontdekken zijn. Een goed sleutelbeleid, duidelijke instructies en mensen die zich bewust zijn van hun verantwoordelijkheid. Zowel digitaal als fysiek.

logix147 @FrankHe • 23 oktober 2025 21:41

3500 paspoorten in een kluis in wiens huis? Hoe moet je dat doen bij een multinational met 10k+ werknemers?

Antwoord de @&)/ wet aanpassen, waarom moet een werkgever buiten mijn BSN nummer en geboortedatum alles van mij als werknemer hebben?

Dat is strikt onnodig, maar dit is Nederland en wij leggen graag veel vast alleen merken we ook steeds meer en meer dat dezelfde verantwoordelijkheid die simpelweg op je pand geld, zorg dat het veilig is, goed op slot zit en je verzekering goed voor elkaar hebt dat systemen prima door het neefje dat “ICT” gedaan heeft kan worden gefixt.

Nope IT kost geld, net zoals je infra. Een horecazaak zonder 4G backup anno 2025 is hopeloos verloren als je buurman wel pin biedt en jij moet alleen cash hebben. Dat accepteren gasten niet meer.

Dit is gewoon bewijs dat gebrek aan gevolgen; er niets gaat veranderen. Bij zo’n datalek zou er gecontroleerd moeten worden of de werkgever nalatig was geweest en zo ja zou er nog best een boete mogen volgen of op z’n minst schade vergoeding voor personeel.

Het vernieuwen van je “bsn” nummer zou ook voor de gewone burger te doen moeten zijn. Dit kan namelijk wel voor “speciale” gevallen, alleen diefstal van je identiteit valt er niet onder. Moet dat gratis nee, reken daar €100 voor en laat bij zo’n nalatige werkgever of data hoarder zoals hotels ze per geval €100 betalen.

In dit geval zou het 3500x100 kosten, wellicht dat ze dan de volgende keer beter nadenken over de beveiliging. En wellicht dat we politici eens moeten vragen wat het nut is dat zoveel data bij de werkgevers en bedrijven van de burger moet rondzwerven.

@logix147 • 23 oktober 2025 21:46

3500 kopieën, dat zijn pakweg twaalf grote ordners. Die passen prima in een brandkast van gemiddelde grote. Bij een onderneming met 10k+ mensen hebben ze meer en grotere brandkasten staan.

logix147 @FrankHe • 23 oktober 2025 21:56

Op de zaak kan ik dus binnenlopen en die brandkast openen, enig idee wat die kost overigens en denk je dat ze plek in die kast hebben voor 12 mappen? Ik kan je vertellen dat sommige al moeite hebben met CASH fatsoenlijk opbergen. Laat staan HR documenten, plus als je dan toch zo’n document nodig hebt, dan ga je van je 10 kantoren even bellen met de administratie voor een digitale kopie ofzo of hoe zie je dat voor je.

Dit zou beter beveiligd moeten zijn en niet eens zo nodig. Bij de belastingdienst moet je toch zelf je aangifte checken dus waarom moet een werkgever zo’n officieel document hebben als ze toch alleen doorgeefluik zijn en je het zelf moet controleren.

Technisch gezien stopt het mij ook niet om bij meerdere werkgevers aan de slag te gaan.

Als ik ZZP-er ben en een opdracht uitvoer voor 100 bedrijven willen die 100 mijn paspoort niet hebben hoor. Maar als ik daar zelf fysiek in dienst ben wel, dat is toch wel raar. Dus als je iemand inhuurt hoeft het niet, maar als je vast er bent wel… zoals @slaay hieronder aanhaalt… immers verlopen heeft men geen nieuwe nodig, dus waarom niet gewoon vernietigen als je toch in dienst bent?

JustSomeWords @FrankHe • 24 oktober 2025 15:05

Wat is dit voor reactie. Hij vraagt of dit verplicht is ik geef m het antwoord. Verder is hier nergens een discussie over op welke manier dit het beste te implementeren is.

Fairy @greg-a • 23 oktober 2025 20:49

Vaak gemakzucht, niet inzien van de risico's of handig om te hebben...

DVX73 @greg-a • 23 oktober 2025 23:19

Het is een verplichting welke voortvloeit uit de wet op de loonbelasting.

Deze gegevens moeten minimaal tot 5 jaar na beëindiging dienstverband bewaard blijven.

Valandin @greg-a • 24 oktober 2025 00:04

Vooral paspoorten van oud medewerkers vind ik écht zorgwekkend

mjtdevries @Valandin • 24 oktober 2025 11:40

Wettelijke verplichting, dus waarom vind je dat zorgwekkend?

Valandin @mjtdevries • 24 oktober 2025 17:36

Dat iets een wettelijke verplichting is houdt niet in dat het gegevens zijn die live in een productieomgeving hoeven te staan. Dit soort data archiveer je bij het uitdiensttredingsproces voor de bewaartermijn om vervolgens te vernietigen.

[Reactie gewijzigd door Valandin op 24 oktober 2025 17:36]

Krommetenen @Valandin • 24 oktober 2025 18:57

Wie zegt dat het gearchiveerde niet is gelekt?

Dekar @greg-a • 24 oktober 2025 08:37

Ja, maar je moet wel bepaalde dingen anonimiseren, zoals BSN en pasfoto. Dit kan je ook doen als medewerker alvorens je je kopie aan je werkgever afgeeft.

mjtdevries @Dekar • 24 oktober 2025 11:42

Niet, die dingen mogen niet geanonimiseerd zijn als het gaat om de kopie die je werkgever wettelijke verplicht is te bewaren.

kimborntobewild 23 oktober 2025 20:34

De straffen voor data-lekken moeten hoger. En belangrijker: reageren op afpersers moet verboden worden.

Buitenaerts @kimborntobewild • 23 oktober 2025 20:39

Alsof bedrijven expres datalekken maken, dit slaat natuurlijk compleet nergens op wat je nu roept.

Thalaron @Buitenaerts • 23 oktober 2025 20:46

Het opslaan van data zoals paspoorten, handtekeningen, medische informatie... En dat blijkbaar op een dergelijke wijze dat het misbruikt zou kunnen worden? Dat mag voor mij wel strafbaar(der) gesteld worden.

Naam en adres is vervelend, maar niets meer dan wat je vroeger in een telefoongids in het openbaar gewoon overal kon vinden.

Maar tja... tijd voor een veilige(re) manier om je te kunnen identificeren voor belangrijke zaken te regelen. Ik verbaas mij af en toe dat ik niet allang een keer slachtoffer ben geworden van fraude zoals een bankpas/ creditcard op mijn naam door al die datalekken.

Buitenaerts @Thalaron • 23 oktober 2025 20:48

Zoals ik al eerder op iemand anders geantwoord heb moet je voor de de loonadministratie van de belastingdienst. Ik ben ook ondernemer en wij hebben dit ook, zie de volgende link voor meer informatie:

https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht

Al moet ik zeggen dat wij geen medische informatie opslaan, dit mag ook helemaal niet van de AVG. Tenzij het relevant is voor het werk, bijvoorbeeld dat bhv'ers weten dat iemand iets mankeert. Dus alles is niet zo zwart/wit als de meeste mensen hier denken.

[Reactie gewijzigd door Buitenaerts op 23 oktober 2025 20:50]

miser @Buitenaerts • 23 oktober 2025 20:53

Dit kan toch ook prima in een offline database opgeslagen worden of zelfs op papier in een kast met slot. Er is geen noodzaak dit in een online database te zetten.

Buitenaerts @miser • 23 oktober 2025 20:57

Papier is sowieso niet heel slim, als je tent afbrand ben je alles kwijt. En een offline database werkt in de huidige tijd niet met thuiswerken etc. Zo werkt het op dit moment gewoon, ook voor MNO's.

Je moet er natuurlijk alleen wel voor zorgen dat alles goed beveiligd is, bijvoorbeeld zippen met encryptie.

[Reactie gewijzigd door Buitenaerts op 23 oktober 2025 20:59]

@Buitenaerts • 23 oktober 2025 21:14

Moet je als werkgever echt een volledige digitale kopie van paspoorten van alle werknemers in je systemen hebben? Waarom zou het niet met een fotokopie in een kluis kunnen? Serieuze vraag, hoe vaak heb je die kopie van dat paspoort nodig? Op verzoek van de Belastingdienst moet je het kunnen tonen. Prima, dan lopen we nu samen met de inspecteur van de Belastingdienst naar de kluis toe en binnen drie minuten hebben we het gevraagde stuk papier in onze hand. Dit is een prima oplossing voor het vraagstuk van de paspoorten.

Shinji @FrankHe • 23 oktober 2025 22:22

Opzich goed om hier over na te denken hoe dit "offline" zou kunnen. En voor kleinere bedrijven zal het prima op papier in een kluis kunnen. Maar AholdDelhaize heeft volgens wiki zo'n 400000 medewerkers. En waarschijnlijk tig medewerkers van HR die wel eens wat met die gegevens moeten (niet de paspoorten an sich maar de gevoelige gegevens).

Dat is op papier echt geen doen.

[Reactie gewijzigd door Shinji op 23 oktober 2025 22:23]

@Shinji • 23 oktober 2025 22:48

Het vraagstuk van de paspoortkopie is heel eenvoudig te ondervangen doordat je er zelf nooit meer bij hoeft. Je moet het alleen kunnen laten zien zodra de Belastingdienst er om vraagt. Een groot bedrijf met een half miljoen medewerkers kan zonder problemen op vijftig verschillende plekken een brandkast in een beveiligde ruimte plaatsen.

Van de andere bijzondere persoonsgegevens moet je je afvragen of je die eigenlijk wel nodig hebt. Medische gegevens van werknemers vind ik bijvoorbeeld zeer discutabel.

Shinji @FrankHe • 23 oktober 2025 22:51

Je beseft je dat een bankrekening nummer ook een bijzondere persoonsgegeven is? Hoe wil jij salaris krijgen, ook in cash?

Medische gegevens zullen uitzonderingen zijn voor bijvoorbeeld een doorverwijzing naar een Arbo dienst. Ze zullen echt niet van iedereen van alles standaard vastleggen.

Quintiemero @Shinji • 24 oktober 2025 09:10

Een bankrekeningnummer is geen bijzonder persoonsgegeven.

Shinji @Quintiemero • 24 oktober 2025 10:12

Nee, ik haalde ze even door elkaar, maar het is wel degelijk een persoonsgegeven.

Quintiemero @Shinji • 24 oktober 2025 10:56

Haha dat zeker

@Shinji • 23 oktober 2025 23:00

Die bijzondere persoonsgegevens moeten netjes en correct worden verwerkt en beveiligd.

Het voorbeeld van de paspoorten heb ik even uitgelicht omdat daarvoor geen noodzaak bestaat om ze digitaal op te slaan.

OruBLMsFrl @FrankHe • 24 oktober 2025 11:31

50 verschillende plekken met brandkasten. En dan komt de inspectie die van bepaalde personen de gegevens komt opvragen die een paar jaar geleden in dienst gekomen zijn, of iedereen die in dienst kwam in een bepaalde week. En vastgoed wordt ook nog wel een verkocht en nieuw gekocht, met verhuizingen van al die archieven tot gevolg. Dat kan alleen maar goed gaan op papier zoiets complex.

Zeker bij een supermarkt, continu vacatures en dan kun je wel starten met werken morgen, maar moeten ze eerst beveiligd transport regelen naar een van die 50 locaties, want dit supermarkt filiaal is helaas niet één van die locaties. Het idee is goed hoor, om niet alles digitaal te maken puur omdat het kan, maar in de tijd van papieren archieven waren om zulke redenen behoorlijk vaak zaken kwijt in meer dynamische omgevingen. Een supermarkt is geen centraal gegeven zoals een (rijks)overheid archief.

De praktijk is gewoon wat weerbarstig, medewerkers met epilepsie, bepaalde acute allergie, daarvan moet een BHV organisatie toch wel in redelijkheid mogen opslaan dat er speciale en zeer snelle hulp geboden is in sommige gevallen, en er mogelijk impact kan zijn op de veiligheid op de werkvloer. Leidinggevenden komen en gaan natuurlijk ook, wederom op grote schaal krijgt alles zijn uitdagingen.

@OruBLMsFrl • 24 oktober 2025 12:05

Volgens mij maak je het nu ingewikkelder dan het daadwerkelijk is. Bij grote bedrijven komen grote getallen kijken, de kunst is om je niet blind te staren op die grote getallen maar te kijken naar wat er in de praktijk nodig is. Hoe je de persoonsgegevens ook opslaat, het moet zorgvuldig gebeuren en daar horen degelijke interne procedures bij en training van personeel. Uiteraard huur je externe auditors in om te onderzoeken en rapporteren waar je eventueel steken laat vallen. Verhuizingen worden altijd zorgvuldige gepland en ik zie niet in hoe dit een onoverkomelijk probleem is? Nog beter zou het zijn als de wetgever de eisen aanpast zodat je als organisatie minder gevoelige documenten hoeft te bewaren.

De BHV informatie kan prima op papier in een mapje bij de defibrillator die in een afgesloten kast met cijferslot staat. Soms zijn de oplossingen heel eenvoudig.

OruBLMsFrl @FrankHe • 24 oktober 2025 22:10

De BHV informatie kan prima op papier in een mapje bij de defibrillator die in een afgesloten kast met cijferslot staat. Soms zijn de oplossingen heel eenvoudig.

Hahaha, sorry de collega is overleden want het cijferslotje werkte even niet mee. Ik zou een defibrilator maar niet in een kast met cijferslot zetten.

Gevalletje agree to disagree.

CriticalHit_NL @Buitenaerts • 23 oktober 2025 21:08

Al denk ik dat straks dergelijke encryptie wel gebroken zal worden door quantum computing en laten ze die lekken gewoon voor later op de plank liggen.

Buitenaerts @CriticalHit_NL • 23 oktober 2025 21:12

Tja je kan ook de overheid de schuld geven dat we dit allemaal moeten bewaren, voorlopig zijn er nog lang geen quantum computers en al helemaal niet voor criminelen.

Houtenklaas @Buitenaerts • 23 oktober 2025 21:36

Er staat nergens dat dat digitaal moet, op een netwerkdrive, in de cloud of zo. "Een kopie in uw administratie". Kan dan ook prima in een hangmap op papier. Is een stuk minder sexy dan "in de cloud" inderdaad, maar je voldoet prima aan de eisen.

En we moeten maar eens beseffen dat thuiswerken fijn is, maar het doen van concessies aan privacy van anderen daar niet ondergeschikt aan mag zijn. Dan is het maar zo dat sommige dingen alleen "op de zaak" kunnen en iets minder handig gebeuren. So be it.

CriticalHit_NL @Buitenaerts • 23 oktober 2025 21:43

Klopt al denk ik dat het ook niet zoo heel ver weg in de toekomst is, nadeel van gegevens zoals BSNs en dergelijke is dat het ook niet wijzigt je leven lang. Het is dweilen met de kraan open helaas.

Teun! @CriticalHit_NL • 23 oktober 2025 21:21

Ik dacht dat quantum computers goed waren in bepaalde assymetrische crypto problemen, maar dat AES hier minimaal door beinvloed wordt

mjtdevries @Teun! • 24 oktober 2025 11:08

Dat klopt. Met quantum computers kan het misschien een factor 10 sneller. Daarmee blijft AES256 dan ruim veilig genoeg.

Scriptkid @CriticalHit_NL • 23 oktober 2025 23:45

AES256 duurt bij 100.000 Qbits (max is nu ongeveer 1000) langer dan het universum al bestaat,

Dus dat zit voorlopig wel snor.

Scriptkid @Buitenaerts • 23 oktober 2025 23:44

Al die maatregelen hebben geen nut,

Enige wat je 100% moet doen is het scherm en het keyboard uit de bedrijfs pc weg halen van de omgeving waar je sensitive data opslaat.

Of te wel ga nu eens werken met een PAW of SAW principe op sensitive data die dan in een afgeschermde omgeving zit die alleen accesable is vanaf je PAW/SAW.

Dat is de enige manier om sensitive data veilig te verwerken, en dan natuurlijk met de security maatregelen die bij zoon omgeving komen kijken.

mjtdevries @Scriptkid • 24 oktober 2025 11:14

Wat een kletsverhaal. Je hebt geen flauw idee hoe de omgeving van die franchise nemer in elkaar steekt. Dus je kunt ook niet concluderen dat ze het verkeerd geconfigureerd hebben.

Scriptkid @mjtdevries • 24 oktober 2025 12:32

Dit heeft helemaal niks met configuratie te maken maar met architectuur ideen, en ik reageer op de post dat men suggeseert encryptie en zip te gebruiken en dat heeft echt 0 nut net als jump stones en Virtual beheer station.

bytemaster460 @miser • 23 oktober 2025 20:55

Wie zegt dat het een online database was? Hackers dringen netwerken binnen. Dat ze van buiten naar binnen zijn gekomen betekent niet dat de informatie online stond.

Houtenklaas @bytemaster460 • 23 oktober 2025 21:07

Dit soort informatie hoort domweg niet op een netwerk die op wat voor manier dan ook aan het internet hangt. Uitganspunt één is dat alles gehackt kan worden, dus ook jouw netwerk. Is het lastig als het op een gescheiden segment staat in jouw bedrijf? Tuurlijk, dat is onhandig. Maar ook niet meer dan dat. Als bedrijf heb je simpelweg een verplichting naar de werknemers om letterlijk alles gedaan te hebben om hun data veilig te houden. Jouw eigen gemak is daarbij het slechtst denkbare excuus.

bytemaster460 @Houtenklaas • 23 oktober 2025 22:52

Dat is gewoon niet meer werkbaar. Als het wel hard gescheiden is wordt er weer geklaagd dat het allemaal bureaucratisch is en dat medewerkers allerlei capriolen moeten uithalen om gegevens te kunnen inzien en dat er zaken overschreven of overgetypt moeten worden omdat je op je werkplek niet én mag mailen en het archief mag inzien.

Houtenklaas @bytemaster460 • 23 oktober 2025 23:20

Dat is gewoon niet meer werkbaar. Als het wel hard gescheiden is wordt er weer geklaagd dat het allemaal bureaucratisch is en dat medewerkers allerlei capriolen moeten uithalen om gegevens te kunnen inzien en dat er zaken overschreven of overgetypt moeten worden omdat je op je werkplek niet én mag mailen en het archief mag inzien.

Ja dus? Vanwege gemak moet privacy maar wijken? Is dat wat je bedoelt?

bytemaster460 @Houtenklaas • 24 oktober 2025 08:36

Wat ik bedoel is dat klanten nu klagen dat hun privacy niet gewaarborgd is en dat mensen ook gaan klagen als medewerkers hun werk niet meer efficiënt kunnen en de klant langer moet wachten of foutieve informatie of producten krijgt doordat iemand iets moet gaan overschrijven omdat systemen niet gekoppeld mogen zijn.

Zeker in de zorg loopt een patiënt gewoon risico als bepaalde koppelingen ontbreken. Dan wordt het een keuze tussen absolute privacy of gezondheidsrisico’s voor de patiënt.

Houtenklaas @bytemaster460 • 24 oktober 2025 09:04

Maar dat heeft toch helemaal niets met het opslaan van persoonlijke data te maken? Of de voorraad hagelslag bekend wordt gemaakt bij een hack is toch net een andere orde van grootte dan dat jouw persoonlijke informatie op straat ligt. Als het technisch niet anders kan dan koppelingen te maken - wat ik me echt wel besef - zal je meerdere drempels moeten opwerpen om binnen te mogen komen. Gebruik maken van vaste IP nummers, opstapservers, encrypted data, certificaten, immutable backups, name it. Dat is allemaal verre van simpel. En dan nog zou ik privacy gevoelige informatie daar weghouden. Maar goed, we hebben alles wel gezegd denk ik.

Overigens mooi voorbeeld met de zorg, vrouwlief hier werkt in de zorg, kan administratieve dingen thuis doen, maar ze kan zeker niet overal bij vanaf thuis. Dat geeft (alhoewel ik de inrichting van de IT daar totaal niet ken) wel enig vertrouwen dat er een idee achter zit. In een ziekenhuis moet gewoon alles beschikbaar zijn, helemaal eens, ik chargeer graag, maar dan sla ik dit soort nuances graag over. Bottom line: 't Is allemaal niet eenvoudig, IT is een vak en security kost gewoon geld.

bytemaster460 @Houtenklaas • 24 oktober 2025 14:39

Het gaat er niet om of je er van thuis uit bij kan. Ik weet eigenlijk wel zeker dat ze binnen de muren van het ziekenhuis ze er wel bij kan op een computer die ook verbinding heeft met internet.

Ik werk ook in een ziekenhuis en heb de afgelopen twintig jaar gezien hoe bepaalde veiligheidsmaatregelen op het gebied van IT na een dag weer werden uitgeschakeld omdat ze de patiëntveiligheid in gevaar brachten. Het blijft een afweging waarbij een risico blijft bestaan op een hack.

gaskabouter @Houtenklaas • 23 oktober 2025 22:33

En als dan de server gestolen wordt of in de brand vliegt weer gaan roepen dat er geen deugdelijke back up is?

Hou nou toch eens op iedere keer de slachtoffers van deze criminelen de schuld te geven. Zal ik eens bij jou doen als je mishandeld en beroofd wordt

Houtenklaas @gaskabouter • 23 oktober 2025 23:19

Hou nou toch eens op iedere keer de slachtoffers van deze criminelen de schuld te geven. Zal ik eens bij jou doen als je mishandeld en beroofd wordt

Volgens mij zeg ik dat nergens. Wel dat er deuren hier en daar (half)open staan. En ja, in de nette wereld is dat nog steeds geen reden om naar binnen te lopen, de realiteit is echter dat het gebeurt en je je daartegen moet beveiligen. En dat is precies wat er vaak misgaat. Kortgeleden een middenstander waar ik op bezoek was die een NAS had staan als opslag, aan het internet, oude firmware en makkelijker op binnen te komen dan mijn eigen auto. Dat is gewoon nalatig. We leven helaas niet in een ideale wereld. Als er thuis wordt ingebroken zonder braaksporen, geeft jouw verzekering ook niet thuis. Zelfde verhaal.

OCU-Macs @Houtenklaas • 24 oktober 2025 10:28

Dit soort informatie hoort domweg niet op een netwerk die op wat voor manier dan ook aan het internet hangt.

Als integratie consultant kom ik bij vele grotere maar ook kleinere bedrijven over de vloer. Nergens tref ik een netwerk aan dat niet op de een of andere manier aan het internet gekoppeld is.

Tegenwoordig is het allemaal ‘zero trust’ wat de klok slaat, en ook dan ben je gewoon gekoppeld aan het internet.

Meer en meer zie ik bedrijven zich naar een cloud aanbieder bewegen. Hoezo internet? Nou ja, je snapt’m wel.

Het is gewoon de tegenwoordige realiteit dat alles aan het internet hangt. Net zoals je fysieke pand via een deur aan een verharde weg bereikbaar is, zonder gracht met ophaalbrug. (Hadden ze in het Louvre wel wat aan gehad overigens).

Dit soort criminaliteit moet gewoon zwaarder gestraft worden, en er moet meer aandacht en energie in voor opsporing en preventie.

Houtenklaas @OCU-Macs • 24 oktober 2025 10:47

Daar had ik wat duidelijker in moeten zijn inderdaad. Als je weet wat je doet en er genoeg IT drempels zijn die ook actief worden bijgehouden, is dat een risico waar over nagedacht is en daarmee een geaccepteerd risico. Maar een consumenten-NAS die aan het internet hangt met een firmware uit 1836 bij een MKB'er waar ik kortgeleden bij toeval tegenaan liep is er één waar een hoog hobby-Bob IT gehalte zit en het risico onverantwoord is. Gewoon niet doen in een dergelijk geval.

phoenix2149 @miser • 23 oktober 2025 21:02

Of versleuteld, waarbij de werknemer inzage toestemming geeft aan derden. Hierdoor kan de data misschien wel gestolen worden maar niet uitgelezen.

In deze tijd van digitale aanvallen en phishing moten we over op alles versleutelen wat privacy gevoelig is met verplicht 2FA en toestemming van de persoon waarvan de data is om inzage te krijgen. Dit geld voor persoons en medische data.

Laatst een bootje gehuurd en wilde ze digitaal een of bewijs hebben…. Why…. Dat heb ik geweigerd en enkel ter inzage ter plekke aangeboden ivm privacy.

[Reactie gewijzigd door phoenix2149 op 23 oktober 2025 21:03]

Señor Sjon @miser • 24 oktober 2025 07:21

Je hebt geen idee wat het verloop van (jong) personeel is. Vakkenvullende jeugd is wispelturig dus er is altijd doorloop van personeel en dus data.

Quintiemero @Thalaron • 23 oktober 2025 21:23

De AVG eist ook niet dat er geen datalekken mogen plaatsvinden.

Rouwette @Thalaron • 24 oktober 2025 10:09

Het kan zijn dat er toegang was tot de payroll software.

Scriptkid @Buitenaerts • 23 oktober 2025 21:01

Dat klopt,

Maar als je naar beveiliging kijkt wordt daar hard op bezuinigd want dat leverd niks op.

Projecten worden naar achter geschoven, en enduser mag geen last ondervinden van meer security.

En dat terwel er vaak wel goede producten ingekocht of op de plank liggen maar gebruik daarvan is duur want geen geld voor project.

Kijk maar eens hoeveel bedrijven nogsteeds geen conditional access hebben aan staan op strong MFA ook als je op het corporate LAN netwerk aanmeld.

[Reactie gewijzigd door Scriptkid op 23 oktober 2025 21:03]

Buitenaerts @Scriptkid • 23 oktober 2025 21:33

Ik kan daar niet over oordelen voor andere bedrijven, wij zijn een SaaS leverancier en wij doen heel veel aan beveiliging dit is voor ons een hele hoge prioriteit.

Scriptkid @Buitenaerts • 23 oktober 2025 23:46

Werken jullie via PAW / SAW

mjtdevries @Scriptkid • 24 oktober 2025 11:20

Je hebt net op school gehoord over PAW / SAW en je denkt nu dat dat een wondermiddel is?
Ik zal je even uit die illusie helpen. Er zijn ontelbare bedrijven die zo werken en toch gehacked zijn.

Scriptkid @mjtdevries • 24 oktober 2025 12:35

gehacked ja , achter de PAW en door de PAW op de omgeving nee (mits e2e goed geimplementeerd),

En de gene die gehacked zijn hebben dan het concept niet begrepen. En nee ik zit niet op school.

@Scriptkid • 23 oktober 2025 21:16

Beveiliging is geen kostenpost, het is een noodzakelijke investering. Dat moeten de C-levels goed in hun oren knopen.

drdelta @FrankHe • 24 oktober 2025 01:10

Waarom? Er staat geen straf op, en het kost in principe niets.

Slachtoffers hebben vervolgens geen enkele vorm van bescherming of compensatie voor hun (mogelijke) schade, zonder dat ze een rechtszaak beginnen en een of ander lullige compensatie krijgen (150,- oid).

Het probleem is dat de politiek dit niet serieus neemt, en daarmee ondernemers en C-tjes dus ook niet echt. Ja, op papier wellicht, maar de praktijk verteld helaas een ander verhaal.

[Reactie gewijzigd door drdelta op 24 oktober 2025 01:11]

@drdelta • 24 oktober 2025 09:11

@kimborntobewild schreef: "De straffen voor data-lekken moeten hoger. En belangrijker: reageren op afpersers moet verboden worden."

@drdelta schreef: "Waarom? Er staat geen straf op, en het kost in principe niets."

Ik zie hier een mogelijke oplossing voor het probleem aan gebrek aan gevoel voor urgentie in de boardroom.

mjtdevries @FrankHe • 24 oktober 2025 11:19

Het is duidelijk dat jullie geen flauw idee hebben hoe er in de boardroom hierover gedacht word.
Sinds de AVG/GDPR kunnen er extreem hoge boetes opgelegd worden als je de zaken niet voor elkaar hebt. En in alle boardrooms is er sindsdien veel aandacht hiervoor.

Voordat de AVG er was, hadden we eigenlijk in Nederland al dezelfde wetgeving, maar toen waren er inderdaad lage boets en trok men zich er weinig vanaan.

@mjtdevries • 24 oktober 2025 11:56

Dan verbaasd het me dat er nog steeds zo verschrikkelijk veel datalekken zijn. Blijkbaar is de beveiliging nog steeds onvoldoende. Beveiliging is overigens niet alleen techniek maar bestaat ook in het voorlichten van personeel en erop toezien dat procedures netjes worden gevolgd.

mjtdevries @FrankHe • 24 oktober 2025 12:01

Dan ben je neem ik aan ook verbaasd dat er nog steeds zoveel diefstallen zijn, dat er zoveel oplichters zijn en mensen die met babbeltruuks van mensen geld stelen?

Wat veel mensen niet schijnen te beseffen is dat de georganiseerde misdaad heeft ontdekt dat dit veel makkelijker is dan drugs verhandelen.
Het zijn geen scriptkids die dit doen, maar professionele criminele organisaties. Daarom zijn er ook zo ontzettend veel online aanvallen.

@mjtdevries • 24 oktober 2025 12:09

Dat klopt. Je hebt als organisaties inderdaad te maken met georganiseerde criminelen die zich toegang proberen te verschaffen tot je data. Vandaar dat er serieus energie wordt of moet worden gestoken in interne procedures, training van personeel en externe audits. Alleen zo kun je je als organisatie voldoende wapenen tegen die criminelen.

Techniek is slechts een deel van het verhaal. De menselijke factor is minstens zo belangrijk.

drdelta @mjtdevries • 24 oktober 2025 12:27

Sorry, maar AVG/GDPR boetes die uitgedeeld worden na hacks (van persoonlijke data) vinden vrijwel uitsluitend plaats bij grove nalatigheid. Partij die geen stap meer doen dan het "minimaal" noodzakelijk geachte (ongetwijfeld hier ook), krijgen geen boete.

Offline cold storage voor biomedische gegevens, identificatie documenten, etc. denk ik dan aan. Decrypten van dergelijke bestanden alleen wanneer ze nodig zijn, etc. In plaats daarvan kan hier doodleuk de data van duizenden mensen eventjes gekopieerd worden. Maar goed, als partijen dat soort dingen zouden doen, dan zouden we niet dit soort datalekken hebben...

Aandacht is leuk, maar lost helaas niets op.

mjtdevries @drdelta • 24 oktober 2025 13:22

Leuk al die onderbuik gevoelens van je, maar daar schieten we niks mee op.
Zoals ik in andere reactie al aangaf zijn criminelen vaak al een half jaar binnen voordat ze zover zijn gekomen dat ze gevoelige data kunnen stelen. Dus van "eventjes de data kopieren" is helemaal geen sprake.

drdelta @mjtdevries • 24 oktober 2025 18:56

Zou je een link naar je reactie kunnen delen, ik kan je comment niet vinden waar je dit verteld.

@Buitenaerts • 23 oktober 2025 21:52

ik vind het een beetje dubbel want het is wel zo dat sommige bedrijven niet genoeg doen om het te voorkomen. of dit bij de AH ook zo is zou ik niet weten.

@Buitenaerts • 23 oktober 2025 20:48

Laten we beginnen met meer bewustzijn. Er zijn legio bedrijven die simpelweg te weinig maatregelen nemen om hun data te beveiligen. In dit geval zou je je ook nog kunnen afvragen waarom ze medische informatie van een werknemer zouden moeten opslaan? Dat zijn namelijk bijzondere persoonsgegevens waarvoor zelfs nog vele malen strengere regels gelden dan bij de 'reguliere' persoonsgegevens.

Wanneer na onderzoek wordt vastgesteld dat een organisatie nalatig is geweest in de beveiliging van de aan hun toevertrouwde informatie en ze dat kan worden aangerekend dan vind ik het niet meer dan logisch dat mensen daarvoor hoofdelijk aansprakelijk worden gesteld en daarvoor strafrechtelijk vervolgd kunnen worden.

Zoals gezegd gaat het om voorlichting en ook om auditing waarbij je een gecertificeerde derde partij de opdracht geeft om de boel te testen en daar rapport over uit te brengen. Zodra je dat allemaal nalaat dan mag je daar op worden aangesproken en bij grove misstanden mag daar wat mij betreft ook een strafrechtelijk traject uit volgen.

B_FORCE @Buitenaerts • 23 oktober 2025 21:05

Alsof mensen expres verkeersovertredingen of fouten in hun belastingaangifte maken?

Het idee van straffen is om ervoor te zorgen dat mensen iets meer nadenken dan gewoon domweg iets doen, of er eventueel van leren, of omdat men vindt dat het niet zo langer meer kan.

Momenteel zijn er zo goed als geen consequenties voor data-lekken.
Tel daarbij op dat het merendeel IT nogsteeds niet heel erg goed begrijpt en/of een houding heeft van; het zal wel loslopen of simpelweg geen zin heeft er moeite (lees: geld) in te willen stoppen.

logix147 @Buitenaerts • 23 oktober 2025 22:39

Al gedegen onderzoek door een derde partij bewijst dat data onveilig is opgeslagen geweest dan vind ik dat een boete op z’n plaats is.

Andersom klaagt een werkgever een werknemer ook aan als die nalatig handelt of ontslaat iemand, maar als werkgever mag je met een datalek na het melden ervan gewoon weer die publieke benaderbare ftp server optuigen en gebruiken… slecht voorbeeld maar als er geen financiële consequenties zijn zal budget voor ICT en de onzichtbare zaken zoals beveiliging nimmer belangrijk gevonden worden door de partijen die er te laks naar kijken.

mjtdevries @logix147 • 24 oktober 2025 11:23

De boets die via de AVG/GDPR opgelegd kunnen worden zijn extreem.
Maar ze zijn niet bedoelt om een bedrijf failliet te maken. Blijkt echter dat je je de situatie niet verbetert na een datalek, dan krijg je wel die hele stevige boete.

logix147 @mjtdevries • 25 oktober 2025 00:50

Ik denk ook niet dat het goed is dat een bedrijf failliet eraan moet gaan. De eerste keer zou echt als een waarschuwing moeten dienen dat het beleid schijnbaar niet goed genoeg is. Of onderliggend daar een te beperk budget aan voorafgaand is zou uit zo’n onderzoek wel naar voren komen.

Nu echter is dat vaak men denkt; mosh schouders omhoog en door. Ik krijg niet van het AVG/GDPR verantwoordelijke uitvoering ervan het idee dat ze dit nu met prioriteit uitvoeren.

Datalek

@Buitenaerts • 23 oktober 2025 23:23

Alsof bedrijven expres datalekken maken

Ja- dat doen ze. Dat is nou wat "laakbaar handelen" inhoudt, zeker wanneer het met voorbedachte rade is.
Hoofdstuk: "Nee- het is veel te duur om deze gegevens adqequaat te beschermen. Kan ook wel met wat minder, toch?"

Dat gebeurt echt nog te vaak binnen de IT, ben ik bang.

[Reactie gewijzigd door R4gnax op 23 oktober 2025 23:24]

slaay @kimborntobewild • 23 oktober 2025 20:40

En wat zou dat in dit geval oplossen? Het is te gemakkelijk roepen over 'straffen hoger'.

Fairy @kimborntobewild • 23 oktober 2025 20:48

Straffen voor degene die de diefstal pleegt zeker, liefst wereldwijd.

Bedrijven horen echter ook de beveiliging redelijk op orde te hebben maar voorkomen is nooit 100% mogelijk.

R_Zwart @kimborntobewild • 23 oktober 2025 20:55

En wie wil je dan straffen? Het team van sysadmins die de systemen niet tijdig gepatcht hebben? De enterprise architecten die fout in het ontwerp hebben gemaakt? De software leverancier? De directeur? IT systemen zijn het resultaat van teamwork en niemand maakt bewust iets dat lek is.

@R_Zwart • 23 oktober 2025 21:07

Zodra er sprake is van grove nalatigheid dan mag dat van mij wel degelijk gevolgen gaan hebben. Een organisatie met rond de 3500 medewerkers mag geacht worden minimaal jaarlijks een externe auditor opdracht te geven om de systemen technisch door te lichten en daar een rapport over op te stellen. Daar komen doorgaans verbeterpunten of adviezen uit voort.

Natuurlijk kun je er over discussiëren hoe nuttig sommige bevindingen of aanbevelingen van een auditor zijn, maar alles zomaar afserveren als onzin zou te simpel zijn. Wanneer de organisatie aantoonbaar belangrijke maatregelen niet heeft genomen dan mag dat van mij gevolgen hebben. Op het moment dat er duidelijk een hoofdschuldige kan worden aangewezen dan mag iemand van mij ook hoofdelijk aansprakelijk worden gesteld eventueel met strafrechtelijk traject.

martijnvanegdom @kimborntobewild • 23 oktober 2025 20:40

Ja maar hoe dan? Gaan we dan de directeuren van organisaties persoonlijk straffen? Of gaan we hoger boetes opleggen?

[Reactie gewijzigd door martijnvanegdom op 23 oktober 2025 20:40]

DiedX @martijnvanegdom • 23 oktober 2025 20:54

Met de nis2 wordt de directie aansprakelijk gesteld.

AiR60 @martijnvanegdom • 23 oktober 2025 20:51

Dan hou je geen directeur meer over…

De vraag is ook hoe een dergelijk lek tot stand komt… is het te laat iets gepatcht of een medewerker die per ongeluk een verkeerde mail opent?

Ik vrees dat dit niet meer te voorkomen is… de vraag is niet of het bij bedrijf x gebeurt, maar meer de vraag wanneer…

Dan rijst de vraag, hoe makkelijk is het schijnbaar om aan alle naw gegevens te kunnen komen, dat is ook wel bizar. Erover nadenkend, als ik al toegang heb tot bedrijf x en ik zou administrator rechten moeten hebben, ik zou werkelijk geen idee hebben waar je dit uit vandaan moet halen….en zoveel gegevens, halen ze dat dan in 5 minuten op in een export?

ik denk dat meer de vraag ligt hoe persoonsgegevens beter beschermd kunnen worden voor dit soort acties….

B_FORCE @AiR60 • 23 oktober 2025 21:09

Hoezo niet?
Een bedrijf is ook aansprakelijk voor veiligheidsregels, daar hebben we (oa) de ARBO voor.
Bij zware misstanden, kan daarbij zeer zeker wel de directie worden aansprakelijkheid gesteld.
Waar zelfs grove boetes voor worden uitgedeeld.

Dit is in feite toch gewoon een soort van digitale ARBO wet over privacy?
Het is gewoon een kwestie van willen en het belang ervan willen snappen.
Helaas leert de geschiedenis, dat er eerst iets gruwelijks fout moet gaan en moeten mensen eerst in opstand moeten komen.
Dit ging ook vooraf aan veiligheidsregels en verplichtingen.

sapphire @AiR60 • 23 oktober 2025 21:21

Stel je toch eens voor dat je als directeur verantwoordelijk bent voor het reilen en zeilen van je bedrijf. Dat is hun werk verantwoordelijk zijn

En anno 2025 is het inderdaad een goed uitgangspunt dat het eens mis gaat ondanks je beveiliging maar ook daar kun je maatregelen in nemen. Kwestie van voorbereiding dus. Je kan niet alles voor zijn maar goed voorbereid zijn scheelt wel enorm veel. Segmenteren en actief monitoren bv.

Als het dan gebeurd en je kunt gewoon aantonen dat je je beveiliging goed op orde had en geen grove steken hebt laten vallen….

kimborntobewild @sapphire • 23 oktober 2025 22:03

"actief monitoren*

Dat is inderdaad belangrijk. Regelmatig een pentest laten doen. Liefst elke keer bij een ander pentest-bedrijf.

mjtdevries @kimborntobewild • 24 oktober 2025 11:25

Dit is allemaal zo naief. Alsof al die grote bedrijven geen pentests doen. *zucht*

mjtdevries @AiR60 • 24 oktober 2025 11:27

Die hackers doen niet een export in 5 minuten.
Bij de meeste ransomware aanvallen blijkt dat de hackers al 6 maanden actief zijn geweest in het netwerk om steeds verder en verder door te dringen voordat ze daadwerkelijk de boel platleggen en stelen.

Cyb 23 oktober 2025 21:40

Vroeg of laat wordt elke organisatie gehackt. De oplossing zou daarom niet alleen in het verbeteren van de beveiliging moeten liggen, wat slechts de frequentie van het lekken reduceert maar niet voorkomt, maar men (de overheid/Nederland) zou ook de vraag moeten stellen of het uberhaupt nodig is dat een werkgever privacy gevoelige data (paspoorten) van zijn werknemers langdurig opslaat. Wat mij betreft wordt dat gewoon verboden en moet de overheid komen met een beter systeem/wetgeving. Bijv. een systeem met asymmetrische cryptografie, waarbij de burger aan elke organisatie een andere sleutel kan verstrekken en zijn controle heeft over zijn gegevens.

@Cyb • 23 oktober 2025 21:53

Of in dit geval twaalf dikke ordners met kopieën van paspoorten in een kluis bewaren. Zo voldoe je volledig aan de wet die voorschrijft dat je de Belastingdienst op eerste verzoek inzage moet kunnen verschaffen. Plus je hebt het niet digitaal opgeslagen en bent op dat punt AVG-proof.

Señor Sjon @FrankHe • 24 oktober 2025 07:31

Die zitten in personeelsdossies, anders kan je ze niet vinden, dus doe rustig x4 of 5. En die kast staat permanent open door het hoge verloop bij 15 jarig personeel. Hoe veilig is dat?

@Señor Sjon • 24 oktober 2025 09:25

Die paspoortkopieën bewaar je alleen voor de Belastingdienst. Zelf kijk je er nooit meer naar. Het is dus éénrichtingsverkeer, A4'tje van nieuw personeel gaat de map / kast in. Eens per jaar ga je door de mappen en haal je de pagina's van mensen die meer dan vijf jaar uit dienst zijn eruit. Nog beter zou het zijn als de wetgever de regels aanpast en je deze kopieën niet meer hoeft te bewaren.

mjtdevries @FrankHe • 24 oktober 2025 11:45

Leuke optie voor het MKB, maar totaal niet realistisch voor grote bedrijven.

@mjtdevries • 24 oktober 2025 12:07

Hoezo niet? Dat is prima te organiseren en wanneer je dat slim inricht dan kost het echt niet veel moeite. Beter zou het zijn wanneer je als werkgever die kopieën van paspoorten helemaal niet meer hoeft op te slaan. Maar dat is aan de wetgever om daar eventueel verandering in aan te brengen.

Mark de Vaal 23 oktober 2025 20:34

Ik zou neerzetten "Weer getroffen door datalek". Dit was een paar maand geleden ook al het geval.

Torrentus @Mark de Vaal • 23 oktober 2025 20:39

Dit keer is het een franchisenemer. Dat is wel anders. Gewoon een ander bedrijf. De kop is in die zin juist wat te generiek, vind ik.

Houtenklaas @Mark de Vaal • 23 oktober 2025 20:39

Technisch gezien was de eerste bij Ahold zelf, deze bij een Franchise-partij die 26 winkels onder zich heeft. De gelekte gegevens van deze keer zijn alleen van de franchise-club. 3500 man bij 26 winkels klinkt wat veel, maar ik neem aan dat het merendeel vakkenvullende jeugd zal zijn.

911GT2 @Houtenklaas • 23 oktober 2025 21:36

3500 man bij 26 winkels klinkt wat veel,

135 werknemers per winkel. In mijn Ah lopen op ieder moment van de dag minsten 20 werknemers rond. Met 7 dagen per week is 135 niet een heel raar aantal zeker niet als het over meerdere jaren gaat.

Mark de Vaal @Houtenklaas • 23 oktober 2025 20:47

Bedankt voor de aanvulling.

Thalaron @evilution • 23 oktober 2025 23:25

Nee, maar het verklaart wel de hoeveelheid medewerkers per winkel. Iets met een beetje bijverdieners ipv FTE’ers.

mutley69 23 oktober 2025 22:36

Een werkgever die medische info bij mag houden? Huh!

DeBers @mutley69 • 23 oktober 2025 23:44

Ja. Dat was ook mijn eerste reactie. Hoezo staan medische gegevens daar?

windowshero 23 oktober 2025 23:11

Bun.nl heeft ook vastgoed, zou het enkel AH gegevens zijn of zou er meer info buitgemaakt zijn?

DeBers @windowshero • 23 oktober 2025 23:43

Waarom wil je hier over speculeren?

Soulmaster 23 oktober 2025 20:50

Albert Heijn is niet door een datahack getroffen, dat is die franchisenemer. Iets heel anders

dasiro @Soulmaster • 23 oktober 2025 21:01

Inderdaad, zeker als je weet dat die keten ook hier in België actief is, is de impact verschillende grootteordes kleiner dan dat het héél hun personeelsbestand zou zijn geweest.

Elorad 23 oktober 2025 21:15

Volgens RTL is het datalek het gevolg van een ransomwareaanval op de franchisenemer

Ik dacht dat ransomware altijd als kenmerk had dat de data versleuteld werd (het daadwerkelijke gijzelen zeg maar) en het losgeld wordt betaald voor het opheffen van de versleuteling. Maar daar lees ik verder niks over, alleen over publicatie van gestolen gegevens. Of vergis ik me?

Liegebeest @Elorad • 24 oktober 2025 17:34

Dat is hoe het vroeger was.

Nu is de gijzeling: “betalen of we zetten alles online!”.

Elorad @Liegebeest • 24 oktober 2025 19:35

Weer wat geleerd, dankjewel $_/-\o_$

Mizgala28 23 oktober 2025 21:48

Het gaat onder meer om adressen, e-mailadressen, paspoorten, handtekeningen, bankrekeningnummers en medische informatie.

Ik zou mij enorm zorgen maken hierover als medewerker daar (ik werk daar niet in ieder geval)

Genoeg gegevens om van de betreffende mensen hun leven zuur te maken, bankrekeningnummer is als erg genoeg, maar handtekeningen en paspoorten erbij maakt het nog erger.

dutchgio 23 oktober 2025 22:09

Titel is wat suggestief, volgens mij is Bun getroffen door een datalek, niet Albert Heijn. Het betreft wel medewerkers die in een Albert Heijn winkel werken.

Om te kunnen reageren moet je ingelogd zijn