Gegevens van miljoenen Nederlanders, zoals adressen en telefoonnummers, zijn mogelijk buitgemaakt door criminelen. Dit komt door een datalek bij een bedrijf dat ict-zaken regelt voor autogarages. De persoonlijke gegevens, evenals bijbehorende kentekens, zijn openbaar online geplaatst of te koop aangeboden.
De NOS maakt melding van het datalek. Hoeveel mensen zijn getroffen is niet helemaal duidelijk, al spreekt de NOS over gegevens die herleidbaar zijn naar 7,3 miljoen mensen. Het ict-bedrijf waar het datalek plaatsvond, RDC, bevestigt dat dit aantal reëel is. Kanttekening is wel dat gegevens en personen meerdere keren voor kunnen komen in de database.
Onduidelijk hoe data is gestolen
RDC helpt garages onder andere met het versturen van mails en inplannen van afspraken. Het heeft hierdoor beschikking over een hoop gegevens over personen en hun voertuigen, die ze bijvoorbeeld van de RDW krijgen. De gegevens die zijn buitgemaakt komen uit de periode van september 2018 tot eind januari 2019.
RDC zegt niet te weten hoe de data gestolen kon worden, al lijkt te zijn uitgesloten dat er sprake was van een hack. Het onderzoek is in volle gang, stelt het bedrijf. Het lek is ook gemeld bij de Autoriteit Persoonsgegevens.
Wat is het risico?
Het risico van dit datalek is dat kentekens en adressen aan elkaar verbonden zijn. Hierdoor kunnen criminelen zien waar bepaalde auto's staan, waarmee autodieven dus letterlijk voertuigen zouden kunnen uitkiezen.
Verder zijn persoonlijke gegevens zoals e-mailadressen en telefoonnummers voor oplichters interessant, bijvoorbeeld voor oplichtinsvormen als spoofing of WhatsAppfraude. Ook identiteitsfraude ligt op de loer. Kortom: oplichters kunnen van alles als ze een naam, adres en contactgegevens aan elkaar weten te koppelen.
De gegevens zijn deels te koop aangeboden op een hackersforum en deels openbaar geplaatst. 'De mogelijkheid bestaat dat u via e-mail, post of telefonisch benaderd wordt door iemand die zich voordoet alsof hij of zij een medewerker is van het autobedrijf waar u zaken mee doet. Verifieer altijd of u daadwerkelijk te maken heeft met een medewerker van uw autobedrijf', zegt RDC.
Zitten jouw gegevens ertussen?
'De kans is aanwezig dat dat zo is. De verkoper van de voertuig- en persoonsgegevens zegt over 60 procent van door ons verwerkte data te beschikken', schrijft RDC. De zaak wordt nog onderzocht en er is niet precies duidelijk van hoeveel mensen gegevens gelekt zijn, en wie er dan getroffen zouden zijn. Als het lek echt de gegevens van 7,3 miljoen personen omvat, zou dit een van de grootste datalekken ooit in Nederland zijn.
RDC zegt getroffen consumenten vanwege de AVG niet te mogen benaderen. Wel moedigt het autobedrijven aan om klanten over de situatie te informeren.
'Wanneer we meer weten, komen we direct bij u terug met nadere informatie', schrijft RDC op zijn website.
Op de website van onze AVROTROS-collega's van Radar vind je een artikel waarin wordt beschreven wat je kunt doen als jouw gegevens bij een datalek op straat zijn komen te liggen. Hier lees je bijvoorbeeld wanneer je recht hebt op een schadevergoeding.