Zondag 19/01/2020

Orange lekt persoonlijke gegevens: "15.000 Belgische klanten getroffen"

Beeld AFP

Door een datalek heeft Orange mogelijk de persoonlijke gegevens van tot 15.000 klanten op straat gegooid. Dat meldt Techzine. De gegevens zouden twee weken geleden gelekt zijn, maar de telecomoperator lichtte klanten pas gisteren in via een e-mail.

In de mail maakt Orange gewag van een “ongeoorloofde toegang” tot de gegevens van bijna 15.000 klanten. Het zou kunnen dat informatie zoals naam, adres, e-mailadres, telefoonnummer, rijksregisternummer en het rekeningnummer van klanten gestolen werd. Andere gegevens, zoals kredietkaartnummer of factuurgegevens, zijn niet gelekt. 

Aan Techzine liet Orange gisteravond weten dat niet noodzakelijk al de gegevens gelekt zijn, het verschilt van klant tot klant. Het gaat om de gegevens van 15.000 willekeurige klanten, die op een testserver stonden. Bij een test is een menselijke fout gebeurd bij een onderaannemer. "We hebben nog geen stappen gezet tegen die onderaannemer, maar die kans is wel groot dat dat gebeurt", aldus Marynissen. "Maar uiteraard hebben wij de eindverantwoordelijkheid: de klanten inlichten en de nodige technische maatregelen treffen."

De telecomoperator waarschuwt klanten nu voor het eventuele misbruik van die gegevens. Ze geven mee dat de gestolen informatie gebruikt kan worden voor oplichting, zoals phishing, of identiteitsfraude. Orange vraagt de getroffen klanten de komende periode extra waakzaam te zijn. Er is een speciaal e-mailadres waarop deze klanten terechtkunnen met hun vragen.

Inbraak op server

De gegevens zouden eind mei gelekt zijn, zo bevestigt Orange in een officiële reactie. Er werd een “inbraak” gedetecteerd op een testserver waarop de gegevens van klanten werden bewaard. “Een interne analyse, uitgevoerd naar aanleiding van de feiten, bracht aan het licht dat het om een menselijke fout ging bij een onderaannemer van Orange Belgium”, klinkt het.

Orange nam twee weken de tijd om de omvang van de schade te bepalen. “Zodra we de details van het lek kregen, hebben we de getroffen klanten geïnformeerd en de nodige acties ondernomen”, meldt de operator op Twitter.

Meldplicht

Het incident werd ook gemeld aan de Gegevensbeschermingsautoriteit, zoals de nieuwe GDPR-wetgeving voorschrijft. Volgens die wetgeving zijn organisaties verplicht om datalekken binnen de 72 uur na ontdekking te melden aan de bevoegde regulator, in ons land de Gegevensbeschermingsautoriteit, de vroegere Privacycommissie. Of dat effectief binnen de 72 uur gebeurde, is niet duidelijk.

"Systeem werkt"

Dat Orange de klanten waarschuwde, bewijst voor minister van Telecom Alexander De Croo en staatssecretaris voor Privacy Philippe De Backer dat het systeem werkt. "Gedaan met datalekken in de doofpot te steken", aldus de twee Open Vld'ers. "De consument verwacht en verdient informatie en transparantie bij een datalek."

"Met de nieuwe GDPR-regels is er eindelijk een draaiboek om tegen datalekken op te treden", aldus De Backer. "Bedrijven worden ook verplicht om te communiceren. Het vertrouwen van de consument is essentieel in een digitale economie."

De Croo wijst erop dat telecomoperatoren over heel wat persoonlijke klantengegevens beschikken. "Het is belangrijk dat die goed zijn afgeschermd", aldus De Croo.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234