image

AddComm lekte data 1,5 miljoen mensen: "Hack beste wat ons is overkomen"

vrijdag 4 juli 2025, 11:28 door Redactie, 6 reacties
Laatst bijgewerkt: Vandaag, 12:09

Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm die vorig jaar plaatsvond werden de gegevens van 1,5 miljoen mensen buitgemaakt. "De hack is het beste wat ons is overkomen. Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd", zegt ceo Leonie van der Veen in het Datalekkenrapport van de Autoriteit Persoonsgegevens (AP). Het bedrijf maakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens. Wat die afspraken precies inhouden is nooit bekendgemaakt.

AddComm verzorgt voor duizenden bedrijven de communicatie met klanten. ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall, drinkwaterbedrijf Dunea, Eneco, Gemeentelijk Belastingkantoor Twente, Hoogheemraadschap Hollands Noorderkwartier (HHNK) waren enkele van de klanten van AddComm die hun klanten over het datalek waarschuwden.

Volgens de AP raakte de aanval op AddComm ruim vijfduizend klanten van het bedrijf. In totaal zorgde de ransomware-aanval voor meer dan 5400 datalekmeldingen. De toezichthouder analyseerde deze gemelde datalekken en ontdekte dat zestien organisaties hun slachtoffers niet hadden geïnformeerd over de aanval. Deze organisaties vonden bijvoorbeeld dat er geen sprake was van een hoog risico voor betrokkenen, omdat het ging om “normale” persoonsgegevens, zoals een telefoonnummer en een e-mailadres, zo laat de AP weten.

De toezichthouder vond dat er wel sprake was van hoge risico’s bij het datalek, omdat het lek bij één organisatie al zorgde voor 24.000 slachtoffers. "Door het lekken van onder meer een e-mailadres konden deze duizenden slachtoffers bijvoorbeeld per e-mail op grote schaal worden gephisht." Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen.

In totaal werden ruim 1,5 miljoen mensen slachtoffer van de aanval. De toezichthouder stelt dat het vanwege de grote aantallen (gevoelige) persoonsgegevens grote risico’s voor slachtoffers zag. "De hack is het beste wat ons is overkomen", aldus AddComm-ceo Leonie van der Veen. "Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd. Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner."

"Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering", laat Van der Veen in een blogposting weten." Ze voegt toe dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk. Hoe de ransomware-aanval mogelijk was laat de ceo niet weten.

Reacties (6)
Vandaag, 11:54 door Named
Wacht, een CEO die van fouten leert??? :-(
DAT MAG NIET!!! ò_ó

Ik ben blij dat iemand nu de waarde van dataminimalisatie inziet.
En ik hoop dat ze deze praktijk goed en succesvol kunnen toepassen.
Vandaag, 12:20 door Anoniem
Het lekken van gegevens van 1,5 miljoen mensen is het "het beste wat ons is overkomen"?

Nou het was niet het beste wat die 1,5 miljoen mensen kon overkomen, die zijn nl slachtoffer hiervan, beetje domme uitspraak dus.

"Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie."

Volgens mij staat hieromtrent gewoon iets in de GDPR/AVG, dus ik mag aannemen dat deze partijen niet zomaar random data zouden delen en nu pas zijn gaan nadenken welke data ze vanaf nu zullen gaan delen.

"Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen."

Ook dit staat gewoon in de AVG, bij hoog risico dien je je klanten te informeren, kennelijk was een gesprek met de AP nodig om dit ALSNOG te doen, er was anders kennelijk niets gebeurd....

Er gaan hier echt zoveel dingen mis
Vandaag, 13:33 door Anoniem
Dus AddComm heeft heel veel centjes betaald aan die criminelen? Uiteindelijk betaalt dat de consument toch ruimschoots terug. Snap wel dat zij daarom bij AddComm geen enkele zorgen hierover maken.
Vandaag, 14:31 door Anoniem
Absoluut. Soms moet je een goede security audit door de strot geramd krijgen.
Vandaag, 14:37 door Noniem
"wij en onze klanten hebben hier veel van geleerd, zegt ceo Leonie van der Veen."

Ik het kort: weet welke data je deelt. En ze brengt het geleerde gelijk in praktijk:

-Inhoud van de gemaakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens zijn nooit bekendgemaakt
-hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
Vandaag, 14:42 door passer
Door Anoniem: Het lekken van gegevens van 1,5 miljoen mensen is het "het beste wat ons is overkomen"?
Ik dacht anders dat er dit stond: quote: "Hack beste wat ons is overkomen"
(er ging dus bij jou iets mis :) )
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.