image

AddComm lekte data 1,5 miljoen mensen: "Hack beste wat ons is overkomen"

vrijdag 4 juli 2025, 11:28 door Redactie, 9 reacties
Laatst bijgewerkt: 04-07-2025, 12:09

Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm die vorig jaar plaatsvond werden de gegevens van 1,5 miljoen mensen buitgemaakt. "De hack is het beste wat ons is overkomen. Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd", zegt ceo Leonie van der Veen in het Datalekkenrapport van de Autoriteit Persoonsgegevens (AP). Het bedrijf maakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens. Wat die afspraken precies inhouden is nooit bekendgemaakt.

AddComm verzorgt voor duizenden bedrijven de communicatie met klanten. ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall, drinkwaterbedrijf Dunea, Eneco, Gemeentelijk Belastingkantoor Twente, Hoogheemraadschap Hollands Noorderkwartier (HHNK) waren enkele van de klanten van AddComm die hun klanten over het datalek waarschuwden.

Volgens de AP raakte de aanval op AddComm ruim vijfduizend klanten van het bedrijf. In totaal zorgde de ransomware-aanval voor meer dan 5400 datalekmeldingen. De toezichthouder analyseerde deze gemelde datalekken en ontdekte dat zestien organisaties hun slachtoffers niet hadden geïnformeerd over de aanval. Deze organisaties vonden bijvoorbeeld dat er geen sprake was van een hoog risico voor betrokkenen, omdat het ging om “normale” persoonsgegevens, zoals een telefoonnummer en een e-mailadres, zo laat de AP weten.

De toezichthouder vond dat er wel sprake was van hoge risico’s bij het datalek, omdat het lek bij één organisatie al zorgde voor 24.000 slachtoffers. "Door het lekken van onder meer een e-mailadres konden deze duizenden slachtoffers bijvoorbeeld per e-mail op grote schaal worden gephisht." Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen.

In totaal werden ruim 1,5 miljoen mensen slachtoffer van de aanval. De toezichthouder stelt dat het vanwege de grote aantallen (gevoelige) persoonsgegevens grote risico’s voor slachtoffers zag. "De hack is het beste wat ons is overkomen", aldus AddComm-ceo Leonie van der Veen. "Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd. Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner."

"Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering", laat Van der Veen in een blogposting weten." Ze voegt toe dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk. Hoe de ransomware-aanval mogelijk was laat de ceo niet weten.

Reacties (9)
04-07-2025, 11:54 door Named
Wacht, een CEO die van fouten leert??? :-(
DAT MAG NIET!!! ò_ó

Ik ben blij dat iemand nu de waarde van dataminimalisatie inziet.
En ik hoop dat ze deze praktijk goed en succesvol kunnen toepassen.
04-07-2025, 12:20 door Anoniem
Het lekken van gegevens van 1,5 miljoen mensen is het "het beste wat ons is overkomen"?

Nou het was niet het beste wat die 1,5 miljoen mensen kon overkomen, die zijn nl slachtoffer hiervan, beetje domme uitspraak dus.

"Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie."

Volgens mij staat hieromtrent gewoon iets in de GDPR/AVG, dus ik mag aannemen dat deze partijen niet zomaar random data zouden delen en nu pas zijn gaan nadenken welke data ze vanaf nu zullen gaan delen.

"Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen."

Ook dit staat gewoon in de AVG, bij hoog risico dien je je klanten te informeren, kennelijk was een gesprek met de AP nodig om dit ALSNOG te doen, er was anders kennelijk niets gebeurd....

Er gaan hier echt zoveel dingen mis
04-07-2025, 13:33 door Anoniem
Dus AddComm heeft heel veel centjes betaald aan die criminelen? Uiteindelijk betaalt dat de consument toch ruimschoots terug. Snap wel dat zij daarom bij AddComm geen enkele zorgen hierover maken.
04-07-2025, 14:31 door Anoniem
Absoluut. Soms moet je een goede security audit door de strot geramd krijgen.
04-07-2025, 14:37 door Noniem
"wij en onze klanten hebben hier veel van geleerd, zegt ceo Leonie van der Veen."

Ik het kort: weet welke data je deelt. En ze brengt het geleerde gelijk in praktijk:

-Inhoud van de gemaakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens zijn nooit bekendgemaakt
-hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
04-07-2025, 14:42 door passer
Door Anoniem: Het lekken van gegevens van 1,5 miljoen mensen is het "het beste wat ons is overkomen"?
Ik dacht anders dat er dit stond: quote: "Hack beste wat ons is overkomen"
(er ging dus bij jou iets mis :) )
05-07-2025, 23:45 door Anoniem
ze leefde blijkbaar voor de hack op een roze wolk. en de IT mensen daar ook
08-07-2025, 16:53 door Mrmustacheman
Hey, anders draai je effe heel het verhaal om. In plaats van 'Wij hebben het vern**kt en nu zijn we op gigantische schaal gehackt', is het 'een waardevolle les'. Is deze lieve CEO wel helemaal lekker bij d'r paasei?

Hier moet toch menig klant om weg zijn gegaan bij deze partij? Hoe kan het zijn dat 1.5 miljoen (!) datarecords lekken en er bijna lacherig over gedaan wordt. 'Ja oepsie whoepsie, we hebben een ransomwarey' lijkt hier het motto. De AP zou deze partij gewoon even een monsterboete moeten geven.

Niet alleen omdat ze blijkbaar geen goede informatiebeveiliging hebben (zie ransomware aanval als bewijsstuk A), maar vooral omdat ze pas NA een ransomware aanval bedenken dat dataminimalisaitie toch wel een beetje handig is (anders geef je je grove schending van de AVG/GDPR gewoon ff toe).

Soms snap ik het allemaal niet meer.
Gisteren, 10:25 door waaromdan
Staedion heeft oud-huurders niet geïnformeerd.

DeRBG heeft verplicht mijn burgergegevens, incompetente staff daar kiest een
incompetente gegevensverwerker voor al hun burger-klanten, mijn gegevens zijn nu gelekt.
Ipv een schadevergoeding in geld aan alle individuele getroffen burgers,
is de gegevensverwerker er trots op dat iemand hen nu heeft opgeleid,
iets waar ze zelf allang geld aan hadden moeten uitgeven.

En voor andere bedrijven die wel een boete krijgen voor zoiets:
Waarom is dat een afgeronde totaalboete ipv per individu?
Mijn individuele schade is ook niet afgerond.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.