Telecomprovider Orange werd getroffen door een data-inbreuk, zo meldt Techzine. Daardoor werden de persoonlijke gegevens van 15.000 Belgen gelekt. De getroffen klanten werden donderdag via mail op de hoogte gebracht.

Bij Orange werd eind mei vastgesteld dat een onbevoegde zich toegang had verschaft tot een van de testservers, zo meldt Techzine. “Orange trof onmiddellijk alle technische maatregelen om de toegang te blokkeren, toegang tot de gegevens te verhinderen en de veiligheid van al onze servers te versterken”, stond te lezen in de mail die werd rondgestuurd naar de getroffen klanten.”

Foutje van onderaannemer

In totaal gaat het om 15.000 Belgische klanten. “Hun gegevens kwamen op de testserver terecht door een menselijke fout van een onderaannemer”, reageert Orange-woordvoerster Annelore Marynissen aan Techzine.

Bedrijven zijn sinds de invoering van de GDPR-wetgeving verplicht om datalekken binnen de 72 uur te melden. De Gegevensbeschermingsautoriteit (GBA) werd meteen op de hoogte gebracht en er werd ook meteen een klacht ingediend bij de bevoegde autoriteiten, maar de klanten werden pas na twee weken geïnformeerd. “Onze experten hadden tijd nodig om alles te onderzoeken en het datalek te bevestigen”, luidt het op Twitter. “Zodra we alle details hadden, hebben we alle getroffen klanten geïnformeerd en de nodige maatregelen getroffen.”

Our experts needed the time to investigate and confirm the breach. As soon as we received all details we informed the impacted customers and took all necessary actions. ^MB — Orange België (@OrangeBENL) 14 juni 2018

Opgelet

In de e-mail meldt Orange nog dat er “mogelijk een beperkt deel van persoonsgegevens ontvreemd is”. Het gaat dan om de naam en voornaam van de klanten, hun adres, e-mailadres, telefoonnummer, het nummer van hun identiteitskaart, hun rijksregisternummer en/of hun rekeningnummer. “Andere gegevens - zoals kredietkaartnummers of factuurgegevens - liepen geen risico.”

Volgens Marynissen werden niet noodzakelijk al die gegevens gelekt van de klanten. “We raden iedereen aan om erg voorzichtig te zijn”, luidt het. “Vooral in het geval van verdachte verzoeken voor een betaling of voor het meedelen van een wachtwoord of kredietkaartnummer.”

“Gedaan met datalekken in de doofpot te steken”

Volgens staatssecretaris voor Privacy Philippe De Backer en Minister van Telecom Alexander De Croo (beiden Open VLD) bewijst dit dat het systeem werkt: “Dit is het eerste grote datalek in ons land sinds de inwerkingtreding van GDPR. Dankzij de GDPR is er een draaiboek om correct op te treden en de gegevens van consumenten correct te beschermen. Gedaan met datalekken in de doofpot te steken. De consument verwacht en verdient informatie en transparantie bij een datalek”, aldus De Backer.

“Een telecomoperator beschikt over heel wat persoonlijke klantengegevens”, zegt De Croo. “Het is belangrijk dat die goed zijn afgeschermd. Klanten verwachten dat. Het kan niet zijn dat je wachtwoorden, kredietkaartgegevens en tv-voorkeuren plots publiek worden. De nieuwe Europese privacyregels bevatten duidelijke richtlijnen voor bedrijven als Orange hoe persoonsgegevens te beschermen en wat te doen bij een datalek. Het is cruciaal dat bedrijven deze regels volgen.”