Orange verliest persoonlijke klantgegevens bij datalek

Orange is getroffen door een data-inbreuk waarbij de gegevens van Belgische klanten zijn gelekt. Het is voor zover bekend het eerste grote datalek dat in België aan het licht komt sinds de inwerkingtreding van de GDPR. De provider heeft de getroffen klanten vandaag per mail op de hoogte gebracht.

Techzine kon de e-mail van Orange inkijken. Eind mei stelde de operator ongeoorloofde toegang vast op een server die wordt gebruikt om te testen. “Orange trof onmiddellijk alle technische maatregelen om deze toegang te blokkeren, toegang tot de gegevens te verhinderen en de veiligheid van al zijn servers te versterken”, klinkt het in de mail.

Volgens de nieuwe GDPR-wetgeving zijn organisaties verplicht om datalekken te melden binnen 72 uur na ontdekking. Orange bracht prompt de Gegevensbeschermingsautoriteit (GBA) op de hoogte en diende een klacht in bij de bevoegde autoriteiten.

Omdat mogelijk persoonlijke gegevens zijn gelekt, brengt de provider nu ook de getroffen klanten op de hoogte. Dat duurde wat langer omdat Orange eerst alle details rond de data-inbreuk wilde verzamelen, zo klinkt het in een tweet.

“Door deze ongeoorloofde toegang is mogelijk een beperkt deel van je persoonsgegevens ontvreemd, zoals je naam, voornaam, postadres, e-mailadres, telefoonnummer, het nummer van je identiteitskaart, je rijksregisternummer of je rekeningnummer”, schrijft Orange. Andere gegevens, zoals kredietkaartnummers of factuurgegevens, liepen nooit risico.

Update 20:23: Orange laat aan Techzine weten dat in totaal 15.000 klanten betrokken zijn. “Hun gegevens kwamen op de testserver terecht door een menselijke fout van een onderaannemer”, zegt woordvoerster Annelore Marynissen. Marynissen benadrukt nog eens dat niet noodzakelijk alle van bovenstaande gegevens gelekt zijn. Het verschilt van klant tot klant.

Waarschuwing

Orange waarschuwt zijn klanten dat de gestolen gegevens mogelijk gebruikt kunnen worden voor phishing of identiteitsdiefstal.

“We raden je aan heel erg voorzichtig te zijn, vooral in het geval van verdachte verzoeken voor een betaling of voor het meedelen van een wachtwoord of kredietkaartnummer”, besluit de telecomoperator.

Orange heeft conform de GDPR gehandeld door melding te maken van het datalek. Toch is de operator daarmee nog niet helemaal buiten schot. Als de Gegevensbeschermingsautoriteit zou vaststellen dat Orange onvoldoende heeft gedaan om het datalek te voorkomen of op z’n minst de persoonlijke gegevens te beschermen, kan de provider worden beboet. Die boete kan in geval van een datalek oplopen tot 10 miljoen euro of 2 procent van de globale omzet. Al is het twijfelachtig dat de GBA meteen zo streng zal optreden.