De hackers hebben namen, adressen, rijksregisternummers en rekeningnummers van 15.000 klanten bemachtigd toen ze midden mei inbraken op een server van telecombedrijf Orange. Dat meldde de website Techzine en wordt door Orange aan De Standaard bevestigd.

‘Eind mei is er een niet-geautoriseerde toegang geweest op een van onze servers die we voor tests gebruiken’, zegt woordvoerster Annelore Marynissen. Orange werd daarover op de hoogte gebracht door het Federal Cyber Emergency Team (CERT), de operationele dienst van het Centrum voor Cybersecurity België (CCB).

‘Door een menselijke fout van een onderaannemer was er een datalek’, klinkt het. Orange heeft de gegevens onmiddellijk van de server gehaald, de Privacycommissie (nu Gegevensbeschermingsautoriteit, of GBA) verwittigd en de beveiliging van zijn systemen versterkt.

Phishingmails

Volgens Orange zijn er geen factuurgegevens of kredietkaartgegevens gelekt. Het zijn ook flarden informatie die de hackers hebben gestolen. Het is dus niet zo dat ze van de getroffen klanten alle gegevens hebben, zoals naam, adres en rekeningnummer.

Orange is begonnen met de getroffen klanten te informeren. ‘Op dit moment kun je niets doen, behalve voorzichtig zijn als je phishingmails ontvangt waarmee ze nog meer van je identiteitsgegevens proberen te achterhalen’, zegt Marynissen. Het telecombedrijf vraagt klanten die zulke mails ontvangen om dit te laten weten.

Voor de getroffen klanten is er geen compensatieregeling voorzien voor het ongemak. ‘Wij geven nu vooral informatie’, klinkt het.

GDPR

'Dankzij de nieuwe privacyregels GDPR is er eindelijk een draaiboek om op te treden tegen datalekken', zegt Philippe De Backer (Open VLD), staatssecretaris voor Privacy. Sinds GDPR op 25 mei in werking trad zijn bedrijven verplicht om een datalek binnen 72 uur aan de Gegevensbeschermingsautoriteit de melden. Als het over een telecomlek gaat, komt daar ook telecomregulator BIPT nog bij.

'Nu worden bedrijven verplicht om te communiceren', stelt De Backer. 'Vroeger stopten bedrijven datalekken graag in de doofpot, maar dat is vandaag onaanvaardbaar. Dankzij de hervorming van de Privacycommissie tot een moderne GBA hangen consumenten niet langer af van de goodwill van bedrijven om hun klanten te informeren, maar verplichten we hen om transparant te zijn. Dat verwacht en verdient de consument ook. Het vertrouwen van de consument is essentieel in een digitale economie.'

Telecomminister Alexander de Croo (Open VLD) wijst op het belang dat telecombedrijven klantengegevens goed beschermen. 'Een telecomoperator beschikt over heel wat persoonlijke klantengegevens. Het is belangrijk dat die goed zijn afgeschermd. Klanten verwachten dat. Het kan niet zijn dat je wachtwoorden, kredietkaartgegevens en tv-voorkeuren plots publiek worden.'