Tech

Datadiefstal bij Budget Energie en NLE: mogelijk 29.000 klanten geraakt

03 december 2019 15:02 Aangepast: 03 december 2019 16:57
Het gaat volgens het energiebedrijf niet om een softwarelek. Beeld © ANP

De persoonsgegevens van mogelijk 29.000 klanten van energiebedrijven Budget Energie en NLE liggen op straat. Naast namen en adressen is er kans dat er ook telefoonnummers en bankrekeningnummers zijn gelekt. De data is niet per ongeluk gelekt, het gaat volgens het bedrijf om een moedwillige diefstal.

Moederbedrijf Nuts Groep heeft klanten van Budget Energie en NLE vanmorgen per e-mail op de hoogte gebracht van het datalek. Volgens het bedrijf gaat het niet om een softwarelek maar om 'ongeautoriseerde toegang' tot contractgegevens.

Politie-onderzoek

Het gaat om mogelijk 29.000 van de in totaal 700.000 klanten van de energiebedrijven. "Er is een onderzoek gestart door de politie. Zo lang dat loopt, doen wij geen uitspraken over de oorzaak van het lek en het aantal betrokkenen", zegt Babette Huberts, manager legal van Nuts Groep tegen RTL Z. Ook wil Huberts niet kwijt hoe het lek is ontdekt.

Later op de dag heeft Huberts laten weten dat het gaat om een moedwillige actie. 

Het bedrijf wil wel zeggen om welke contractgegevens het gaat: "Het gaat om namen, adressen en mogelijk ook telefoonnummers en bankrekeningnummers."

De vrees is dat deze gegevens onder meer worden misbruikt voor commerciële doeleinden. "Bijvoorbeeld om u te benaderen voor een contract bij een andere energieleverancier", staat in de mail die klanten kregen.

'Maatregelen getroffen'

Nuts Groep heeft het datalek afgelopen vrijdag gemeld bij toezichthouder Autoriteit Persoonsgegevens (AP). De toezichthouder reageerde niet direct op een verzoek om commentaar.  

Ook zijn er 'direct maatregelen getroffen waardoor er niet langer sprake is van een inbreuk', staat er in de e-mail aan klanten. Welke maatregelen dat zijn, wil het bedrijf op dit moment niet zeggen.

Daarmee blijft vooralsnog onduidelijk hoe groot het datalek bij de twee energiebedrijven is.

Melden verplicht 

Sinds 1 januari 2016 moeten bedrijven en organisaties een datalek altijd melden bij AP en klanten, zegt Arnoud Engelfriet, it-jurist van ICT Recht. "Je moet mensen zo snel mogelijk informeren. De uitzondering is dat het lek zo gering is, dat er geen schade te verwachten valt."

Exacte aantallen in het openbaar noemen, hoeft volgens Engelfriet niet. "Je hoeft alleen te zeggen wat er weg is, maar je hoeft in het openbaar geen details te geven."

Update 15.46 uur: In eerste instantie wilde Nuts Groep niet zeggen hoeveel klanten mogelijk zijn geraakt door het lek. Na publicatie wist het bedrijf te melden dat het om 'mogelijk 29.000' van de in totaal 700.000 klanten gaat. Het artikel is daarom op verschillende plekken aangepast.  

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore

`