Heijmans lekt per ongeluk gegevens 1.100 woningzoekenden

Logo van bouwbedrijf Heijmans op de gevel van het hoofdkantoor in Amsterdam

Heijmans is ernstig in verlegenheid gebracht. Het bouwbedrijf heeft een Excel-bestand met daarin een overzicht van het adres, inkomen, eigen vermogen en andere vertrouwelijke gegevens van 1.100 woningzoekenden doorgestuurd. Het bedrijf betreurt wat er is gebeurd en zegt het incident te melden bij de Autoriteit Persoonsgegevens.

Dat bevestigt een woordvoerster tegenover het Algemeen Dagblad.

Excel-bestand met vertrouwelijke gegevens toegevoegd aan e-mail

Waar draait het precies om? In Zevenhuizen gaat de bouw van fase 7 van het nieuwbouwproject Koningskwartier binnenkort van start. Het project bestaat uit 54 koopwoningen, waarvan 26 in de sociale sector. Geïnteresseerden konden zich voor een woning inschrijven. Volgens het Algemeen Dagblad liep de inschrijving storm: nadat 80 huishoudens een woning kregen toegewezen, belandden 1.100 mensen op een reservelijst. Via de e-mail werden ze daarvan op de hoogte gesteld.

Heijmans had de persoonlijke en financiële gegevens van de uitgelote woningzoekenden in een aantal tabellen in een Excel-bestand verwerkt. Denk aan namen, adressen, geboortedata, inkomens, eigen vermogen en hypotheekmogelijkheden. Dergelijke gegevens zijn vanzelfsprekend alleen bestemd voor het bouwbedrijf. Maar daar ging het mis: het Excel-bestand werd per ongeluk als bijlage aan de e-mail toegevoegd en aan alle 1.100 gegadigden gestuurd. Het bestand bevatte bovendien de gegevens van zo’n 700 levenspartners.

Het gaat om een menselijke fout

Heijmans probeerde de e-mail nog in te trekken, maar zonder succes. Daarop besloot het bouwbedrijf om een excuusmail op te stellen. Tevens beloofde het bedrijf om het datalek te melden bij de Autoriteit Persoonsgegevens.

Woordvoerster Marjolein Boer vertelt tegenover het Algemeen Dagblad dat ze betreurt dat dit is gebeurd. “De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen.” Volgens haar stonden de gegevens van alle woningzoekenden in één bestand om de inkomensgrens en de maatschappelijke binding te kunnen vergelijken. Dat is een vereiste om nieuwbouwwoningen in de sociale sector toe te kennen.

Heijmans onderzoekt hoe dit heeft kunnen gebeuren en hoe herhaling in de toekomst kan worden voorkomen. Volgens de woordvoerster gaat het om een menselijke fout. De persoon in kwestie is niet ontslagen. “Deze persoon werkt zeker nog bij ons. Deze medewerker schaamt zich diep en heeft het er moeilijk mee”, aldus Boer.

Gedupeerde: ‘Dit geeft een ronduit onveilig gevoel’

De gedupeerden zijn niet te spreken over het datalek. Het Algemeen Dagblad sprak diverse gedupeerden over de kwestie, die anoniem hun verhaal doen. “Ik opende de bijlage en zag dat er heel persoonlijke informatie in stond. Daarop werd ik nieuwsgierig en vroeg me af of ik ook in die lijst stond. Dat bleek tot m’n grote schrik het geval te zijn. Ik zag ook vrienden van mij in de lijst staan’, zo vertelt een van de slachtoffers.

Een ander zegt begrip te hebben voor menselijke fouten, maar dat de impact van deze fout ‘verstrekkend’ is. Het verbaast deze persoon dat het Excel-bestand niet eens beveiligd was met een pincode. Een ander laat weten dat er door het voorval ‘ineens een heel andere sfeer’ in zijn vriendenkring en bij collega’s heerst. Het geeft volgens hem ‘een ronduit onveilig gevoel’ dat er zoveel persoonlijke gegevens op straat liggen.

Recente datalekken bij Nederlandse organisaties

Heijmans is niet het enige grote bedrijf waarbij vertrouwelijke en gevoelige gegevens van klanten op straat zijn beland. Afgelopen januari slaagden cybercriminelen ermet een brute force attack in om de accounts van 1.700 Mijn Eneco klanten binnen te dringen. Daarbij zijn mogelijk persoonsgegevens ingezien en gewijzigd. De energiemaatschappij besloot daarop om een groep van 47.000 klanten op de hoogte te stellen van het datalek. Het lek is tevens gemeld bij de Autoriteit Persoonsgegevens.

De Belastingsamenwerking West-Brabant kreeg in maart te maken met een knuddig beveiligingslek. Inwoners uit de regio konden via de e-mail vragen stellen aan de gemeente over hun WOZ-beschikking. De gemeente reageerde per mail, waarin een link was opgenomen naar de persoonlijke gegevens van deze persoon. In de URL stonden een aantal getallen. Door deze cijfers te veranderen had men toegang tot namen, adressen, WOZ-beschikkingen en gerechtelijke vonnissen in schuldhulpsaneringszaken van anderen. Nadat de media hierover vragen stelden, dichtte de Belastingsamenwerking West-Brabant het lek.

De afgelopen maanden zagen we eveneens datalekken bij onder anderen de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Ticketcounter, RDC en de Nederlandse Aardoliemaatschappij (NAM). Ook bij Facebook en LinkedIn ging het de afgelopen weken goed mis. Bij beide Amerikaanse bedrijven belandden persoonlijke gegevens van meer dan een half miljard gebruikers op straat.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen