Het databestand van verhuurmakelaar NederWoon is gehackt. De hacker heeft gegevens van verhuurders en woningzoekenden buitgemaakt.

Het gaat om klanten die zich tussen 2017 en 2019 bij de site hadden aangemeld. NederWoon, met acht vestigingen verspreid over het land, helpt onder meer mensen die een huis willen huren of in vastgoed willen beleggen. De hacker had toegang tot adresgegevens, telefoonnummers, e-mails, maar ook geüploade identiteitsbewijzen en in sommige gevallen BSN-nummers. De kans is groot dat de hacker de gegevens gebruikt voor phishing. Hij of zij stuurt dan e-mails uit naam van NederWoon en probeert zo financiële gegevens te achterhalen.

Het is een veel gebruikte tactiek. Hoe meer gegevens van klanten worden opgeslagen in databestanden, hoe groter de kans op succes voor hackers. Daarom dringt de vraag zich op: had NederWoon al deze gegevens wel nodig? “Voor verhuurovereenkomsten zijn we verplicht de identiteit van de klant te controleren. Dus vragen we om kopietjes van identiteitsbewijzen", aldus een woordvoerder.

Hoe meer gegevens je verzamelt, hoe groter de gevolgen David Korteweg

David Korteweg van de online burgerrechtenorganisatie Bits of Freedom kent het bedrijf NederWoon niet, en kan dus niet goed inschatten of het bedrijf terecht de gegevens bewaart van de klanten in een databestand. Maar in zijn algemeenheid kan hij wel iets zeggen over de gevaren. “Hoe meer gegevens je verzamelt, hoe groter de gevolgen. Daarom moeten organisaties zichzelf altijd de vraag stellen: is het echt nodig om alle gegevens te bewaren?”

Wat Korteweg wil zeggen: een kopietje van een paspoort kan je na de noodzakelijke controle ook weer vernietigen. De Autoriteit Persoonsgegevens is iets minder stellig, maar is wel kritisch op het bewaren van gegevens. “Er is geen concrete bewaartermijn van persoonsgegevens, maar een organisatie mag die niet langer bewaren dan noodzakelijk is.”

Veel organisaties, zegt Korteweg, handelen uit gemakzucht. Ze vergeten soms de persoonsgegevens te verwijderen, terwijl er niets meer mee wordt gedaan. “Als je dan te maken krijgt met een datalek, ligt alles op straat. Hiervoor geldt echt: wat er niet is, kan ook niet openbaar worden.”

