Verhuurmakelaar NederWoon is gehackt, en nu liggen BSN-nummers van klanten op straat

Beeld EPA

Verhuurmakelaar NederWoon is gehackt. Persoonsgegevens van klanten zijn gestolen, tot aan kopieën van identiteitsbewijzen aan toe. Waarom had NederWoon die in bezit?

Het databestand van verhuurmakelaar NederWoon is gehackt. De hacker heeft gegevens van verhuurders en woningzoekenden buitgemaakt. 

Het gaat om klanten die zich tussen 2017 en 2019 bij de site hadden aangemeld. NederWoon, met acht vestigingen verspreid over het land, helpt onder meer mensen die een huis willen huren of in vastgoed willen beleggen. De hacker had toegang tot adresgegevens, telefoonnummers, e-mails, maar ook geüploade identiteitsbewijzen en in sommige gevallen BSN-nummers. De kans is groot dat de hacker de gegevens gebruikt voor phishing. Hij of zij stuurt dan e-mails uit naam van NederWoon en probeert zo financiële gegevens te achterhalen. 

Het is een veel gebruikte tactiek. Hoe meer gegevens van klanten worden opgeslagen in databestanden, hoe groter de kans op succes voor hackers. Daarom dringt de vraag zich op: had NederWoon al deze gegevens wel nodig? “Voor verhuurovereenkomsten zijn we verplicht de identiteit van de klant te controleren. Dus vragen we om kopietjes van identiteitsbewijzen", aldus een woordvoerder.

David Korteweg van de online burgerrechtenorganisatie Bits of Freedom kent het bedrijf NederWoon niet, en kan dus niet goed inschatten of het bedrijf terecht de gegevens bewaart van de klanten in een databestand. Maar in zijn algemeenheid kan hij wel iets zeggen over de gevaren. “Hoe meer gegevens je verzamelt, hoe groter de gevolgen.  Daarom moeten organisaties zichzelf altijd de vraag stellen: is het echt nodig om alle gegevens te bewaren?”

Wat Korteweg wil zeggen: een kopietje van een paspoort kun je na de noodzakelijke controle ook weer vernietigen. Sterker nog, een bedrijf mag het in veel gevallen niet eens opslaan, zegt de Autoriteit Persoonsgegevens (AP). Bijvoorbeeld als het enkel gaat om een inschrijving bij een verhuursite. Teken je een huurcontract, dan kan een kopie paspoort wel nodig zijn. Maar dan nog moeten de opgeslagen gegevens goed beveiligd worden, benadrukt een woordvoerder van de AP.  

Veel organisaties, zegt Korteweg, handelen uit gemakzucht. Ze vergeten soms de persoonsgegevens te verwijderen, terwijl er niets meer mee wordt gedaan. “Als je dan te maken krijgt met een datalek, ligt alles op straat. Hiervoor geldt echt: wat er niet is, kan ook niet openbaar worden.”  

Lees ook:

Eerste halfjaar van de nieuwe privacywet levert ruim 7000 klachten op

De nieuwe wet rond gegevensbescherming heeft geleid tot bewustwording en een regen aan klachten. Of de wet echt een verschil kan maken moet nog blijken.

Internationale bedrijven maken zich zorgen om strengere privacyregels

De nieuwe, Europese privacywet is streng, maar laat ook ruimte aan de lidstaten. Onder andere Duitsland maakte daar al gebruik van. Bedrijven die internationaal opereren, weten daarom niet goed waar ze aan toe zijn.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden