Telecom-operator Orange heeft bekend gemaakt dat de gegevens van 15.000 Belgische klanten zijn gelekt. Het is voor zover bekend het eerste grote datalek dat in België aan het licht komt sinds de inwerkingtreding van de GDPR. De provider heeft de getroffen klanten per mail op de hoogte gebracht.
Techzine kon de e-mail van Orange inkijken. Eind mei stelde de operator ongeoorloofde toegang vast op een server die wordt gebruikt om te testen. Vervolgens werden alle technische maatregelen genomen om deze toegang te blokkeren, toegang tot de gegevens te verhinderen en de veiligheid van de servers te versterken. De klantgegevens zouden volgens het bedrijf door een menselijke fout van een onderaannemer op de testserver terecht gekomen zijn.
Bij de ontvreemde persoonsgegevens zou het mogelijk gaan om naam, voornaam, postadres, e-mailadres, telefoonnummer, het nummer van de identiteitskaart, rijksregisternummer of rekeningnummer. Andere gegevens, zoals kredietkaartnummers of factuurgegevens, zouden volgens het bedrijf nooit risico gelopen hebben.
GDPR
Volgens de nieuwe GDPR-wetgeving zijn organisaties verplicht om datalekken te melden binnen 72 uur na ontdekking. Orange bracht de Gegevensbeschermingsautoriteit (GBA) tijdig op de hoogte en diende een klacht in bij de bevoegde autoriteiten. Toch is de operator daarmee nog niet helemaal buiten schot. Als de GBA zou vaststellen dat Orange onvoldoende heeft gedaan om het datalek te voorkomen of op z’n minst de persoonlijke gegevens te beschermen, kan de provider worden beboet. Die boete kan in geval van een datalek oplopen tot 10 miljoen euro of 2 procent van de globale omzet. Volgens insiders is het wel twijfelachtig dat de GBA meteen zo streng zal optreden.