VakantieVeilingen lekt privégegevens 21.000 klanten
Datalek

VakantieVeilingen lekt privégegevens 21.000 klanten

13-11-2018 14:53 Laatste update: 15:10

Daniël Verlaan

Koopjeswebsite VakantieVeilingen heeft de privégegevens van 21.000 klanten gelekt. Het gaat om volledige namen, woonadressen, e-mailadressen en de gewonnen arrangementen.

Dat bevestigt het bedrijf tegenover RTL Nieuws. Het betreft gegevens van klanten die tussen 2014 en 2015 een veiling wonnen. Deze data waren toegankelijk via een 'foutieve link', stelt VakantieVeilingen.

Met deze link kon een onbevoegde toegang krijgen tot de gegevens. De link was in 2015 per ongeluk verstuurd naar een winnaar van een veiling, die alle gegevens downloadde. 

Jeroen

De persoon - hij noemt zichzelf Jeroen - meldde het lek in 2015 bij VakantieVeilingen, die de link toen ontoegankelijk maakte. Afgelopen week stuurde hij plotseling getroffen klanten een e-mail, omdat hij naar eigen zeggen verschillende keren 'geen reactie of excuses' van VakantieVeilingen kreeg.

Zo ziet de e-mail eruit

Mijn naam is Jeroen en ik heb, net als u, een veiling gewonnen bij VakantieVeilingen.

In 2015 heb ik contact gehad met de helpdesk van VakantieVeilingen. De helpdesk stuurde mij per mail een bevestiging waarin een link zat. Toen ik op de link klikte kreeg ik ongevraagd toegang tot de persoonlijke gegevens van ongeveer 21000 klanten van VakantieVeilingen.

Uiteraard heb ik per direct VakantieVeilingen hiervan op de hoogte gesteld. De link werd voorzien van een wachtwoord, echter heeft VakantieVeilingen tot nu toe nimmer de moeite genomen om haar excuses aangeboden of navraag gedaan over de door VakantieVeilingen verstrekte gegevens.

Wellicht neemt VakantieVeilingen naar aanleiding van deze mail wél de moeite om alsnog contact met mij op te nemen.

Jeroen zou recentelijk een conflict hebben gehad met de helpdesk van VakantieVeilingen, en toen hebben gezegd dat hij nog over de gegevens van 21.000 klanten beschikte. Kort na dat conflict heeft hij de e-mails verstuurd. Jeroen wil niet reageren op vragen van RTL Nieuws.  

VakantieVeilingen heeft nu alle getroffen klanten gecontacteerd en afgesproken met Jeroen dat hij de gegevens verwijdert. Daarvoor is hij met zijn apparatuur langsgegaan bij VakantieVeilingen en is er een document ondertekend waarmee hij belooft geen kopie meer te hebben. 

Autoriteit Persoonsgegevens

VakantieVeilingen wist al in 2015 dat het een link had verstuurd waarmee deze gegevens voor een onbevoegde inzichtelijk waren. "Omdat het niet duidelijk was dat er een kopie was gemaakt, zijn de klanten toen niet geïnformeerd", zegt Carel van Boetzelaer, ceo van Emesa, het moederbedrijf van VakantieVeilingen. 

Toen afgelopen week duidelijk werd dat Jeroen al die jaren een kopie van de gegevens had, is er door VakantieVeilingen actie ondernomen. Ook is het datalek gemeld bij de Autoriteit Persoonsgegevens. VakantieVeilingen, dat onderdeel uitmaakt van uitgever Talpa, biedt alle getroffen klanten zijn 'oprechte excuses' aan.