Hackers hebben honderden documenten met gegevens over kerncentrales en gevangenissen buitgemaakt

Hackers hebben duizenden gevoelige bestanden gestolen van de servers van het Frans bouwbedrijf Ingérop, onthullen de Noord-Duitse regionale omroep NDR, Süddeutsche Zeitung en Le Monde. Het Franse bedrijf is volgens de samenwerkende media ook betrokken bij de bouw van nucleaire installaties en gevangenissen in Frankrijk, Spanje en Zuid-Amerika.

Hackers konden bij een aanval op een Frans bouwbedrijf talrijke documenten met betrekking tot kritieke infrastructuur zoals kerncentrales, gevangenissen en tramnetten buitmaken. De hackers zijn vermoedelijk tegenstanders van kernenergie.

De groep Ingérop heeft zijn hoofdzetel in de buurt van Parijs. Het bouwbedrijf is wereldwijd betrokken bij grote bouwprojecten. Ingérop heeft de hackaanval bevestigd.

Ingérop heeft de getroffen klanten op de hoogte gebracht van de gegevensdiefstal en heeft voor de eigen IT beveiligingsmaatregelen getroffen die niet in detail zijn gespecificeerd.

De gekopieerde dataset is in handen van onderzoeksjournalisten van de NDR, Süddeutsche Zeitung en Le Monde. Het betreft meer dan 65 gigabytes materiaal. Waaronder plannen voor het gebruik van videocamera’s in een Franse hoogbeveiligde gevangenis, documenten over een geplande opslagplaats voor kernafval in het noordoosten van Frankrijk en persoonlijke informatie van meer dan 1200 medewerkers van Ingérop. Sommige bedrijfsinterne e-mails maken ook deel uit van het datalek.

Projecten in Frankrijk, Spanje en Zuid-Amerika

In totaal zijn er meer dan 11.000 dossiers die volgens een woordvoerster van Ingérop afkomstig zijn van een tiental projecten waaraan het bedrijf werkt. Deze omvatten voornamelijk bouwprojecten in Frankrijk, maar ook projecten in Spanje en Zuid-Amerika.

Spoor leidt naar Duitsland

Begin juli doorzochten rechercheurs van het Duitse Landeskriminalamt in verband met de Ingérop hack het cultureel centrum “Langer August” in Dortmund. De gestolen data kon enige tijd worden gedownload vanaf servers die verhuurd worden door de Wissenschaftsladen Dortmund die zich in het cultureel centrun bevindt.

Een woordvoerster van de wetenschapswinkel zegt dat ze niet wist dat de gegevens bij hen waren opgeslagen. De server wordt beheerd door een groep uit Rostock. Deze groep verklaart dat zij de hacker of hackers niet kent.

Gegevens verschenen in Darknet

Bij huiszoekingen in Dortmund werden servers in beslag genomen. Daarna waren de meeste gegevens aanvankelijk van het internet verdwenen. Een paar weken geleden werd echter een nog uitgebreider datapakket van de hack gepubliceerd op het zogenaamde Darknet.

Darknet is een deel van het internet dat alleen toegankelijk is met bepaalde software. De locatie van de servers is daar verborgen, maar in theorie kunnen de gegevens worden opgehaald door iedereen die het bijbehorende adres kent.

Doel van de tegenstanders van kernenergie

In de afgelopen maanden hebben Duitse en Franse anti-kernenergieactivisten Ingérop bekritiseerd voor zijn deelname aan de ontwikkeling van plannen voor de opslagplaats voor kernafval in Bure in Lotharingen in het noordoosten van Frankrijk. Daar, ongeveer 125 kilometer van de Duitse grens, wordt de komende jaren een ondergrondse opslagplaats voor kernafval gebouwd. Het project bevindt zich nog in de planningsfase.

E-mails van het datalek geven aan dat Ingérop de boeren in de regio heeft geclassificeerd als “beheersbaar” en “niet beheersbaar”. Dit is mogelijk een poging om het verzet gericht tegen te gaan.

Phishing campagne tegen medewerkers van Ingérop

Franse activisten hebben onlangs opgeroepen om geheime informatie van het bedrijf openbaar te maken. Ingérop zelf zegt dat de hackaanval echter al plaatsvond voor deze oproep.

De aanval werd ontdekt toen een zogenaamde phishing-campagne werd onderzocht, waarbij e-mails met valse afzenders naar medewerkers werden gestuurd om hen naar malware sites te lokken.

Frankrijk heeft de binnenlandse veiligheidsdienst op de zaak gezet. In Duitsland is justitie in de deelstaat Noordrijn-Westfalen met onderzoek bezig.

Hoe lang mag je volgens de AVG offertes bewaren? Dat hangt er vanaf…

De AVG bepaalt dat persoonsgegevens niet langer dan strikt noodzakelijk mogen worden opgeslagen. Hoe zit dat met offertes die helaas niet tot een opdracht hebben geleid?

Twee praktijkvoorbeelden die de afgelopen weken aan PrivacyZone werden voorgelegd.

Een bouwbedrijf brengt een offerte uit voor de nieuwbouw van een woning. Dat kost moeite, tijd en dus geld. De potentiele klant gaat niet op de offerte in.

Mag het bouwbedrijf de offerte volgens de AVG dan nog bewaren?

Een metaalbedrijf brengt op verzoek van een grote industriele producent een offerte uit voor een gecompliceerde alluminium constructie. De kosten vallen hoger uit dan de potentiele opdrachtgever had verwacht. Het project wordt eerst uitgesteld.

Mag het metaalbedrijf de offerte bewaren voor het geval dat de potentiele klant zich later bedenkt? Dat kan een paar jaar duren, leert de ervaring.

Ondernemers bewaren offertes doorgaans jarenlang.

Je weet nooit of ze nog van pas komen, kregen we te horen.

De ondernemers zijn geschokt dat ze volgens de AVG de offertes nu na het afketsen van de opdracht zouden moeten vernietigen.

Hoe zit het met het intellectuele eigendom van de offerte?

Eigenlijk is het heel eenvoudig.

De AVG gaat over de verwerking van persoonsgegevens.

Een offerte bevat altijd persoonsgegevens. Anders kan de offerte immers niet verzonden worden naar de potentiele klant.

Bij een bouwtekening worden waarschijnlijk ook adresgegevens van de bouwlocatie verwerkt.

Als alle persoonsgegevens uit de offerte worden gehaald, of geanonimiseerd, en de offerte ook indirect niet herleidbaar is naar de potentiele klant mag de offerte gewoon bewaard worden.

Daarnaast zou de ondernemers ook toestemming kunnen vragen om de offerte langer te mogen opslaan. Bij het metaalbedrijf heeft de potentiele klant te kennen gegeven dat de opdracht voorlopig wordt uitgesteld. Dan kan natuurlijk gevraagd worden of de offerte mag worden bewaard en er te zijner tijd opnieuw contact kan worden opgenomen. Als dat schriftelijk wordt bevestigd voldoet u aan de wet.

De aannemer kan leven met de oplossing om de offerte te anonimiseren. Hij heeft alleen een probleem. Het softwarepakket dat bij gebruikt om bouwtekeningen te maken biedt de mogelijkheid tot het verwijderen of anonimiseren van persoonsgegevens niet. Hij moet de producent van de software vragen om het pakket aan te passen. Het kostbare pakket is nog lang niet afgeschreven. Wat nu?

De AVG biedt een ontsnappingsclausule ingeval de continuiteit van een bedrijf in gevaar zou kunnen komen als niet direct aan de wet kan worden voldaan. Als de aannemer kan aantonen dat er voorlopig geen alternatieve oplossing voorhanden is kan hij voorlopig gebruik blijven maken van het pakket. Hij moet wel een plan maken om binnen afzienbare tijd een oplossing te realiseren. En hij moet dat opnemen in zijn verwerkingsregister.

Organisaties mogen persoonsgegevens alleen verwerken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft.

Als de offerte leidt tot een opdracht ligt de zaak anders. Dan geldt de bewaartermijn die de belastingdienst voorschrijft. Zeven jaar bewaren (art. 52 Wet Rijksbelastingen).

Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten.

Maar pas op. dit betekent niet dat klantprofielen zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn moet inclusief motivatie worden opgenomen in het verwerkingsregister. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.