Cyberincident

Update 27 september 2023

Cyberaanval Woonkracht10
In april 2023 werd Woonkracht10 slachtoffer van een cyberaanval. Criminelen drongen ons computersysteem binnen. Ze dreigden gegevens te hebben gestolen en deze openbaar te maken als wij geen losgeld betaalden. Samen met deskundigen kwamen we in actie om nadelige gevolgen zo veel mogelijk te beperken. Ook stelden wij de Autoriteit Persoonsgegevens en de politie op de hoogte.

Gevolgen zoveel mogelijk beperken
Onderzoekers stelden vast dat er waarschijnlijk gegevens zijn gestolen. Om welke en hoeveel gegevens het gaat, blijft onzeker. In het ergste geval kan het gaan om persoonsgegevens. Om te voorkomen dat er misbruik gemaakt zou worden van deze gegevens, zagen wij geen andere optie dan het betalen van losgeld.

Wij informeren betrokkenen
De aanvallers beloofden gegevens te verwijderen. Omdat we niet helemaal willen vertrouwen op die toezegging, waarschuwen we degenen van wie mogelijk gegevens zijn ingezien of gestolen. Dat doen we zoveel mogelijk rechtstreeks en met een openbare mededeling (advertentie) in de regionale krant.

Meer informatie
Op deze pagina geven we de laatste informatie en antwoorden op veel gestelde vragen over het datalek. Wij vinden het heel erg dat gegevens van mensen betrokken zijn geraakt bij de cyberaanval. Wij willen u zo goed mogelijk helpen en bieden onze excuses aan voor het ongemak.

Vragen en antwoorden

1. Wat is er gebeurd?
In april 2023 werd Woonkracht10 slachtoffer van een cyberaanval. Criminelen drongen ons computersysteem binnen. Ze dreigden gegevens te hebben gestolen en deze openbaar te maken als wij geen losgeld betaalden.

2. Hoe kwam Woonkracht10 in actie?
Samen met deskundigen kwamen we in actie om nadelige gevolgen zo veel mogelijk te beperken. Wij stelden de Autoriteit Persoonsgegevens en de politie op de hoogte. Via onze website en de media deelden wij regelmatig informatie over het incident.
Onderzoekers stelden vast dat er waarschijnlijk gegevens zijn gestolen. Om welke en hoeveel gegevens het gaat, blijft onzeker. In het ergste geval kan het gaan om persoonsgegevens. Om te voorkomen dat er misbruik gemaakt zou worden van deze gegevens, zagen wij geen andere optie dan het betalen van losgeld. De aanvallers beloofden de gegevens te verwijderen. Toch willen we niet helemaal vertrouwen op deze belofte en waarschuwen we degenen van wie mogelijk gegevens zijn ingezien of gestolen.

3. Is deze informatie ook voor mij bedoeld?
Bent u per e-mail of brief door ons op de hoogte gebracht? Ga er dan van uit dat ook uw gegevens betrokken zijn geraakt bij de cyberaanval. Lees de e-mail, brief en/of informatie die wij delen goed door.

Heeft u geen rechtstreeks bericht gehad, maar valt u wél in één of meer van de onderstaande doelgroepen? Let op: ook uw gegevens zijn mogelijk gestolen of ingezien. Van de volgende mensen zijn mogelijk gegevens gestolen of ingezien:

  • Mensen die een woning bij Woonkracht10 huren of hebben gehuurd
  • Mensen die hebben gewerkt of een functie hebben vervuld bij Woonkracht10
  • Mensen die hebben gesolliciteerd bij Woonkracht10

4. Kan Woonkracht10 bevestigen of mijn gegevens daadwerkelijk zijn ingezien of gestolen?
Nee, helaas is dit niet mogelijk. Hoewel dit uitgebreid is onderzocht, konden deskundigen ons geen duidelijkheid geven. Het enige dat we kunnen bevestigen, is dat uw gegevens mogelijk zijn gestolen of ingezien.

5. Verwachten jullie dat gegevens die eventueel zijn gestolen of ingezien worden misbruikt of verder worden verspreid?
Nee, wij verwachten dit niet. Wij baseren deze verwachting op de informatie van deskundigen die ons hebben begeleid. Zij verwachten dat de criminelen hun afspraken nakomen.

6. Waarom informeert Woonkracht10 betrokkenen terwijl de verwachting is dat gegevens niet worden misbruikt of verder worden verspreid?
We informeren u uit voorzorg, omdat we niet helemaal willen vertrouwen op toezeggingen van criminelen. Lees daarom goed de informatie op deze pagina door.

7. Welke gegevens over mij kunnen zijn buitgemaakt of ingezien?
Heeft u een rechtstreeks bericht van ons ontvangen over het datalek? Dan leest u in datzelfde bericht om welke soorten persoonsgegevens het gaat.

Heeft u geen rechtstreeks bericht van ons gekregen, maar valt u wel onder één van onderstaande doelgroepen? In onderstaande tabel leest u per doelgroep welke gegevens mogelijk zijn gestolen of ingezien:

Doelgroep

Om welke gegevens gaat het?

Personen die een woning bij Woonkracht10 huren of hebben gehuurd
  • NAW-gegevens
  • Telefoonnummer
  • E-mailadres
  • Geslacht
  • Burgerservicenummer
  • Bankrekeningnummer
  • Kopie (verlopen) identiteitsdocument
  • Uittreksel gemeentelijke basisadministratie
  • Inkomensgegevens (ook uitkeringen)
  • Overige financiële gegevens (inclusief machtigingen automatische incasso, huurovereenkomsten, huurverhogingsbrieven, huurachterstanden, afrekening stookkosten, koopovereenkomsten, huwelijks- en scheidingsaktes, echtscheidingsconvenanten, onder bewindstellingen, schuldregelingen)
  • Gezondheidsgegevens (o.a. opzegging i.vm. 'overlijden', klachten bewoners, reacties op brieven bewoners met daarin gezondheidsinformatie, inventarisaties n.a.v. huisbezoeken)
  • Gegevens over (problematische) schulden (huurachterstanden, huisbezoekverslagen, schuldregelingen)
  • Indien verhuur aan mensen met een verblijfsdocument: informatieformulieren t.a.v. vergunninghouders waarin etnische gegevens en godsdienst in staan opgenomen

Personen werkten of een functie vervulden bij Woonkracht10
  • NAW-gegevens
  • Telefoonnummer
  • E-mailadres
  • Geslacht
  • Burgerservicenummer
  • Bankrekeningnummer
  • Financiële administratie, inclusief salarisgegevens
  • Personeelsdossier (inclusief bijvoorbeeld beoordelingen, VOG, verzuimregistratie, arbeidsovereenkomst)
  • Voor medewerkers met een re-integratietraject zijn mogelijk ook de volgende gegevens betrokken:
  • Re-integratie en verzuimverslagen
  • WIA-uitkering aanvraag
  • Intern overleg en behandelingsrapporten bedrijfsarts

Personen die solliciteerden bij Woonkracht10
  • NAW-gegevens
  • Telefoonnummer
  • E-mailadres
  • Geslacht
  • Afwijzingsbrief
  • Motivatiebrieven
  • CV

8. Ik heb geen rechtstreeks bericht van Woonkracht10 ontvangen en val ook niet binnen de doelgroepen die op deze website worden genoemd. Wat betekent dit voor mij?
Uw gegevens zijn vermoedelijk niet betrokken bij dit incident. Twijfelt u, neem dan contact op via klantenservice@woonkracht10.nl.

9. Welke gevolgen kan dit incident hebben voor mij als betrokkene?
Valt u binnen één of meer van de genoemde doelgroepen, dan zijn uw persoonsgegevens mogelijk ingezien of gestolen. Criminelen kunnen proberen om van dit soort gegevens misbruik te maken. Let daarom altijd goed op onverwachte telefoontjes, e-mails of sms-berichten waarin u wordt gevraagd informatie over uzelf te delen. Dat is extra belangrijk als iemand beweert werkzaam te zijn bij uw bank. Twijfelt u, deel dan nooit uw gegevens. Meer tips kunt u lezen op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen
Blijkt uit onze berichtgeving of deze website dat mogelijk uw identiteitsdocument betrokken is? Wij begrijpen het als u uit voorzorg een nieuw identiteitsdocument wilt aanvragen. Als u daarvoor kosten maakt, mag u ons vragen om deze kosten te vergoeden.
Let op: wij verwachten geen misbruik van gegevens die mogelijk zijn ingezien of gestolen. Wij baseren deze verwachting op deskundigen die ons hebben begeleid. Zij verwachten dat de criminelen hun afspraken nakomen. Toch willen we niet helemaal vertrouwen op deze belofte. Daarom waarschuwen we degenen van wie mogelijk gegevens zijn ingezien of gestolen.

10. Ik val wel binnen de doelgroepen die worden genoemd, maar ben niet rechtstreeks geïnformeerd. Waarom niet?
Helaas bleek dat we niet iedereen rechtstreeks konden bereiken. Daarom delen we de informatie ook in een advertentie en via deze website.

11. Waarom maakte Woonkracht10 afspraken met criminelen?
Dit was voor ons een zeer lastig. Uiteraard maken we liever geen afspraken met criminelen. Toch was dit voor ons de enige manier om zoveel mogelijk te voorkomen dat mogelijk gestolen gegevens, waaronder gevoelige gegevens, zouden worden verspreid. Met hulp van deskundigen maakten wij de afweging om de belangen van mogelijk getroffen mensen voorop te stellen.

12. Deed Woonkracht10 aangifte?
Ja, we hebben aangifte gedaan bij de politie.

13. Meldde Woonkracht10 het incident bij de Autoriteit Persoonsgegevens?
Ja, de Autoriteit Persoonsgegevens is tijdig op de hoogte gesteld.

14. Hoe heeft de cyberaanval kunnen gebeuren?
Hoewel we al op allerlei manieren waren beveiligd, kon dit de cyberaanval kennelijk niet voorkomen. Daarom is onze beveiliging in overleg met deskundigen opnieuw bekeken en troffen we extra maatregelen om nog beter beveiligd te zijn tegen dit soort dreigingen.

15. Waarom beschikte Woonkracht10 nog over mijn gegevens?
Het antwoord op uw vraag hangt af van het soort gegevens waarover wij beschikken. Wij hebben een bewaarbeleid voor gegevens die we opslaan. Toen we het incident onderzochten, hebben we geleerd dat we mogelijk sommige gegevens langer opslaan dan ons bewaarbeleid. Daarom kijken we opnieuw naar ons bewaarbeleid en zullen we gegevens verwijderen die we niet langer hoeven te bewaren.

16. Moet ik mijn bank verzoeken om mijn bankrekeninggegevens te wijzigen?
Wij kunnen u hierin helaas niet adviseren. Wij denken dat het verstandig is dat u deze vraag bespreekt met uw bank. Lees ook de tips op deze informatiepagina van de overheid over het voorkomen van identiteitsfraude: https://www.rvig.nl/informatie-over-een-datalek

17. Waarom ben ik zo laat geïnformeerd over het incident?
Wij vinden het belangrijk om u de juiste informatie te geven. Wij hebben de afgelopen tijd nodig gehad om het noodzakelijke onderzoek te doen. Zo moesten we bijvoorbeeld goed in kaart brengen welke data van welke personen nog op ons systeem stonden. Nu dit onderzoek is afgerond, nemen we (opnieuw) contact op met degenen om wie het gaat.

18. Wat is een cybercrimineel?
Cybercriminelen plegen misdaden met behulp van computersystemen en het internet. Het gaat hierbij om allerlei vormen van criminaliteit, zoals hacken, fraude en afpersing. Meestal proberen cybercriminelen geld afhandig te maken.

19. Wat is een cyberaanval?
Een cyberaanval is een aanval door cybercriminelen op een computersysteem. In ons geval ging het om een aanval op het computersysteem van Woonkracht10.

Mijn vraag wordt niet beantwoord op deze website, wat moet ik doen?
U kunt contact met ons opnemen via klantenservice@woonkracht10.nl.

Update 5 september
Eerder lieten wij u weten dat we u in augustus meer konden vertellen over de uitkomsten van ons onderzoek naar de gevolgen van het cyberincident. Helaas lukt dat niet. Door een langere doorlooptijd informeren we u nu in september. Wij raden u aan om deze website de komende weken regelmatig te bezoeken voor nieuwe informatie.

Update 11 juli
We zijn bijna klaar met het nader onderzoek naar het cyberincident. In de loop van augustus verwachten we meer informatie te kunnen geven. We houden u op de hoogte.

Update 8 mei
In het weekend van 22 en 23 april 2023 was er een aanval op het systeem van Woonkracht10. De criminelen hadden toegang tot onze data. Samen met externe deskundigen schatten wij in dat er inderdaad gegevens van huurders, medewerkers en andere betrokkenen zijn ingezien en gestolen. Hierbij geven wij een update.

Beschermen van de gegevens
Wij doen al het mogelijke om de data van onze huurders, medewerkers en andere betrokkenen te beschermen onder deze moeilijke omstandigheden. Na een zorgvuldige afweging besloten wij om met de aanvaller afspraken te maken over het verwijderen van onze data. Wij betaalden losgeld.

Nieuwe informatie leest u op onze website
Als we nieuwe informatie hebben, delen we dit vanaf nu op deze pagina.

Vragen
Voor vragen kunt u contact opnemen via ons servicecenter, het liefst per e-mail: klantenservice@woonkracht10.nl of u kunt contact met ons opnemen op het nummer 078 620 20 00.

Woordvoering
Voor mediaverzoeken kan contact worden opgenomen met onze woordvoerder: hannekeklumpes@woonkracht10.nl.

Update 4 mei
In het weekend van 22 en 23 april 2023 werd het computersysteem van Woonkracht10 aangevallen door cybercriminelen.

Na ontdekking troffen wij direct maatregelen om nadelige gevolgen te beperken. Dit deden wij met de hulp van externe deskundigen. Op de dienstverlening en de bedrijfsvoering had dit geen effect. Wij hebben het incident direct gemeld bij de Autoriteit Persoonsgegevens. We deden ook aangifte bij de politie.

Inmiddels stellen deze criminelen dat zij bij de aanval gegevens hebben gestolen en dreigen zij deze gegevens te publiceren. Samen met externe deskundigen onderzoeken we welke toegang de criminelen hadden tot onze data en of er inderdaad data is gestolen.

Wij kunnen op dit moment niet uitsluiten dat er bij de aanval ook gegevens van huurders, medewerkers en andere betrokkenen zijn ingezien of gestolen. Zodra we hierover meer informatie kunnen geven, delen we die informatie met alle betrokkenen.

Wij willen onder deze moeilijke omstandigheden al het mogelijke doen om de data van onze huurders, medewerkers en andere stakeholders te beschermen. Wij willen nu zo goed als mogelijk voorkomen dat er misbruik gemaakt kan worden van die gegevens. Hier werken wij samen met onze externe deskundigen aan.

Voor vragen kunt u contact opnemen via ons servicecenter, het liefst per e-mail: klantenservice@woonkracht10.nl
Voor mediaverzoeken kan contact worden opgenomen met onze woordvoerder: hannekeklumpes@woonkracht10.nl