Veelgestelde vragen over het beveiligingsincident bij OTYS

De onbevoegde toegang is beëindigd. De oorzaak is gevonden en opgelost. Extra beveiligingsmaatregelen zijn ingevoerd. De systemen worden scherper gemonitord en er is een extern ICT-forensisch onderzoek uitgevoerd.

Contactpersonen van Babbage bij onze opdrachtgevers en kandidaten die bij Babbage hebben gesolliciteerd of zich bij ons hebben ingeschreven. Als je met een geldig e-mailadres bij ons in het systeem staat hebben we je per mail geïnformeerd als je mogelijk betrokken bent.

Dat is niet met zekerheid vast te stellen. Het is mogelijk dat gegevens zijn ingezien of gedownload, maar niet duidelijk is van wie of welke gegevens. Er zijn geen aanwijzingen dat gegevens zijn aangepast of verwijderd.

Dat is afhankelijk van je relatie tot Babbage. We hebben, waar mogelijk, alle betrokkenen zo specifiek mogelijk per e-mail geïnformeerd over welke data het mogelijk kan gaan. Goed te weten is niet elk datalek leidt tot daadwerkelijk misbruik, maar OTYS kan de mogelijkheid van misbruik van gegevens op dit moment helaas niet uitsluiten.

Stond je alleen ingeschreven als kandidaat bij Babbage en/of heb je gereageerd op vacatures? Dan hebben we maximaal de onderstaande gegevens van je opgeslagen in OTYS:

• E-mailadres
• Telefoonnummer
• NAW-gegevens
• Geslacht
• Geboortedatum
• Informatie over je opleiding en werkervaring, actueel tot het laatste CV dat we van je hebben ontvangen
• Je sollicitatie historie bij Babbage

Hebben we je in het verleden bemiddeld op een vaste vacature? Dan hebben we maximaal de onderstaande gegevens van je opgeslagen in OTYS:

• E-mailadres
• Telefoonnummer
• NAW-gegevens
• Geslacht
• Geboortedatum
• Informatie over je opleiding en werkervaring, actueel tot het laatste CV dat we van je hebben ontvangen
• Je sollicitatie historie bij Babbage

Informatie over je salaris worden in een aparte database bewaard en kunnen dus niet bij dit incident zijn gelekt.

Hebben we je vóór januari 2025 bemiddeld op een interim opdracht? Dan hebben we maximaal de onderstaande gegevens van je opgeslagen:

• E-mailadres
• Telefoonnummer
• NAW-gegevens
• Geslacht
• Geboortedatum
• Informatie over je opleiding en werkervaring, actueel tot het laatste CV dat we van je hebben ontvangen
• Je sollicitatie historie bij Babbage

De zakelijke gegevens van ZZP-ers zoals KvK-nummer, BTW-nummer of zakelijke bankgegevens werden voor januari 2025 in een ander systeem opgeslagen. Ook documenten als VOG, kopie paspoort, CV, Overeenkomst van Opdracht en verzekeringsbewijs staan op een andere database en kunnen dus niet zijn gelekt bij dit incident.

Hebben we je na januari 2025 bemiddeld op een interim opdracht? Dan hebben we maximaal de onderstaande gegevens van je opgeslagen:

• E-mailadres
• Telefoonnummer
• NAW-gegevens
• Geslacht
• Geboortedatum
• IBAN en tenaamstelling
• Informatie over je opleiding en werkervaring, actueel tot het laatste CV dat we van je hebben ontvangen
• Je sollicitatie historie bij Babbage

Voor freelancers die na januari 2025 zijn bemiddeld zijn dat ook:

• KvK-nummer
• Nieuw BTW ID-nummer (dus zonder BSN)

Voor een kleine groep kandidaten (<50) hebben we ook het nummer van het identiteitsbewijs opgeslagen. Als jij bij die groep hoort, staat dat in de e-mail die je hebt ontvangen.

Documenten als VOG, kopie paspoort, CV, Overeenkomst van Opdracht en verzekeringsbewijs staan op een andere database en kunnen dus niet zijn gelekt bij dit incident.

Heb je zelf je profiel aangevuld via Mijn Babbage met meer informatie?

Dan zijn deze gegevens ook mogelijk gelekt. Je kan zelf inloggen om te checken om welke gegevens het dan gaat. Documenten die je via Mijn Babbage hebt aangeleverd komen terecht op een aparte database en kunnen dus niet zijn gelekt bij dit incident. Heb je nooit ingelogd op Mijn Babbage? Dan is dit niet relevant.

Dat is afhankelijk van je relatie tot Babbage. We hebben, waar mogelijk, alle betrokkenen zo specifiek mogelijk per e-mail geïnformeerd over welke data het mogelijk kan gaan. Goed te weten is niet elk datalek leidt tot daadwerkelijk misbruik, maar OTYS kan de mogelijkheid van misbruik van gegevens op dit moment helaas niet uitsluiten.

Sta je ingeschreven als contactpersoon voor één van onze opdrachtgevers of leveranciers?

Als we nooit een opdracht voor jouw organisatie uitgevoerd, dan hebben we maximaal de onderstaande gegevens van jouw organisatie opgeslagen in OTYS:

• Naam van medewerkers met wie in het verleden contact is geweest
• Functietitel van de medewerkers met wie in het verleden contact is geweest.
• Zakelijk e-mailadres en/of telefoonnummer van deze medewerkers
• Hoofdadres van de organisatie

Als we in het verleden een communicatieprofessional bij jouw organisatie hebben bemiddeld, dan hebben we maximaal de onderstaande gegevens van jouw organisatie opgeslagen in OTYS:

• Naam van medewerkers met wie in het verleden contact is geweest
• Functietitel van de medewerkers met wie in het verleden contact is geweest.
• Zakelijk e-mailadres en/of telefoonnummer van deze medewerkers
• Hoofdadres van de organisatie.
• Inhoud van de vacature door die jullie bij ons is uitgezet
• KvK nummer
• Zakelijke bankgegevens

Documenten als contracten of inkooporders staan op een andere database en kunnen dus niet zijn gelekt bij dit incident.

Er zijn geen documenten gelekt zoals cv’s of contracten. Ook zijn er geen aanwijzingen dat wachtwoorden of inloggegevens zijn buitgemaakt.

Ja. De onbevoegde toegang is beëindigd en er zijn aanvullende beveiligingsmaatregelen geïmplementeerd. Er zijn geen aanwijzingen dat er data is verwijderd of gewijzigd. Er is geen aanleiding om ervan uit te gaan dat de data die wij nu via Mijn Babbage ontvangen extra risico loopt.

Babbage bewaart klant- en contactgegevens alleen zolang dat noodzakelijk is voor onze dienstverlening en bedrijfsvoering. Wij hanteren daarbij een jaarlijkse e-mailcontrole aan inactieve kandidaten met de vraag of gegevens bewaard mogen blijven voor toekomstige benadering. Als je in het systeem actief in een procedure zit, bijvoorbeeld door onderdeel te zijn van één van onze community’s, ontvang je een dergelijke e-mail niet.

Naar aanleiding van het datalek hebben wij vastgesteld dat de systeeminstellingen voor sommige procedurestatussen in OTYS onjuist stonden, waardoor de hierboven genoemde e‑mail niet automatisch is verzonden. Het kan zijn dat een dergelijke procedure status op jouw dossier van toepassing was. Hierdoor zijn jouw gegevens mogelijk te lang bewaard. De procedurestatussen zijn inmiddels hersteld en we hebben extra controles ingericht om herhaling te voorkomen.

Op dit moment kan je jezelf niet uitschrijven via Mijn Babbage. Daar hebben we voor gekozen zodat we zicht blijven houden op welke data in ons systeem stond. Wil je wel worden verwijderd? Stuur een mail naar veiligheid@babbage.nl en geef aan dat je wil worden uitgeschreven uit het systeem. Je ontvangt een bevestiging als we je gegevens hebben verwijderd. De nieuwsbrief van Babbage loopt via een apart systeem. Daar kan je jezelf op elk moment zelf uitschrijven via de afmeldlink in de mail.

Babbage zoekt zijn leveranciers zorgvuldig uit op basis van hun reputatie, referenties en informatiebeveiligingscertificering. Die waren bij OTYS op orde. Na het incident heeft Babbage zelf ook melding gedaan bij de Autoriteit Persoonsgegevens. En heeft, zo mogelijk, alle betrokken geïnformeerd. We volgen de situatie nauwgezet en hechten groot belang aan een zorgvuldige omgang met persoonsgegevens. Nieuwe relevante informatie wordt op deze pagina gedeeld zodra deze beschikbaar is.

Je hoeft geen actie te ondernemen. Blijf wel alert op verdachte e-mails, telefoontjes, vreemde incasso’s en betaalverzoeken. Deel nooit vertrouwelijke informatie. Wij verwijzen je ook naar de website van de Autoriteits Persoonsgevens waarop staat wat je kan doen als jouw gegevens zijn betrokken bij een mogelijk datalek.