Gezamenlijke mededeling van Deutsche Leasing Benelux en andere groepsmaatschappijen in het buitenland (hierna gezamenlijk aangeduid als " Deutsche Leasing") op grond van art. 34.3.c) van de Algemene Verordening Gegevensbescherming (“AVG”).
Cyberaanval op 3 juni 2023 - wat is er gebeurd?
Deutsche Leasing ontdekte op 3 juni 2023 een cyberaanval op delen van haar IT-systemen. Deutsche Leasing reageerde onmiddellijk en volgde het rampenplan, sloot de toegang tot de systemen af en betrok of informeerde de relevante autoriteiten.
Samen met externe IT-forensische experts en IT-beveiligingsconsultants heeft Deutsche Leasing het cyberincident geanalyseerd en het bewijs veiliggesteld. Na afronding van de IT-forensische analyse heeft Deutsche Leasing nu met succes haar IT-systemen, applicaties en IT-interfaces met klanten en partners weer operationeel gemaakt.
Datalek ontdekt
Het forensisch IT-onderzoek toonde aan dat individuele servers van entiteiten binnen Deutsche Leasing, inclusief de daarop verwerkte (persoons)gegevens, tijdens de cyberaanval toegankelijk waren, ondanks onmiddellijke maatregelen die werden genomen. De IT-systemen die nodig zijn voor het uitvoeren van onze bedrijfsprocessen blijken niet te zijn gecompromitteerd.
In de tussentijd hebben de controlesystemen van Deutsche Leasing de publicatie van documenten van Deutsche Leasing op het Darkweb gedetecteerd. Deze documenten bevatten persoonsgegevens. Deutsche Leasing heeft de betrokken natuurlijke personen onmiddellijk op de hoogte gesteld.
Hoewel er op dit moment geen aanwijzingen zijn dat er nog meer persoonsgegevens, die door of namens Deutsche Leasing Benelux worden verwerkt, getroffen zijn door de cyberaanval en gepubliceerd zijn, kunnen we dit niet met zekerheid uitsluiten. Daarom informeert Deutsche Leasing Benelux nu de mogelijks geïmpacteerde betrokkenen door middel van deze aankondiging op haar (bedrijfs)website.
Welke betrokkenen en welke persoonsgegevens kunnen worden getroffen?
De betrokkenen en persoonsgegevens die mogelijk geïmpacteerd zijn, kunnen werknemers of voormalige werknemers van herfinancieringspartnerinstellingen zijn, klanten en potentiële klanten, garantieverstrekkers, fabrikanten, dealers, dienstverleners, leveranciers of uiteindelijke begunstigden van Deutsche Leasing Benelux, inclusief: naam en zakelijke contactgegevens en identificatienummers (kopie identiteitskaart of paspoort, fiscaal identiteitsbewijs en financiële informatie in het geval van garantieverstrekkers).
Het kan ook gaan om voormalige werknemers, externe werknemers of bestuursleden van Deutsche Leasing Benelux met bijvoorbeeld naam, adres, geboortedatum en -plaats, curriculum vitae, of "gevoelige" persoonsgegevens zoals rekening- of bankgegevens, identificatienummers (kopie identiteitskaart of paspoort, fiscaal identiteitsbewijs/BTW nummer), evenals communicatiegegevens (bijvoorbeeld e-mails) of gegevens op grond van artikel 9 GDPR (bijv. gegevens betreffende de gezondheid).
Welke potentiële risico's loopt u als gevolg van het incident?
Het kan niet worden uitgesloten dat er nog meer persoonsgegevens worden gepubliceerd en dat de controle over de betreffende persoonsgegevens verloren gaat.
In individuele gevallen is het ook mogelijk dat betrokkenen in de toekomst meer spammails of ongevraagde reclameoproepen zullen ontvangen. Er kan ook een risico bestaan op crimineel gebruik van de gegevens, bijvoorbeeld in de vorm van identiteitsdiefstal of soortgelijke activiteiten.
Welke stappen kunt u ondernemen om de negatieve gevolgen van het incident te beperken of te voorkomen?
Deutsche Leasing verzoekt u waakzaam te blijven met betrekking tot de beveiliging van uw persoonsgegevens. Als u ongebruikelijke of verdachte activiteiten opmerkt (zoals ongebruikelijke accountbewegingen of een toename van het aantal verdachte e-mails), verzoeken wij u om uw eigen IT-beveiligingsmaatregelen onmiddellijk aan te scherpen. Dit houdt onder meer in dat u wachtwoorden die u al lange tijd gebruikt onmiddellijk moet wijzigen, dat u consequent complexere en dus veiligere toegangscodes moet gebruiken of dat u twee-factor-authenticatie moet instellen voor bank- en sociale media-accounts, en dat u uw eigen bankrekening moet controleren op verdachte rekeningactiviteiten.
Welke stappen heeft Deutsche Leasing ondernomen om de negatieve gevolgen van het incident te beperken of te voorkomen?
Sinds 3 juni 2023 werkt Deutsche Leasing nauw samen met IT-beveiligings- en gegevensexperten. Daarnaast heeft Deutsche Leasing het incident gemeld bij de relevante autoriteiten.
Deutsche Leasing biedt haar verontschuldigingen aan voor het ongemak dat de huidige ontwikkeling kan veroorzaken voor de personen die hierdoor kunnen worden getroffen.
Contact:
Indien u vragen heeft m.b.t. het incident, gelieve ons een e-mail te sturen naar: bxdataprivacyrequest@deutsche-leasing.com.
