Wat is er precies gebeurd?
Een medewerker van Blue Sky Group heeft onlangs na het ontvangen van een phishingmail per ongeluk toegang gegeven tot een mailbox. Daarmee heeft/hebben hacker(s) helaas bepaalde persoonsgegevens in bezit kunnen krijgen. Het gaat om gegevens van betrokkenen bij de pensioenfondsen waarvoor wij werken, bij het Blue Sky Eagle fund en bij de Blue Sky Group zelf.
Welke gegevens zijn er gelekt
Op basis van de informatie die wij nu hebben is vrijwel zeker de volgende informatie gelekt: Bij deelnemers waarvoor een pensioenuitkering of waardeoverdracht is uitgevoerd zijn de volgende gegevens gelekt:
- NAW gegevens
- Polisnummers
- Pensioenbedragen
- Betaalgegevens
Uit voorlopige analyse volgt dat de kans klein is dat er persoonsgegevens gelekt zijn van deelnemers die nog niet met pensioen zijn.
Is de betaling van pensioenuitkeringen in gevaar?
Nee, het datalek staat los van reguliere, procedurele werkzaamheden. Alle betalingen gaan gewoon door, net als alle andere uitvoeringswerkzaamheden. Wel zijn wij extra alert op pogingen tot oplichting of fraude. Hiervoor zijn verscherpte maatregelen genomen. Bijvoorbeeld extra controles in onze betaalprocessen.
Er is bij het datalek ook geen toegang gekregen tot het vermogen van het pensioenfonds, er is dus geen geld weg.
Zijn er gegevens van mensen verdwenen?
Nee, alle gegevens zijn nog steeds bij ons beschikbaar, zodat wij ons werk gewoon kunnen blijven doen en (persoons)gegevens niet opnieuw aangeleverd hoeven te worden.
Moet mensen nieuwe wachtwoorden installeren?
Dit is niet noodzakelijk. Wachtwoorden zijn geen onderdeel van het lek.
Wie zijn de hackers?
Dat weten we niet. We hebben geen contact met hen.
Heeft u aangifte gedaan?
We hebben het incident gemeld bij de Autoriteit Persoonsgegevens. Daarnaast zal Blue Sky Group aangifte doen bij de politie.
Kunnen de hackers met de buitgemaakte gegevens betalingen in naam van een ander gaan doen, zodat mensen geld kwijtraken?
Nee, hackers kunnen zelf geen directe betalingen doen vanuit bankrekeningen van anderen. Hiervoor is de medewerking van deelnemers nodig. Deze medewerking kan wel via zogenaamde phishingmails gevraagd worden. Wij vragen alle betrokkenen hier extra op alert te zijn.
Wat zijn voor de deelnemers de concrete gevolgen?
De mogelijkheid bestaat dat degenen die nu ten onrechte over bepaalde persoonsgegevens beschikken zich proberen voor te doen als iemand anders. Daarmee kunnen ze bijvoorbeeld bedrijven of banken benaderen om dingen te veranderen. Die zijn daar tegenwoordig zeer alert op.
Een andere mogelijkheid is dat ze deelnemers aan het pensioenfonds per mail of telefoon benaderen waarbij ze zich voordoen als medewerkers van BSG of IFF Pensioenfonds. We hebben iedereen gemaild en/of een brief gestuurd met instructies:
- Let goed op de afzender, het mailadres en spelfouten;
- BSG of het pensioenfonds vraagt nooit per mail om wachtwoorden of wijzigingen in de betalingsgegegevens en vraagt ook nooit om op linkjes te klikken of om zomaar geld terug te storten;
- Neem bij twijfel contact op via de reguliere weg met het pensioenfonds om te laten controleren of een mail authentiek is;
- Meld phishing en eventuele andere frauduleuze contacten aan BSG, zodat wij daar verdere maatregelen op kunnen nemen;
Zijn er tot op heden gerelateerde phishing emails ontvangen?
Tot op heden zijn er vier verdachte phishing emails ontvangen en een verdacht telefoontje. Een e-mail daarvan is binnengekomen bij een ander pensioenfonds. Door hun zeer goed werkende systemen is de mail direct als verdacht aangewezen en is hier niet op gereageerd.