Het Amerikaanse wervingsplatform Fountain is getroffen door een cyberaanval waarbij data is gelekt. Het platform wordt gebruikt door grote werkgevers voor het verwerken van sollicitaties. Daardoor kan het incident ook Europese en Nederlandse kandidaten raken. Het bedrijf werkt aan herstel en waarschuwt betrokken klanten en gebruikers.
Persoonsgegevens buitgemaakt
Bij de aanval zijn persoonsgegevens van gebruikers en sollicitanten buitgemaakt. Het gaat op het moment van schrijven vermoedelijk om namen, contactgegevens en sollicitatie-informatie. Of ook identiteitsdocumenten of interne notities zijn meegenomen, wordt nog onderzocht. Wachtwoorden of betaalgegevens zijn vooralsnog niet genoemd als getroffen, maar dat is niet definitief.
Fountain heeft getroffen accounts ingelicht en extra beveiligingsmaatregelen geactiveerd. Zulke stappen omvatten vaker het intrekken van sessies, het vervangen van toegangstokens en het aanscherpen van toegangsrechten. Ook wordt doorgaans extra logging ingeschakeld om ongebruikelijke activiteiten snel te zien. Dat helpt om de omvang van het lek beter vast te stellen.
Het incident onderstreept hoe aantrekkelijk HR-systemen zijn voor cybercriminelen. In zulke platforms staat veel gevoelige informatie bij elkaar. Denk aan cv’s, referenties en beschikbaarheid, maar soms ook kopieën van documenten. Deze gegevens leveren materiaal op voor gerichte fraude en phishing.
Europese meldplichten gelden
Voor Europese klanten en betrokkenen geldt de AVG, de Europese privacywet. Organisaties die Fountain gebruiken, moeten nagaan of er persoonsgegevens van hun kandidaten of medewerkers zijn geraakt. Is dat zo, dan geldt een meldplicht bij de Autoriteit Persoonsgegevens in Nederland en de plicht om betrokkenen te informeren. Dit moet tijdig en met duidelijke uitleg over risico’s en maatregelen.
De AVG schrijft voor dat datalekken binnen 72 uur na ontdekking worden gemeld bij de toezichthouder, inclusief aard, omvang en genomen maatregelen.
Daarnaast moeten verwerkersovereenkomsten met leveranciers als Fountain worden geraadpleegd. Daarin staat wie wat doet bij een datalek en welke termijnen gelden. Staat data buiten de EU, dan moeten passende waarborgen zijn geregeld. Denk aan het EU‑VS Data Privacy Framework of standaardcontractbepalingen.
De Autoriteit Persoonsgegevens kan handhaven als meldingen uitblijven of informatie onvolledig is. Boetes zijn mogelijk, maar vaak volgt eerst een onderzoek en advies. Voor organisaties is transparantie richting kandidaten belangrijk om vertrouwen te behouden. Heldere communicatie voorkomt misverstanden en verlaagt het risico op klachten.
Risico’s voor sollicitanten
Voor betrokken sollicitanten is het grootste risico op dit moment gerichte phishing. Criminelen kunnen zich voordoen als recruiter en vragen om extra gegevens of betalingen. Ook kunnen zij e-mails versturen met bijlagen die malware bevatten. Wees daarom alert op onverwachte verzoeken of links.
Wie een account bij Fountain of gekoppelde diensten heeft, kan zijn wachtwoord vervangen en waar mogelijk tweestapsverificatie aanzetten. Hergebruik je wachtwoorden, verander die dan ook bij andere diensten. Controleer daarnaast of er ongebruikelijke inlogpogingen zijn geweest. Veel platforms bieden een overzicht van recente activiteiten.
Let de komende maanden extra op bij berichten over sollicitaties of onboarding. Vraag bij twijfel om bevestiging via een officieel, zelfstandig opgezocht kanaal. Deel geen kopieën van documenten zonder noodzaak en maak gevoelige delen onleesbaar als dat kan. Dat heet dataminimalisatie en beperkt schade bij misbruik.
Ketenrisico bij HR‑software
Het lek bij Fountain toont het ketenrisico van uitbestede HR‑software. Nederlandse en Europese werkgevers leunen vaak op externe platforms voor selectie en planning. Een fout of aanval bij de leverancier treft dan ook hun eigen kandidaten en medewerkers. Grip op leveranciers is daarom een vast onderwerp bij audits en inkoop.
Organisaties doen er goed aan hun verwerkingsregister en DPIA’s (gegevensbeschermingseffectbeoordelingen) te actualiseren. Leg vast welke gegevens in Fountain staan, met welk doel en hoe lang. Beperk waar mogelijk velden en bewaartermijnen. Versleutel gevoelige bijlagen of sla ze buiten het platform op met strengere toegang.
Nieuwe Europese regels zoals NIS2 leggen voor grotere bedrijven extra zorgplichten op rond toeleveringsketens. Dat betekent onder meer strengere eisen aan monitoring en incidentrespons. Contracten met HR‑leveranciers zouden bepalingen over penetratietests, auditrechten en meldtermijnen moeten bevatten. Zo wordt de weerbaarheid in de hele keten hoger.
AI‑verordening raakt HR‑platformen
Veel HR‑platformen gebruiken algoritmen om cv’s te ordenen of kandidaten te schermen. De Europese AI‑verordening (AI Act) classificeert zulke toepassingen in werving en selectie als hoog risico. Dat brengt eisen mee aan datakwaliteit, uitlegbaarheid, menselijke controle en logging. Leveranciers en gebruikers zullen processen daarop moeten inrichten.
Voor werkgevers betekent dit dat zij moeten weten of en hoe hun HR‑systeem AI inzet. Transparantie naar kandidaten over geautomatiseerde besluitvorming wordt belangrijker. Combineer die plichten met de AVG‑regels voor rechtmatigheid en minimale gegevensverwerking. Zo voorkom je dubbele risico’s bij zowel privacy als algoritmes.
De AI‑verordening treedt gefaseerd in werking vanaf 2025 en 2026, op het moment van schrijven met nog aanvullende richtsnoeren in voorbereiding. Organisaties die nu hun datastromen en modelgebruik in kaart brengen, zijn straks sneller compliant. Dat is ook nuttig na een datalek. Wie weet waar data staat en waarom, herstelt sneller en communiceert beter.
Wat organisaties nu moeten doen
Inventariseer of jouw organisatie Fountain gebruikt of gebruikte voor werving. Vraag een impactrapport op en koppel dat aan je eigen kandidatenbestand. Licht zo nodig de Autoriteit Persoonsgegevens en betrokkenen tijdig in. Leg alle stappen vast voor interne en externe verantwoording.
Beperk direct de toegang tot gevoelige dossiers in het platform en draai overbodige API‑sleutels in. Zet waar mogelijk multifactor-authenticatie verplicht en herzie rollen en rechten. Controleer integraties met andere systemen, zoals planning of payroll. Koppel tijdelijk los als monitoring afwijkingen laat zien.
Neem dit incident op in je verbeterplan voor informatiebeveiliging. Denk aan strengere dataminimalisatie, kortere bewaartermijnen en structurele penetratietests. Heronderhandel contracten met leveranciers over security‑eisen en audits. Zo verklein je de kans op herhaling en beperk je de impact bij een volgend incident.
