Rituals, het Nederlandse cosmeticamerk, heeft een datalek gemeld. Bij een digitale inbraak zijn e-mailadressen, geboortedata en telefoonnummers buitgemaakt. Het incident raakt klanten in Nederland en mogelijk andere Europese landen en valt onder de AVG. Het vergroot het risico op phishing en identiteitsfraude.
Klantdata liggen op straat
Rituals meldt dat onbevoegden toegang kregen tot klantgegevens. Daarbij zijn e-mailadressen, geboortedata en telefoonnummers gekopieerd. Het bedrijf is actief in veel EU-landen, dus het kan om Europese klanten gaan. Er is op het moment van schrijven geen bevestiging over toegang tot wachtwoorden of betaalgegevens.
Deze data lijken onschuldig, maar zijn waardevol voor criminelen. Een geboortedatum wordt vaak gebruikt voor identiteitcontrole of beveiligingsvragen. Een telefoonnummer maakt sms-phishing en WhatsApp-fraude makkelijker. Een e-mailadres opent de deur voor gerichte spam en inbraakpogingen.
De omvang van het datalek is nog onbekend. Ook is niet duidelijk hoe lang de aanvallers toegang hadden. Rituals onderzoekt de impact en neemt extra beveiligingsmaatregelen. Klanten kunnen rekening houden met meer nepberichten in de komende weken.
Risico op gerichte phishing
Met deze combinatie van gegevens kunnen aanvallers persoonlijke berichten samenstellen. Zij noemen bijvoorbeeld uw naam en geboortedatum om vertrouwen te wekken. Daarna vragen ze om een code, een betaling of inloggegevens. Dit heet spearphishing, een gerichte vorm van nepberichten.
Controleer altijd het afzenderadres en de URL voordat u klikt. Ga bij twijfel zelf naar de website van Rituals via de adresbalk. Deel geen codes of persoonlijke data via sms, WhatsApp of e-mail. Log in met tweestapsverificatie waar dat kan.
Let ook op telefoontjes die snel actie eisen. Criminelen gebruiken soms een datalek om geloofwaardig over te komen. Spreek niet spontaan persoonlijke details uit. Bel zelf terug via het nummer op de officiële website.
AVG stelt strenge eisen
Onder de AVG moet een bedrijf een ernstig datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als er een hoog risico is voor betrokkenen, moeten zij ook individueel worden gewaarschuwd. Dat geldt voor gegevens zoals telefoonnummers en geboortedata. Rituals zal daarom procedures voor melding en communicatie moeten volgen.
De toezichthouder kijkt naar passende beveiliging, zoals versleuteling en toegangsbewaking. Ook dataminimalisatie weegt mee: verzamel en bewaar niet meer dan nodig is. Als een geboortedatum alleen voor marketing dient, kan korter bewaren of weglaten verstandiger zijn. Dat verkleint de schade bij een incident.
Rituals is een Nederlands bedrijf, dus de Autoriteit Persoonsgegevens kan de leidende toezichthouder zijn. Omdat het bedrijf in meerdere EU-landen actief is, kan het one-stop-shop-mechanisme gelden. Dan stemmen Europese toezichthouders hun onderzoek op elkaar af. Eventuele maatregelen gelden vervolgens voor de hele EU-markt.
Bij ernstige overtredingen van de AVG kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Oorzaak nog onduidelijk
De precieze oorzaak van het lek is niet bekend. Vaak gaat het om gestolen inloggegevens, een fout in cloudinstellingen of een lek bij een toeleverancier. Ook een phishingmail aan een medewerker kan de start zijn. Forensisch onderzoek moet dit uitwijzen.
Na een inbraak horen tot de standaardstappen: toegang intrekken, wachtwoorden roteren en verdachte accounts blokkeren. Logbestanden worden veiliggesteld voor analyse. Leveranciers en verwerkers worden geïnformeerd om verdere risico’s te beperken. Daarna volgt structurele verbetering, zoals strengere toegangscontrole.
Versleuteling helpt om buitgemaakte data onleesbaar te maken. Het beschermt echter niet als sleutels of actieve accounts zijn misbruikt. Segmentatie van netwerken en het principe ‘least privilege’ beperken dan de schade. Regelmatige penetratietests vinden zwakke punten eerder.
AI versterkt oplichting
AI-tools maken phishing overtuigender en sneller. Met taalmodellen kunnen criminelen foutloze mails opstellen in elke taal. Ze variëren teksten automatisch en testen welke boodschap het best werkt. Ook deepfake-stemmen maken telefonische oplichting geloofwaardiger.
Bedrijven zetten op hun beurt algoritmen in om afwijkend gedrag te zien. Zulke systemen heten gedragsanalyse of anomaly detection. Ze signaleren bijvoorbeeld een verdachte download of een vreemd inlogpatroon. Menselijke controle blijft nodig om valse meldingen te filteren.
Voor organisaties in Nederland geldt dat inzet van AI voor beveiliging ook onder de AVG valt. Loggegevens zijn persoonsgegevens als ze herleidbaar zijn tot een individu. Transparantie en bewaartermijnen moeten daarom vooraf zijn vastgelegd. Dat voorkomt dat beveiliging zelf tot een privacyrisico wordt.
