Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Hans Anders wijzigt test-aanpak na datalek

24 augustus 2022 - 19:254 minuten leestijdAchtergrondGovernance & PrivacyAPSalesforceSAP
Rik Sanders
Rik Sanders

Bij de ingebruikname van nieuwe software, waarbij persoonsgegevens in het geding zijn, blijft een scherp oog nodig voor mogelijke datalekken. Zo voerde opticienketen Hans Anders een nieuwe website in waar ondanks een grondige voorbereiding toch een onvoorziene fout zat. Het bedrijf moest aangifte doen bij de Autoriteit Persoonsgegevens en heeft zijn gestandaardiseerde test-aanpak aangescherpt.

Sinds medio juli is de nieuwe webshop van Hans Anders in de lucht. Robin Varma, als adviseur digitale transformatie bij bQuind extra alert op kinderziektes en grotere fouten bij vernieuwingen, stuitte als klant (na het bestellen van nieuwe lenzen) op een datalek in deze vernieuwde online-winkel en stuurde daar een tweet over uit. ‘Via orderdetails in mijn account kreeg ik de order- en adresgegevens van een andere klant van Hans Anders te zien en even daarvoor een error in de string. Aanvullend kan ik ook simpel het orderID aanpassen in de adresregel om andere complete bestellingen in te zien.’

Nadat een reactie in eerste instantie uitbleef, zocht hij contact met de ‘group it director’ van Hans Anders die hij nog kende van een eerdere samenwerking. Na een escalatie in de organisatie werd het datalek een dag later gedicht. De opticienketen liet daarna in een verklaring weten dat ‘in de periode van 12 tot en met 22 juli klanten van Hans Anders die inlogden in de ‘Mijn Hans Anders-omgeving van de vernieuwde website, informatie konden inzien en/of wijzigen die geen betrekking had op hen, maar op andere klanten van Hans Anders.’ Het ging daarbij om algemene persoonsgegevens zoals naw-gegevens, contactgegevens, aankoopgegevens, aantekeningen van klantgesprekken en bijzondere persoonsgegevens zoals bankrekeningnummer en oogmeetgegevens.

In totaal hebben enkele tientallen personen in die genoemde periode ingelogd. Volgens het brillenconcern bestond er een kans dat zij daarna onjuiste oogmetingsgegevens hebben overgenomen van hun ‘Mijn Hans Anders-account’. Ook zouden zij gegevens hebben kunnen wijzigen in profielen van andere klanten. Het bedrijf zegt in de verklaring alle noodzakelijke maatregelen te hebben genomen om het datalek te beëindigen. ‘Alle klantgegevens op de website zijn ge-reset naar de oorspronkelijke situatie. De klanten, die tussen 12 en 22 juli hebben ingelogd in de Mijn Hans Anders-omgeving van de nieuwe website, zijn per email geïnformeerd. Ook is hen gevraagd om met een nieuw wachtwoord opnieuw in te loggen in de Mijn Hans Anders-omgeving.’

Interne controle

Een error (fout) in een string (rekenrij) van een transactie in de webshop van Hans Anders

In navolging van de officiële verklaring geeft directeur corporate communications Rian van Koulil namens Nexeye nog een toelichting op een aantal aanvullende vragen:

Welke nieuwe webshop-software gebruiken jullie?
‘De introductie van het nieuwe e-commerceplatform van Hans Anders in Nederland is de start van een internationale multibrand replatforming van alle merken binnen Nexeye (de naam voor de Europese optiekgroep die onder verschillende namen in vijf landen actief is, RS). Hans Anders gebruikt bij voorkeur bewezen software als het aankomt op het ontsluiten van de webshop naar consumenten. We willen kwaliteit kunnen garanderen, óók wat betreft onze omnichannel-aanpak. Voor de klantenkant (of accounts) maken we gebruik van het cloudgebaseerde platform Salesforce, zodat deze aansluit bij onze customer relationship management-strategie. Dat stelt ons in staat om complexe customer journeys in te richten en te accelereren op het gebied van innovatie. De implementatie, operationele en technische invulling van de website wordt gedaan door de specialisten van Nexeye in nauwe samenwerking met onze partner Emakina.’

Om wat voor fout ging het?
“Om een interne controle tussen de reeds opgeslagen klantinformatie in ons legacy-systeem (van SAP, RS) en de nieuw aan te maken accounts op ons nieuwe platform die door de gebruiker zelf geïnitieerd moest worden. Het incident deed zich gelukkig slechts voor in een beperkte situatie met enkele tientallen klanten. Er was geen sprake van een hack of diefstal van gegevens door derden.’

Jullie zijn getipt over het datalek. Maar had dit er niet al bij een performance test uit moeten komen en had Hans Anders achteraf gezien meer moeten testen?
‘Zeker, er zijn altijd lessons to be learned. Na het incident zijn we overgegaan naar een robuustere wijze van de integriteitscontrole op de interfacing tussen de webshop en het achtergelegen legacy-systeem alvorens deze informatie direct op de webshop te tonen. Daarbij hebben we deze specifieke situatie opgenomen in onze gestandaardiseerde testaanpak binnen alle software-ontwikkelingen van Hans Anders, Eyes + More en Direkt Optik.’

Hoe reageerde de Autoriteit Persoonsgegevens op jullie melding?
‘Een reactie van de Autoriteit Persoonsgegevens bestaat uit een gestandaardiseerde bevestiging van zowel de melding als de definitieve vaststelling van de melding. Deze zijn inderdaad beide door Hans Anders ontvangen.’

Meer over

AuthenticatieConsultingHackingLegacyPrivacySalesforce

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    Strategische alternatieven voor VMware

    Ontdek 3 strategieën voor een succesvolle overstap

    Meer lezen

    security
    ActueelSecurity & Awareness

    Aantal gedupeerden Nebu-datalek groeit, omvang ongewis

    Eén reactie op “Hans Anders wijzigt test-aanpak na datalek”

    1. Een Oudlid schreef:
      25 augustus 2022 om 20:45

      Euvel is me niet onbekend, een soortgelijke casus ken ik van andere webapplicaties. Zoals ook het gebruikelijke zwijgen over constateringen.. En typerende in het verhaal is dat een ontdekker van de fout een shortcut had in de escalatie, de ‘what if’ als dit niet het geval was laat zich raden. Want het excuus over legacy is zorgelijk als we het hebben over 30 jaar oud architectuur paradigma waarin er gegevens ontsloten worden middels een toegevoegde laag van webapplicaties. Ik snap er natuurlijk niks van maar als je orderID aan kunt passen in adresregel ben ik benieuwd welke mogelijkheden er nog meer waren in de SQL statements naar de back-end.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs