Beveiligingsincident recruitmentleverancier (OTYS)

Wat is er gebeurd?
Op 11 februari 2026 meldde OTYS (de leverancier van ons recruitmentsysteem) een beveiligingsincident. In eerste instantie leek het te gaan om phishingmails. Later bleek dat er tijdelijk onbevoegde inzage in een deel van de database mogelijk was. OTYS heeft op 19 februari 2026 bevestigd dat (na forensisch onderzoek) niet kan worden uitgesloten dat gegevens zijn gedownload. Daarom heeft Vooq. een melding gedaan bij de Autoriteit Persoonsgegevens.

Welke maatregelen heeft OTYS genomen?

  • De onbevoegde toegang is volledig beëindigd
  • De kwetsbaarheid is geïdentificeerd en structureel verholpen
  • Aanvullende beveiligingsmaatregelen zijn direct geïmplementeerd
  • Verhoogde monitoring is actief ingericht
  • Er zijn geen aanwijzingen dat data is gemanipuleerd of verwijderd
  • Wij kunnen géén specificaties aanleveren welke data wél of niet gedownload is

Wie kunnen betrokken zijn?
Kandidaten die bij ons gesolliciteerd hebben en relaties die in ons Otys bestand stonden. Wij hebben alle betrokken kandidaten inmiddels op de hoogte gesteld per e-mail.

 

Zijn gegevens daadwerkelijk gelekt?
Dat is niet met zekerheid vast te stellen. Mogelijk zijn gegevens ingezien of gedownload, maar er zijn geen aanwijzingen dat data is aangepast of verwijderd.

 

Welke gegevens kunnen betrokken zijn?
Het betreft NAW-gegevens, e-mailadressen en telefoonnumers (geen BSN nummers of ID-kaarten)

 

Waarom zijn mijn gegevens nog opgeslagen?
Vooq. bewaart gegevens met als doel tot een overeenkomst te komen. Door een onjuiste OTYS-instelling zijn sommige gegevens mogelijk te lang bewaard. Wij hebben direct alle gegevens die nog ten onrechte in het systeem stonden verwijderd.

 

Wat aanvullende maatregelen neemt Vooq. naast de maatregelen die Otys genomen heeft?
Vooq. heeft interne wachtwoorden gewijzigd en verouderde gegevens en cv’s uit het systeem verwijderd. Daarnaast hebben wij een melding gedaan bij de Autoriteit Persoonsgegevens conform de geldende meldplicht datalekken en alle betrokkenen op de hoogte gesteld van het beveiligingsincident.

 

Wat kun je zelf doen?
Je hoeft geen actie te ondernemen, maar wees alert op verdachte e-mails, telefoontjes of betaalverzoeken (phishing) en deel geen vertrouwelijke informatie.

 

Vragen?
Neem contact op via administratie@vooq.nl.