Beveiligingsincident recruitmentleverancier (OTYS)

Wat is er gebeurd?

Op 11 februari 2026 heeft OTYS, het recruitment systeem dat door Vooq. wordt gebruikt, een beveiligingsincident gemeld. In eerste instantie leek het te gaan om het versturen van een algemene phishing mail vanuit het OTYS-systeem naar veel e-mailadressen die in hun systemen stonden opgeslagen.

Op 13 februari 2026 liet OTYS weten dat Vooq. tot een kleine groep klanten behoort waarbij gedurende korte tijd inzage is geweest in de database. OTYS gaf toen aan dat er geen gegevens waren gedownload, aangepast of verwijderd. Omdat er niets is gedownload heeft Vooq. een dossier opgemaakt, haar procedures aangescherpt en alle verouderde gegevens verwijderd.

Op 19 februari 2026 heeft OTYS, na extern forensisch onderzoek, laten weten dat het mogelijk is dat er toch gegevens zijn gedownload. Daarom heeft Vooq. een melding gedaan bij de Autoriteit Persoonsgegevens.

Welke maatregelen heeft OTYS genomen?

  • De onbevoegde toegang is volledig beëindigd
  • De kwetsbaarheid is geïdentificeerd en structureel verholpen
  • Aanvullende beveiligingsmaatregelen zijn direct geïmplementeerd
  • Verhoogde monitoring is actief ingericht
  • Er zijn geen aanwijzingen dat data is gemanipuleerd of verwijderd
  • Wij kunnen géén specificaties aanleveren welke data wél of niet gedownload is


Wie kunnen betrokken zijn?
Kandidaten die bij ons gesolliciteerd hebben en relaties die in ons Otys bestand stonden. Wij hebben alle betrokken kandidaten inmiddels op de hoogte gesteld per e-mail.


Zijn gegevens daadwerkelijk gelekt?

Dat is niet met zekerheid vast te stellen. Mogelijk zijn gegevens ingezien of gedownload, maar er zijn geen aanwijzingen dat data is aangepast of verwijderd.

 

Welke gegevens kunnen betrokken zijn?
Het betreft NAW-gegevens, e-mailadressen en telefoonnumers (dus geen BSN nummers of ID-kaarten)

 

Waarom zijn mijn gegevens nog opgeslagen?
Vooq. bewaart gegevens met als doel tot een overeenkomst te komen. Door een onjuiste OTYS-instelling zijn sommige gegevens mogelijk te lang bewaard. Wij hebben direct alle gegevens die nog ten onrechte in het systeem stonden verwijderd.

 

Wat aanvullende maatregelen neemt Vooq. naast de maatregelen die Otys genomen heeft?
Vooq. heeft interne wachtwoorden gewijzigd en verouderde gegevens en cv’s uit het systeem verwijderd. Daarnaast hebben wij een melding gedaan bij de Autoriteit Persoonsgegevens conform de geldende meldplicht datalekken en alle betrokkenen op de hoogte gesteld van het beveiligingsincident.

 

Wat kun je zelf doen?
Je hoeft geen actie te ondernemen, maar wees alert op verdachte e-mails, telefoontjes of betaalverzoeken (phishing) en deel geen vertrouwelijke informatie.

 

Vragen?
Neem contact op via administratie@vooq.nl.