De recruitmentsector heeft de afgelopen jaren een reeks security-incidenten meegemaakt. Zo werd recent OTYS gehackt. Op 11 februari slaagden aanvallers erin vanuit de OTYS-omgeving een phishingcampagne per e-mail te lanceren. Binnen een uur werd de ongeautoriseerde toegang geblokkeerd en werden klanten ingelicht. De incidenten zijn divers van aard, maar hebben één gemeenschappelijke noemer: recruitmentplatforms verzamelen per definitie grote hoeveelheden persoonsgegevens en zijn daardoor een aantrekkelijk doelwit.
Phishingcampagne via upload-kwetsbaarheid (februari 2026)
Het meest recente Nederlandse voorbeeld speelt zich af bij OTYS. Op 8 februari 2026 werden de eerste kwaadaardige scripts uitgevoerd via een upload-functionaliteit in het OTYS-systeem. Op 11 februari slaagden aanvallers erin vanuit de OTYS-omgeving een phishingcampagne per e-mail te lanceren. Binnen een uur werd de ongeautoriseerde toegang geblokkeerd en werden klanten ingelicht.
Uit onderzoek blijkt dat in sommige gevallen toegang is verkregen tot e-mailadressen van gebruikers, kandidaten en contactpersonen die in de database waren opgeslagen. Voor een beperkt aantal klanten zijn ook andere gegevens geraadpleegd; deze klanten zijn persoonlijk geïnformeerd. Wachtwoorden, financiële gegevens of identificatiedocumenten zijn volgens OTYS niet buitgemaakt.
Social engineering
OTYS heeft de upload-functionaliteit uitgeschakeld en werkt samen met forensische IT-experts aan het onderzoek. Het bedrijf zegt tevens melding te doen bij de Autoriteit Persoonsgegevens. De phishingmail die rondging, leek afkomstig van het domein otys.nl en beweerde dat de beveiligingsapparatuur van de ontvanger verouderd was. Een klassieke social engineering-tactiek, maar des te geloofwaardiger omdat de mail daadwerkelijk vanuit een vertrouwde omgeving werd verstuurd.
150.000 cv’s ingezien en mogelijk gedownload (mei 2024)
In mei 2024 ontdekte het UWV dat één partij via werk.nl toegang had verkregen tot 150.000 cv’s en deze mogelijk had gedownload. Werk.nl is het platform waar werkzoekenden een cv kunnen plaatsen en werkgevers deze kunnen inzien om vacatures te vervullen. Er bestond geen limiet op het aantal cv’s dat werkgevers konden bekijken; het was alleen niet de bedoeling dit op deze schaal te doen.
“Het is zeer kwalijk dat er vermoedelijk voor oneigenlijk gebruik op zulke grote schaal cv’s zijn ingezien en mogelijk gedownload”, zo zei Judith Duveen, directeur Werkbedrijf bij het UWV, tegenover de NOS. De Autoriteit Persoonsgegevens wees op de rijkdom van de buitgemaakte data. “Als je die combineert met andere data kan je echt een uitgebreid profiel opbouwen met het oog op oplichten, bijvoorbeeld door heel gerichte phishingmails.”
Het was niet de eerste keer. In 2019 werden al 117.000 cv’s gedownload van dezelfde website. Na dat incident installeerde het UWV monitoringssoftware, die het nieuwe incident uiteindelijk ook opspoorde.
Cv’s onbeschermd op open cloudopslag bij vijftig Nederlandse organisaties (2024)
In het voorjaar van 2024 onthulde BNR dat minstens vijftig Nederlandse organisaties ongemerkt gevoelige recruitmentdata openbaar hadden staan. Met behulp van de scantool Gray Hat Warfare ontdekte de radiozender duizenden cv’s en sollicitatiebrieven op onbeveiligde cloudopslag van Amazon, Azure en Google.
Eén van de onderzochte gevallen betrof een reisbureau. De oorzaak? Wervingssoftware was drie jaar eerder naar de cloud verplaatst — en daarbij waren bestanden per ongeluk openbaar terechtgekomen. Bijna de helft van de aangesproken organisaties ondernam direct actie door de servers af te sluiten.
Eward Driehuis van cybersecuritycommunity CSIRT Global stelde tegenover BNR dat het probleem mogelijk nog ‘duizend keer zo groot’ is als wat naar boven is gekomen.
Eward Driehuis van cybersecuritycommunity CSIRT Global stelde tegenover BNR dat het probleem mogelijk nog ‘duizend keer zo groot’ is als wat naar boven is gekomen.
Recruitmentplatforms een aantrekkelijk doelwit
De incidenten wijzen op een structureel vraagstuk. Recruitmentplatforms bevatten per definitie grote hoeveelheden persoonsgegevens van kandidaten, vaak ook van mensen die niet zijn aangenomen en wier data soms jaren in systemen blijft staan. Tegelijk worden deze systemen beheerd door bureaus en bedrijven die security doorgaans niet als kerncompetentie hebben.
De juridische verantwoordelijkheidsverdeling maakt het er niet eenvoudiger op. Een recruitmenttechbedrijf als OTYS treedt op als verwerker onder de AVG, níet als verwerkingsverantwoordelijke. Dat betekent dat de plicht om getroffen kandidaten te informeren bij de klant (het bureau of het bedrijf) ligt, niet bij de leverancier. In de praktijk zorgt dit voor vertraging en onduidelijkheid op het moment dat een incident zich voordoet.
OTYS bedrijf bood klanten alle relevante informatie aan om hun eigen verplichtingen na te komen, maar kon zelf geen contact opnemen met de betrokken kandidaten.
Dat was ook zichtbaar bij het OTYS-incident: het bedrijf bood klanten alle relevante informatie aan om hun eigen verplichtingen na te komen, maar kon zelf geen contact opnemen met de betrokken kandidaten.
