139 organisaties melden datalek bij toezichthouder

Dat blijkt uit een inventarisatie, zo vertelt een woordvoerder van de Autoriteit Persoonsgegevens tegenover NU.nl (1)

Nebu ontdekte datalek na 31 uur

Het is bijna een maand geleden dat softwareleverancier Nebu B.V. uit Wormerveer het slachtoffer was van een datalek. Op 10 maart wisten hackers de systemen van het bedrijf binnen te dringen en grasduinden driekwartier persoonlijke gegevens van naar schatting twee miljoen Nederlanders. Informatie als namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en geslacht is daarbij ontvreemd door de daders.

In sommige gevallen hebben ze mogelijk ook financiële gegevens als inkomen en pensioengegevens gestolen. Of de aanvallers ook andere informatie hebben ingezien of buitgemaakt, zoals antwoorden op vragen van digitale vragenlijsten, wordt momenteel onderzocht. Na 31 uur ontdekten medewerkers van Nebu dat er gegevens waren gestolen.

Lijst van slachtoffers

Eind maart, twee weken nadat het datalek aan het licht kwam, lichtte Nebu de eerste klanten in over het voorval. In de daarop volgende dagen vertelde de NS dat er door het lek de persoonsgegevens van zo’n 780.000 treinreizigers waren gestolen. Snel genoeg daarna vertelden VodafoneZiggo, Heineken en zorgverzekeraar CZ dat privégegevens van hun klanten mogelijk eveneens zijn buitgemaakt.

Andere gedupeerden die zich de afgelopen tijd hebben gemeld, zijn onder meer het Internationaal Film Festival Rotterdam (IFFR), de Koninklijke Nederlandse Golf Federatie (NGF), ArboNed, ProRail, het Rotterdamse leerlingenvervoersbedrijf Trevvel, de Nationale Postcode Loterij, de Rijksdienst voor Ondernemend Nederland (RVO), woningcorporaties Stadgenoot, Vivare en Haag Wonen, en pensioenfondsen PME en PFZW.

Deze week waarschuwde de Hogeschool van Amsterdam (HvA) 167 studenten en medewerkers over het datalek. De onderwijsinstelling zei dat er ‘verdachte activiteit’ was waargenomen op de servers waar de gegevens van gedupeerden waren opgeslagen. De hogeschool heeft het incident gemeld bij de Autoriteit Persoonsgegevens.

AP: ‘Datalek kan op grote schaal gevolgen hebben’

Uit onze opsomming blijkt wel dat het datalek bij Nebu veel slachtoffers heeft gemaakt. En dat is nog maar het topje van de ijsberg. De Autoriteit Persoonsgegevens heeft het aantal gedupeerden geïnventariseerd. Wat blijkt? De toezichthouder heeft inmiddels 139 meldingen ontvangen van bedrijven en organisaties die de dupe zijn van de problemen bij de softwareontwikkelaar.

“Dit datalek toont aan op welke schaal een lek gevolgen kan hebben. Het is daarom belangrijk dat bedrijven mensen om wie het gaat snel informeren over het lek, als ze dat nog niet hebben gedaan”, zo zegt een woordvoerder van de toezichthouder tegen NU.nl.

De privacywaakhond heeft de getroffen partijen om opheldering gevraagd over hun contracten met de onderzoeksbureaus en softwareleveranciers. Verder wil de Autoriteit Persoonsgegevens weten welke afspraken ze hebben gemaakt over de beveiliging van privégegevens.

Slachtoffers spannen kort geding aan

Dinsdag spanden marktonderzoeksbureau Blauw en USP Marketing Consultancy een kort geding aan tegen Nebu. Zij vinden dat de softwareontwikkelaar hen onvoldoende heeft geïnformeerd over de gebeurtenissen. Zo is nog altijd onduidelijk welke gegevens door de hackers zijn bemachtigd. “Nebu hult zich bewust in vaagheden en komt de contractuele afspraken en wettelijke verplichtingen niet na. Van een gedegen onderzoek is geen sprake. We hebben er geen vertrouwen meer in”, zei de advocaat tijdens de zitting.

De advocaat van Nebu erkende dat de communicatie te wensen overliet. “Het cyberincident is momenteel Nebu’s grootste prioriteit. Maar als zaken nog niet duidelijk voor Nebu zijn, kan van Nebu niet worden verwacht informatie te verstrekken. De bij hen ontstane ophef is te begrijpen, maar de uitingen die ze in de media doen zijn onjuist.”

Vandaag doet de rechter uitspraak.

1. https://www.nu.nl/tech/6258327/al-139-organisaties-melden-dat-ze-getroffen-zijn-door-datalek.html