Hoeveel klanten, bedrijven en organisaties er door het datalek bij softwareleverancier Nebu zijn getroffen, is nog altijd onbekend. Binnen de Rijksoverheid zijn er, voor zover bekend, zestien organisaties geraakt door het lek. Waar relevant, is melding gedaan bij de Autoriteit Persoonsgegevens. Dat schrijven minister voor Rechtsbescherming Franc Weerwind en staatssecretaris van Digitalisering Alexandra van Huffelen in reactie op schriftelijke vragen van Evert Jan Slootweg (CDA).
Half maart wisten hackers de computersystemen van Nebu B.V. uit Wormerveer te infiltreren. In ongeveer driekwartier tijd stalen ze persoonsgegevens en andere data van naar schatting twee miljoen Nederlanders, waaronder namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata, geslacht en nationaliteit. Ook financiële informatie als inkomen en pensioengegevens werd bij enkele organisaties gestolen. Na 31 uur ontdekten medewerkers van het softwarebedrijf dat er vertrouwelijke gegevens waren ontvreemd.
Eind maart lichtte Nebu B.V. de eerste slachtoffers in over het incident. De NS was de eerste partij die openheid van zaken gaf. Het spoorwegbedrijf vertelde dat er privégegevens van ongeveer 780.000 treinreizigers waren gestolen door hackers. Na de NS vertelden VodafoneZiggo, Heineken en zorgverzekeraar CZ dat hen hetzelfde was overkomen.
Andere gedupeerden van het datalek bij Nebu B.V. zijn onder meer het Internationaal Film Festival Rotterdam (IFFR), de Koninklijke Nederlandse Golf Federatie (NGF), ArboNed, ProRail, het Rotterdamse leerlingenvervoersbedrijf Trevvel, de Nationale Postcode Loterij, woningcorporaties Stadgenoot, Vivare en Haag Wonen, en pensioenfondsen PME en PFZW.
Begin april spande marktonderzoeker Blauw een kort geding aan tegen Nebu. Het marktonderzoeksbureau vond dat de softwareontwikkelaar te weinig details prijsgaf over de gebeurtenissen en eiste meer helderheid. De rechtbank stelde Blauw in het gelijk en oordeelde dat het bedrijf recht heeft op alle beschikbare informatie over de cyberaanval en het datalek.
Het voorval was voor Tweede Kamerlid Evert Jan Slootweg (CDA) aanleiding om schriftelijke vragen te stellen aan het kabinet. Hij vroeg zich onder meer af hoeveel klanten en organisaties getroffen zijn door het datalek, en wie er verantwoordelijk is voor de data die een klant met het bedrijf deelt.
Op de eerste vraag moeten minister Weerwind en Staatssecretaris Van Huffelen het antwoord schuldig blijven. Wel melden de bewindslieden dat er binnen de Rijksoverheid zestien organisaties door het datalek zijn geraakt. Het gaat om onder meer het ministerie van Economische Zaken en Klimaat (EZK), de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO), de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het ministerie van Onderwijs, Cultuur en Wetenschap (OCW), de Koninklijke Bibliotheek (KB), de Huurcommissie (DHC), de Dienst Publieke Communicatie (DPC) en de Raad voor Rechtsbijstand (RvR).
De omvang van het datalek verschilt per organisatie, zo benadrukken de minister en staatssecretaris. Bij één organisatie zijn privégegevens van één medewerker buitgemaakt. Bij een onderzoeksbureau zijn de gegevens van 22.000 burgers gelekt. “Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens”, aldus de bewindslieden.
Op de vraag wie er aansprakelijk is voor het datalek, wordt nog onderzoek gedaan. “Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd”, schrijven minister Weerwind en staatssecretaris Van Huffelen.
Ze benadrukken dat er geen wettelijke kaders zijn die vastleggen hoe organisaties en bedrijven met bepaalde gegevens moeten omgaan. Er zijn daarentegen wel beginselen die bepalen dat instanties ‘passende technische en organisatorische maatregelen’ moeten treffen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, verlies, vernietiging of beschadiging.
“Ieder bedrijf en elke (overheids)organisatie die onder het toepassingsbereik van de AVG valt, dient uitvoering te geven aan dit beginsel door invulling te geven aan alle verplichtingen voor die partij zoals opgenomen in de AVG, zoals de verplichting om persoonsgegevens te beveiligen. Binnen de kaders van de wet is het de eigen verantwoordelijkheid van bedrijven om hun weerbaarheid te verhogen”, zo stellen de minister en staatssecretaris.
