Kort geding over datalek: Blauw eist openheid van softwareleverancier Nebu
Een groot datalek kwam vorige week aan het licht, en daarover vindt dinsdagmiddag bij de rechtbank van Rotterdam een kort geding plaats. Marktonderzoeksbureau Blauw wil van softwareleverancier Nebu weten welke data is uitgelekt en hoe dat heeft kunnen gebeuren. Dat bedrijf hult zich tot nu toe in stilzwijgen.
Een aantal grote bedrijven, waaronder VodafoneZiggo, de NS en zorgverzekeraar CZ hebben honderdduizenden klanten gewaarschuwd voor een mogelijk datalek. Persoonsgegevens die zijn gebruikt voor klanttevredenheidsonderzoeken zijn daardoor mogelijk op straat komen te liggen. Het gaat daarbij bijvoorbeeld om de voornaam, achternaam en het e-mailadres.
"We weten nog steeds niet zeker of er persoonlijke gegevens zijn uitgelekt", vertelt Jos Vink, directeur van Blauw aan NU.nl. "We kregen eind maart van onze softwareleverancier Nebu een melding van een datalek. Maar op vragen over welke data is uitgelekt en hoe dat kon gebeuren hebben we geen antwoord meer gekregen."
Gevoelige data, zoals creditcardgegevens, loginnamen of wachtwoorden zijn zeker niet uitgelekt. "Dat soort gegevens verwerken wij niet voor onze onderzoeken", legt Vink uit.
In het kort geding eist Blauw dat de softwareleverancier opening van zaken geeft. "We moeten weten welke gegevens zijn gelekt", legt Vink uit. "Maar ook hoe dat heeft kunnen gebeuren."
Onduidelijk of er data bij de cyberaanval is gestolen
Nebu heeft alleen de mededeling gedaan dat er een cyberaanval heeft plaatsgevonden, zegt Vink. "Maar daarmee weet je nog niets. De belangrijkste vraag is: is er iets weggehaald?"
Softwareleverancier Nebu levert software aan marktonderzoekers in heel Europa. Blauw is volgens Vink dus niet de enige marktonderzoeker die door het datalek is getroffen. "Voor het kort geding tegen Nebu trekken we met meerdere Nederlandse bedrijven samen op."
Al meer dan twintig organisaties met honderdduizenden klanten hebben aangegeven dat ze door het datalek zijn getroffen. Waaronder de NS, VodafoneZiggo, Vrienden van Amstel LIVE, pensioenfonds PME en zorgverzekeraar CZ. Maar ook de Nationale Postcodeloterij, spoorbeheerder ProRail, de Rijksdienst voor Ondernemend Nederland en meerdere woningcorporaties.
Al deze organisaties hebben al een voorlopige melding van een datalek gedaan bij de Autoriteit Persoonsgegevens (AP). Maar zolang niet duidelijk is óf - en zo ja wélke - gegevens zijn gelekt, kan de melding niet definitief gemaakt worden.
Marktonderzoeker zit in een spagaat
"Het kan zijn dat er geen gegevens van ons zijn gelekt", licht Vink toe. "Maar omdat we het niet weten, hebben we onze klanten uit voorzorg op de hoogte gesteld."
Klanten van Blauw zijn bezorgd, boos en worden ondertussen ook steeds ongeduldiger, vertelt Vink. "Wij hebben verantwoordelijkheid naar onze klanten, maar we zitten in een spagaat omdat we totaal geen informatie krijgen van Nebu."
De hoop is dat de softwareleverancier na de uitspraak van de rechter wel thuis geeft. NU.nl heeft ook contact gezocht met Nebu, maar het bedrijf was niet bereikbaar voor commentaar.