Wereldwijd datalek groter dan gedacht: ‘Niet eerder voorgekomen’

Het datalek bij softwareleverancier Nebu, waardoor veel marketingbureaus zijn getroffen, is "wereldwijd uniek en niet eerder voorgekomen". Dat zegt Wim van Slooten, de directeur van branchevereniging voor marketingbureaus MOA. Hij heeft tot nu toe van "een stuk of vijf" marketingonderzoekers begrepen dat zij getroffen zijn door het datalek.

Het datalek bij softwareleverancier Nebu, waardoor veel marketingbureaus zijn getroffen, is "wereldwijd uniek en niet eerder voorgekomen". Dat zegt Wim van Slooten, de directeur van branchevereniging voor marketingbureaus MOA. Hij heeft tot nu toe van "een stuk of vijf" marketingonderzoekers begrepen dat zij getroffen zijn door het datalek.

Een inschatting van de hoeveelheid gelekte data kan Van Slooten echter niet geven. "Doorsnee onderzoeksbureaus werken met steekproeven die soms best overzichtelijk zijn. Maar het kan ook zijn dat daar wel degelijk grote klanten bij zitten." Van de bedrijven die aangeven getroffen te zijn door het datalek, loopt de hoeveelheid gedupeerde klanten dan ook uiteen. Zo zijn via de NS de gegevens van mogelijk 780.000 mensen buitgemaakt, via zorgverzekeraar CZ de gegevens van ruim 3000 klanten.

Van Slooten geeft verder aan dat het datalek niet alleen directe gevolgen heeft voor marketingbureaus, maar ook indirect mensen kan treffen. Sommige bureaus, die niet met Nebu-software werken, besteden namelijk bepaalde onderzoeken uit aan andere bedrijven. De marketingbedrijven die deze onderzoeken vervolgens uitvoeren, kunnen op hun beurt wel werken met software van Nebu.

Nebu communiceert weinig

Onder signalen die Van Slooten ontving waren ook berichten dat Nebu maar weinig informatie doorgaf aan de onderzoeksbedrijven. "Dat vind ik een kwalijke zaak. Bureaus moesten veel druk uitoefenen op de softwareleverancier voor meer informatie, maar kregen die maar met mondjesmaat." Mogelijk dat dit te maken heeft met de communicatie tussen Nebu en het Canadese moederbedrijf Enghouse. Zowel Nebu als Enghouse was vooralsnog onbereikbaar voor commentaar.

Voor de marketingbureausector is de situatie erg vervelend, stelt Van Slooten. "Alle bureaus zijn gecertificeerd voor databeveiliging, dit ligt buiten hun macht. Het had niet mogen gebeuren." Wel wijst de branchevereniging haar leden erop extra controles uit te voeren. Daarbij kan bijvoorbeeld gekeken worden naar de samenwerkingen met softwarebedrijven, maar ook naar verzekeringen. "Als zoiets gebeurt buiten je schuld om, ben je daar als bedrijf dan voor verzekerd?", is de vraag die Van Slooten neerlegt bij de marketingonderzoekers.

Woningcorporaties roepen op: 'let op!'

De persoonsgegevens van zo'n 100.000 tot 150.000 mensen in Nederland zijn mogelijk gelekt via marktonderzoeksbureau USP. Dit zegt directeur Jan-Paul Strop, volgens hem zijn vijf tot tien andere grote Nederlandse marktbureau's getroffen door hetzelfde lek, waaronder marktonderzoeker Blauw.

De woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) zeggen dat gegevens van hun huurders mogelijk ook getroffen zijn. Beide organisaties maken gebruik van USP. Gegevens als namen, woonadressen, mailadressen en telefoonnummers van mensen die zijn uitgenodigd voor klanttevredenheidsonderzoeken zijn mogelijk gelekt. Bankgegevens en wachtwoorden zijn niet gelekt. De corporaties vragen hun huurders om op te letten op brieven, telefoontjes en mails.

ArboNed, Trevvel en de Nederlandse Golffederatie

Ook gegevens van mensen die arbeidsongeschikt zijn, liggen mogelijk op straat door een datalek bij een marktonderzoeksbureau. Dat meldt ArboNed, een arbodienst voor het midden- en kleinbedrijf. De organisatie zegt niet om hoeveel klanten het gaat.

Ook klanten van Trevvel, dat leerlingen- en zorgvervoer in Rotterdam en omstreken uitvoert, zijn mogelijk getroffen. ArboNed en Trevvel werken samen met marktonderzoeksbureau Blauw, dat onderzoek doet naar klanttevredenheid.

Ook bij de Nederlandse Golffederatie (NGF) zijn gegevens van leden mogelijk op straat komen te liggen. Dat komt door een lek in het softwareprogramma voor een enquête waaraan ze onlangs meededen. Het gaat om 107.000 golfers van 29 verenigingen, meldt de federatie.

Rijksoverheid vooralsnog niet de klos

Er zijn "vooralsnog geen signalen" dat de Rijksoverheid is geraakt door het grote datalek bij marktonderzoeksbureau USP, zegt Alexandra van Huffelen (Digitalisering) via haar woordvoerder. De bewindsvrouw zegt de situatie "nauwlettend" in de gaten te houden.

Bij een groot datalek is het aan Aart Jochem, verantwoordelijk voor informatieveiligheid bij het ministerie van Binnenlandse Zaken, om na te gaan of ministeries of andere instellingen binnen de landelijke overheid zijn geraakt. De overheid schakelt regelmatig externe bureaus in voor allerlei klussen en zou dus ook slachtoffer kunnen worden van een dergelijk datalek, al lijkt daar nu geen sprake van.

Mogelijk nog meer lekken

De Autoriteit Persoonsgegevens (AP) sluit niet uit dat meer bedrijven en organisaties zich zullen melden waarvan klantgegevens mogelijk op straat komen te liggen als gevolg van een groot datalek bij een softwareleverancier. Een woordvoerder van de privacytoezichthouder zegt dat bedrijven zich ook meer bewust moeten zijn van hun verantwoordelijkheid bij het doorgeven van persoonsgegevens.

"Het is duidelijk dat dit onze grote aandacht heeft, we proberen het beeld over het lek scherper te krijgen", zegt de woordvoerder van de AP. Volgens hem moeten bedrijven extra aandacht besteden aan het beschermen van persoonsgegevens die ze hebben verzameld. "Dan denk je, dat is een open deur. Maar wees je er ook bewust van dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens wanneer je ze doorgeeft voor een marktonderzoek."