Vorige week ontstond tumult rond datalekken in dienstverleningsonderzoek voor bedrijven. Blauw was het eerste – maar niet het enige – bureau dat slachtoffer werd van een softwareprobleem van een toeleverancier. En grote opdrachtgevers werden er in meegesleept. Vandaag, dinsdag 4 april, dient een kort geding dat Blauw heeft aangespannen tegen NEBU, de leverancier van de software.
Het datalek betrof namen, telefoonnummers en mailadressen die werden gebruikt bij het evalueren van de dienstverlening van bedrijven. Het gaat niet om financiële klantgegevens of inloggegevens, die – als ze in verkeerde handen vallen – gebruikt kunnen worden voor criminele activiteiten. Meteen kwam er wel een waarschuwingsactie op gang van bedrijven, die hun klanten opriepen om scherp op te letten op verdachte phishingmails of telefoontjes. Ook in de diverse dagbladen en op sites werd uitvoerig uitgelegd hoe je misbruik van data kunt herkennen en wat je er tegen kunt doen.
Duidelijkheid gevraagd
Tot de getroffen bureaus behoren naast Blauw ook USP en Mobiel Centre. Directeur Jan Paul Schop van USP schat dat tussen vijf en tien bureaus zijn getroffen door de softwarefout. Bij USP gaat het om 500.000 mailadressen van 52 organisaties. Blauw zelf doet onderzoek voor 14 organisaties en daar gaat het om 700.000 tot 800.000 adressen van onder andere VodafoneZiggo, Heineken, NS en CZ.
Blauw-directeur Jos Vink vroeg NEBU om uitleg over het probleem. NEBU, tegenwoordig in handen van het Canadese Enghouse Systems, gaf geen duidelijkheid over het IT-probleem, en dat was voor Vink reden om naar de rechter te stappen. Blauw wil weten om welke persoonsgegevens het precies gaat en hoe de fout is ontstaan. Het bureau heeft een verwerkersovereenkomst met NEBU. Andere getroffen bureaus scharen zich achter de juridische stappen van Blauw.
Veiligheidsvoorschriften
Het Data & Insights Network (D&IN) liet al snel in een persbericht weten dat de onderzoeksbranche het lekken zeer betreurt, en wees er ook op dat het probleem op meer plekken in de maatschappij optreedt. In 2021 werden er bijna 25.000 datalekken gemeld bij de Autoriteit Persoonsgegevens, waarvan een substantieel deel ontstond bij softwareleveranciers. Ook Blauw en andere getroffen bureaus hebben een (verplichte) melding gedaan bij de Autoriteit Persoonsgegevens. Binnen de marktonderzoekbranche gelden gedragscodes en de strengste ISO-certificeringen, en er is een jaarlijkse controle door de Stichting Toetsingsbureau KCC op het naleven van de zeer strenge veiligheidsvoorschriften.
‘Een storing’
Afgelopen vrijdag 31 maart meldde het D&IN dat er iets meer informatie is over het datalek. Het blijkt dat al op 11 maart ‘een storing’ aan de systemen bij NEBU werd geconstateerd. Na de schriftelijke melding aan Blauw op 24 maart, werd het lek op de 27ste aan meerdere bureaus bevestigd door NEBU. Volgens mededeling van Enghouse Systems is er waarschijnlijk sprake geweest van een cyberaanval, waarbij persoonsgegevens mogelijk in verkeerde handen terecht zijn gekomen. Daarop hebben de onderzoekbureaus hun opdrachtgevers geïnformeerd en kwam het lek in de publiciteit.
‘Datalek van beperkte duur’
Ook op 31 maart kwam bij een aantal bureaus informatie binnen waaruit moet blijken dat de onrechtmatige toegang tot de servers van NEBU slechts ‘van korte duur’ zou zijn geweest. Maar het is tot op heden niet bekend welke data is gedownload en gedurende hoeveel tijd. In het algemeen: als er geen data is gedownload, dan is er ook geen sprake van een datalek. Is er wel data gedownload, dan is de vraag hoeveel data mogelijkerwijs is gedownload en welke data.
Het kort geding dient op dinsdagmiddag bij de Rechtbank Rotterdam.