image

Staatssecretaris: NS wist dat Blauw samenwerkte met softwarebedrijf Nebu

maandag 15 mei 2023, 12:24 door Redactie, 7 reacties

De Nederlandse Spoorwegen (NS) wist dat marktonderzoeksbureau Blauw samenwerkte met softwarebedrijf Nebu en had hier in de verwerkersovereenkomst ook toestemming voor gegeven, zo heeft staatssecretaris Heijnen van Infrastructuur en Waterstaat laten weten. De VVD had Heijnen om opheldering gevraagd over het datalek bij Nebu, waardoor de gegevens van 780.000 treinreizigers mogelijk op straat zijn beland.

Nebu biedt software waar marktonderzoeksbureaus voor hun onderzoeken gebruik van maken. In maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij data was buitgemaakt. Het gaat daarbij ook om gegevens van de marktonderzoeksbureau die bij het softwarebedrijf klant zijn, maar het is nog altijd onduidelijk welke data het precies betreft.

"NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen", zo stelt de staatssecretaris. Ze voegt toe dat NS met Blauw een verwerkersovereenkomst had gesloten, waarin ook afspraken stonden over het inschakelen van Nebu.

VVD-Kamerleden Minhas en Rajkowski wilden verder van de staatssecretaris weten of ze vindt dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen. "De AVG verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven", reageert Heijnen.

Minhas en Rajkowski vroegen ook wat de staatssecretaris gaat doen om te voorkomen dat belangrijke klantgegevens in de toekomst zonder strenge regels door externe partijen kunnen worden gebruikt. "Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt", laat Heijnen daarop weten.

Blauw spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wil hebben. De rechter gaf Blauw begin april gelijk en oordeelde dat Nebu de informatie moet verstrekken. Ruim een maand later zijn er nog altijd geen details over de aanval openbaar geworden. Inmiddels hebben al 156 organisaties, als gevolg van de aanval op Nebu, bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt.

Reacties (7)
15-05-2023, 14:39 door Anoniem
De NS neemt overigens dit datalek niet bijster serieus (dat geldt overigens daar voor het algeheel qua privacy). Het is tot nu bij één nietszeggende e-mail gebleven.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.
15-05-2023, 14:57 door Anoniem
Relevant lijkt me om vast te stellen waar precies de filtering plaatsvindt van klantinfo richting dit soort externe bedrijven.
Stuurt het bedrijf wat een tevredenheidsonderzoek wil houden gewoon de gegevens van AL hun klanten naar zo'n
bedrijf, evt voorzien van een vlaggetje "deze klant wil ja/nee benaderd worden" en andere info zoals "deze klant heeft
het afgelopen jaar wat bij ons gekocht", of filtert men zelf al op dat soort criteria voor men de lijst samenstelt die naar
het externe bedrijf gaat.
Dit geldt van voor (in dit geval) NS richting Blauw, en OOK voor (in alle gevallen) Blauw richting Nebu.

Nu wordt er in de media dubbelzinnig gesproken over "klanten die mee deden met een onderzoek", maar is dat wel
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?
15-05-2023, 16:22 door Anoniem
Hoezo zonder strenge regels...
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
15-05-2023, 16:48 door Anoniem
Door Anoniem: De NS neemt overigens dit datalek niet bijster serieus (dat geldt overigens daar voor het algeheel qua privacy). Het is tot nu bij één nietszeggende e-mail gebleven.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.

Hierin staat NS niet alleen.
De meeste bedrijven sturen nietszeggende brieven naar hun klanten als er iets mis is gegaan.
Hoe meer je praat hoe meer vragen het oproept en hoe groter het risico dat je aansprakelijk wordt gesteld.
Die bedrijven hebben juridische adviseurs in dienst die wel weten hoe je de boot moet afhouden.
15-05-2023, 17:36 door Anoniem
Door Anoniem: De NS neemt overigens dit datalek niet bijster serieus (dat geldt overigens daar voor het algeheel qua privacy).
En kwa klanten in het algemeen. Vandaag weer: bent u geen fan van Feyenoord ga dan niet met de trein naar Rotterdam.
Alsof je dan geen klant bent ofzo.
15-05-2023, 19:36 door Anoniem
Door Anoniem: Hoezo zonder strenge regels...
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
Dat AP geen mededelingen doet over een lopend onderzoek betekent niet dat dat onderzoek niet loopt. Dit is zo omvangrijk en belangrijk dat je er gif op kan innemen dat ze er volop mee bezig zijn.

Dit soort onderzoeken kost sowieso een hoop tijd. AP moet grondig, zorgvuldig en secuur zijn, want als het op sancties aan komt dan moet het niet zo zijn dat die makkelijk met een gang naar de rechter onderuit kunnen worden geschoffeld. De onderbouwing moet sterk zijn, en voor een sterke onderbouwing moet het onderzoek degelijk zijn. En de bedrijven krijgen kans om te reageren op de bevindingen, er hun (juridische) opvatting over te geven, en AP moet dan die opvatting weer serieus onderzoeken om te kijken of ze geen punt hebben. Er gaat het nodige heen en weer en ook dat kost veel tijd.

Met 156 bedrijven die een melding hebben gedaan, Nebu dat mogelijk niet meewerkt (als ze zich net zo opstellen als tegenover hun klanten) en zijn ontwikkelaars niet in Nederland maar in Hongarije heeft zitten, is het ook nog eens een buitengewoon complex geheel om te onderzoeken, zelfs al is volkomen duidelijk dat het bij Nebu mis is gegaan.

Mij zou het niets verbazen als het nog een jaar of langer duurt voordat AP met resultaten naar buiten treedt.

Ter vergelijking: misschien is het je niet opgevallen, maar het treinongeluk in Voorschoten is al bijna anderhalve maand geleden en je hoort niets van de Onderzoeksraad voor Veiligheid. Als je op hun website naar eerdere treinongelukken kijkt zie je dat een onderzoek ernaar vaak 10 tot 16 maanden duurt. Ook die komen pas met resultaten naar buiten als ze het hebben afgerond.

Serieus onderzoek doen naar complexe situaties vergt domweg heel veel tijd.
17-05-2023, 09:19 door -Peter-
Door Anoniem:Nu wordt er in de media dubbelzinnig gesproken over "klanten die mee deden met een onderzoek", maar is dat wel
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?

Ik heb niet meegedaan aan een onderzoek, maar heb dus wel die mail van NS gekregen. Ik heb een zakelijk account via mijn werkgever. Is dit nu een datalek dat ook door mijn werkgever gemeld dient te worden?

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.