Staatssecretaris: NS wist dat Blauw samenwerkte met softwarebedrijf Nebu
De Nederlandse Spoorwegen (NS) wist dat marktonderzoeksbureau Blauw samenwerkte met softwarebedrijf Nebu en had hier in de verwerkersovereenkomst ook toestemming voor gegeven, zo heeft staatssecretaris Heijnen van Infrastructuur en Waterstaat laten weten. De VVD had Heijnen om opheldering gevraagd over het datalek bij Nebu, waardoor de gegevens van 780.000 treinreizigers mogelijk op straat zijn beland.
Nebu biedt software waar marktonderzoeksbureaus voor hun onderzoeken gebruik van maken. In maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij data was buitgemaakt. Het gaat daarbij ook om gegevens van de marktonderzoeksbureau die bij het softwarebedrijf klant zijn, maar het is nog altijd onduidelijk welke data het precies betreft.
"NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen", zo stelt de staatssecretaris. Ze voegt toe dat NS met Blauw een verwerkersovereenkomst had gesloten, waarin ook afspraken stonden over het inschakelen van Nebu.
VVD-Kamerleden Minhas en Rajkowski wilden verder van de staatssecretaris weten of ze vindt dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen. "De AVG verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven", reageert Heijnen.
Minhas en Rajkowski vroegen ook wat de staatssecretaris gaat doen om te voorkomen dat belangrijke klantgegevens in de toekomst zonder strenge regels door externe partijen kunnen worden gebruikt. "Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt", laat Heijnen daarop weten.
Blauw spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wil hebben. De rechter gaf Blauw begin april gelijk en oordeelde dat Nebu de informatie moet verstrekken. Ruim een maand later zijn er nog altijd geen details over de aanval openbaar geworden. Inmiddels hebben al 156 organisaties, als gevolg van de aanval op Nebu, bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.
Stuurt het bedrijf wat een tevredenheidsonderzoek wil houden gewoon de gegevens van AL hun klanten naar zo'n
bedrijf, evt voorzien van een vlaggetje "deze klant wil ja/nee benaderd worden" en andere info zoals "deze klant heeft
het afgelopen jaar wat bij ons gekocht", of filtert men zelf al op dat soort criteria voor men de lijst samenstelt die naar
het externe bedrijf gaat.
Dit geldt van voor (in dit geval) NS richting Blauw, en OOK voor (in alle gevallen) Blauw richting Nebu.
Nu wordt er in de media dubbelzinnig gesproken over "klanten die mee deden met een onderzoek", maar is dat wel
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.
Hierin staat NS niet alleen.
De meeste bedrijven sturen nietszeggende brieven naar hun klanten als er iets mis is gegaan.
Hoe meer je praat hoe meer vragen het oproept en hoe groter het risico dat je aansprakelijk wordt gesteld.
Die bedrijven hebben juridische adviseurs in dienst die wel weten hoe je de boot moet afhouden.
Alsof je dan geen klant bent ofzo.
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
Dit soort onderzoeken kost sowieso een hoop tijd. AP moet grondig, zorgvuldig en secuur zijn, want als het op sancties aan komt dan moet het niet zo zijn dat die makkelijk met een gang naar de rechter onderuit kunnen worden geschoffeld. De onderbouwing moet sterk zijn, en voor een sterke onderbouwing moet het onderzoek degelijk zijn. En de bedrijven krijgen kans om te reageren op de bevindingen, er hun (juridische) opvatting over te geven, en AP moet dan die opvatting weer serieus onderzoeken om te kijken of ze geen punt hebben. Er gaat het nodige heen en weer en ook dat kost veel tijd.
Met 156 bedrijven die een melding hebben gedaan, Nebu dat mogelijk niet meewerkt (als ze zich net zo opstellen als tegenover hun klanten) en zijn ontwikkelaars niet in Nederland maar in Hongarije heeft zitten, is het ook nog eens een buitengewoon complex geheel om te onderzoeken, zelfs al is volkomen duidelijk dat het bij Nebu mis is gegaan.
Mij zou het niets verbazen als het nog een jaar of langer duurt voordat AP met resultaten naar buiten treedt.
Ter vergelijking: misschien is het je niet opgevallen, maar het treinongeluk in Voorschoten is al bijna anderhalve maand geleden en je hoort niets van de Onderzoeksraad voor Veiligheid. Als je op hun website naar eerdere treinongelukken kijkt zie je dat een onderzoek ernaar vaak 10 tot 16 maanden duurt. Ook die komen pas met resultaten naar buiten als ze het hebben afgerond.
Serieus onderzoek doen naar complexe situaties vergt domweg heel veel tijd.
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?
Ik heb niet meegedaan aan een onderzoek, maar heb dus wel die mail van NS gekregen. Ik heb een zakelijk account via mijn werkgever. Is dit nu een datalek dat ook door mijn werkgever gemeld dient te worden?
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
