Zestien rijksoverheidsorganisaties zijn getroffen door het datalek bij softwarebedrijf Nebu. Welke partij aansprakelijk is voor het datalek is nog onduidelijk. Ook is nog altijd onbekend hoe groot het datalek is. Dat heeft staatssecretaris Van Huffelen van Digitalisering laten weten. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken.

Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt. Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken.

Naar aanleiding van de situatie en dat bedrijven data van hun klanten met externe leveranciers delen, stelde het CDA Kamervragen. Kamerlid Slootweg wilde onder andere een update over de omvang van het datalek. Twee maanden na de eerste berichten over het datalek zijn nog altijd geen aantallen beschikbaar. "Op dit moment is het onduidelijk hoeveel klanten, bedrijven en organisaties in Nederland zijn getroffen door het datalek", laat Van Huffelen weten.

Binnen de rijksoverheid zijn voor zover bekend zestien organisaties geraakt, een aantal daarvan maakt gebruik van meerdere bureaus voor marktonderzoek. Het gaat onder andere om het ministerie van Economische Zaken, TNO, de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het ministerie van Onderwijs en de Huurcommissie.

"Betrokkenen binnen de Rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer enquêteresultaten/inhoud onderzoek", voegt de staatssecretaris toe. "Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens."

Het datalek bij de rijksoverheidsorganisaties raakt burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, e-mailadres en de resultaten van een onderzoek.

Aansprakelijk

Slootweg vroeg de staatssecretaris verder wie er volgens haar aansprakelijk voor het datalek is. "Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd", reageert Van Huffelen.