image

Zestien rijksoverheidsorganisaties getroffen door datalek bij Nebu

dinsdag 30 mei 2023, 11:48 door Redactie, 6 reacties

Zestien rijksoverheidsorganisaties zijn getroffen door het datalek bij softwarebedrijf Nebu. Welke partij aansprakelijk is voor het datalek is nog onduidelijk. Ook is nog altijd onbekend hoe groot het datalek is. Dat heeft staatssecretaris Van Huffelen van Digitalisering laten weten. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken.

Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt. Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken.

Naar aanleiding van de situatie en dat bedrijven data van hun klanten met externe leveranciers delen, stelde het CDA Kamervragen. Kamerlid Slootweg wilde onder andere een update over de omvang van het datalek. Twee maanden na de eerste berichten over het datalek zijn nog altijd geen aantallen beschikbaar. "Op dit moment is het onduidelijk hoeveel klanten, bedrijven en organisaties in Nederland zijn getroffen door het datalek", laat Van Huffelen weten.

Binnen de rijksoverheid zijn voor zover bekend zestien organisaties geraakt, een aantal daarvan maakt gebruik van meerdere bureaus voor marktonderzoek. Het gaat onder andere om het ministerie van Economische Zaken, TNO, de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het ministerie van Onderwijs en de Huurcommissie.

"Betrokkenen binnen de Rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer enquêteresultaten/inhoud onderzoek", voegt de staatssecretaris toe. "Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens."

Het datalek bij de rijksoverheidsorganisaties raakt burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, e-mailadres en de resultaten van een onderzoek.

Aansprakelijk

Slootweg vroeg de staatssecretaris verder wie er volgens haar aansprakelijk voor het datalek is. "Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd", reageert Van Huffelen.

Reacties (6)
30-05-2023, 12:04 door Anoniem
Wanneer gaat men eens werken met unieke en verlopende aliassen? VOOR ALLES!
En waarom überhaupt zoveel niet-relevante data voor het houden van marktonderzoek...
30-05-2023, 12:21 door Anoniem
Slootweg vroeg de staatssecretaris verder wie er volgens haar aansprakelijk voor het datalek is.

Eindverantwoordelijk zijn en blijven de organisaties die hun data buiten de deur gezet hebben voor marktonderzoek.
Ongeacht hoeveel lagen er tussen henzelf en de lekkende partij zitten.
30-05-2023, 12:44 door Anoniem
Mijns insziens in eerste instantie de gebruiker van de nebu software tenzij er een deugdelijke verwerkings overeenkomst is. Dan is daar iets geregeld, het is aan die gebruiker vervolgens de schone taak om de zaak te verhalen.
30-05-2023, 15:25 door _R0N_
Door Anoniem: Mijns insziens in eerste instantie de gebruiker van de nebu software tenzij er een deugdelijke verwerkings overeenkomst is. Dan is daar iets geregeld, het is aan die gebruiker vervolgens de schone taak om de zaak te verhalen.

Een verwerkingsovereenkomst is natuurlijk ene papieren afspraak, de gegevens zijn alsnog in handen van derden gekomen die weinig van doen hebben met die afspraak.
30-05-2023, 15:57 door Anoniem
Door _R0N_:
Door Anoniem: Mijns insziens in eerste instantie de gebruiker van de nebu software tenzij er een deugdelijke verwerkings overeenkomst is. Dan is daar iets geregeld, het is aan die gebruiker vervolgens de schone taak om de zaak te verhalen.

Een verwerkingsovereenkomst is natuurlijk ene papieren afspraak, de gegevens zijn alsnog in handen van derden gekomen die weinig van doen hebben met die afspraak.

Ja maar dat is altijd bij die dingen. Het zit allemaal wel goed want het is gecertificeerd, er is een audit uitgevoerd, er is
vanalles afgesproken.

Alleen niet door degene wiens informatie het betreft. Die heeft het nakijken.
30-05-2023, 17:44 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Mijns insziens in eerste instantie de gebruiker van de nebu software tenzij er een deugdelijke verwerkings overeenkomst is. Dan is daar iets geregeld, het is aan die gebruiker vervolgens de schone taak om de zaak te verhalen.

Een verwerkingsovereenkomst is natuurlijk ene papieren afspraak, de gegevens zijn alsnog in handen van derden gekomen die weinig van doen hebben met die afspraak.

Ja maar dat is altijd bij die dingen. Het zit allemaal wel goed want het is gecertificeerd, er is een audit uitgevoerd, er is
vanalles afgesproken.

Alleen niet door degene wiens informatie het betreft. Die heeft het nakijken.

Klinkt a;s DigiNotar. Die had ook alle audits gehaald en alle papiertjes op zak.
Uiteindelijk gingen ze toch nat en failliet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.