image

Etten-Leur stuurt brief naar mogelijke slachtoffers van datalek Nebu

vrijdag 11 augustus 2023, 16:37 door Redactie, 6 reacties

De gemeente Etten-Leur heeft naar meer dan tweehonderd inwoners die mogelijk slachtoffer zijn geworden van het datalek bij softwarebedrijf Nebu een brief gestuurd. Het is nog altijd onduidelijk van wie er gegevens zijn gestolen, maar de gemeente wil niet langer wachten en het datalek afhandelen. Dat blijkt uit de openbare besluitenlijst die gisteren door de gemeente werd gepubliceerd.

Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt. Eerder dit jaar heeft een externe partij voor de gemeente Etten-Leur een klantentevredenheidsonderzoek uitgevoerd. Hierbij heeft deze partij gebruikgemaakt van de software van Nebu. Door het datalek bij Nebu zijn mogelijk ook gegevens van 210 inwoners van Etten-Leur gelekt.

"Deze personen hebben een brief ontvangen. Daarin staan de mogelijke gevolgen en de manier waarop deze kunnen worden beperkt", aldus de gemeente. Die wilde niet langer wachten totdat er meer duidelijk is. "Het is landelijk onduidelijk wat er achter de schermen allemaal gebeurt, wie er verantwoordelijkheid wil nemen. Dat kan wel twee jaar duren en daar willen we niet op wachten", aldus een woordvoerder tegenover streekomroep ZuidWest. “Dus we hebben gezegd: we gaan de mensen in kennis stellen."

In juni maakte de gemeente Woerden bekend dat Nebu niet weet welke gegevens er zijn gestolen en van welke klanten. "Nebu (het bedrijf dat daadwerkelijk is gehackt) heeft een onderzoek laten doen naar het datalek. Uit dat onderzoek blijkt hoe de cyberaanval ongeveer is verlopen. Het is uiteindelijk niet bekend geworden welke data is gestolen en van wie", zo stelde de gemeente.

Reacties (6)
11-08-2023, 16:58 door Anoniem
Hoezo verantwoordelijkheid willen nemen ? Gewoon de Nebu bestuurders / eigenaren hoofdelijk aansprakelijk stellen, financieel uitkleden en juridisch vervolgen ... en als er rest-schade is, inclusief het moederbedrijf - dat overduidelijk deze werkwijze goedkeurde - en zodanig opzettelijk de wet overtrad / liet overtreden ...

En als er overduidelijk bewijs is dat er data gestolen is; maar de scope niet bekend, is de oplosrichting heel simpel: zonder gegronde redenen kun je niet anders aannemen dat ALLE persoonsgegevens gestolen zijn en dien je dus IEDEREEN te informeren. Dat willen ze niet toegeven wegens de financiele & juridische consequenties, maar zo simpel ligt de aansprakelijkheid & verantwoordelijkheid wel. En zelfs na afloop denkt met dus nog niet eens om de gedupeerde klanten; walgelijke vertoning van zowel NS, Nebu als die bloedzuigers die achter het moederbedrijf zitten !
11-08-2023, 18:06 door Anoniem
Bij de NS is het tot nu gebleven bij één enkele nietszeggende e-mail. Op vragen krijg je geen antwoord.
NS heeft dan ook weinig op met privacy. Zie ook hun recente site met aanbiedingen, zonder het toestaan van scripts van Google opent deze niet.
11-08-2023, 20:00 door karma4
Door Anoniem: Hoezo verantwoordelijkheid willen nemen ? Gewoon de Nebu bestuurders / eigenaren hoofdelijk aansprakelijk stellen, financieel uitkleden en juridisch vervolgen ...
Nebu is een vewerker, de verwerkingsverantwoordelijke is de gemeente, waar de verantwoordelijkheid ligt daar ligt ook de schuld. Uitkleden die gemeente ....
11-08-2023, 22:34 door Anoniem
@ Vandaag, 16:58 door Anoniem
Eens.

Je moet sowieso nooit meedoen aan marktonderzoeken, die zijn niet in jouw belang. Je wordt ingeschakeld als werkpaard.

Doe je dit als gemeente, dan weet je al op voorhand dat je fout zit. Je hebt geen markt. Je moet de burgers dienen. Niet gegevens over inkomens verzamelen, etc.
12-08-2023, 19:08 door Anoniem
Door Anoniem:(..) Je moet sowieso nooit meedoen aan marktonderzoeken, die zijn niet in jouw belang. Je wordt ingeschakeld als werkpaard.

Doe je dit als gemeente, dan weet je al op voorhand dat je fout zit. Je hebt geen markt. Je moet de burgers dienen. Niet gegevens over inkomens verzamelen, etc.
Het betrof een tevredenheidsonderzoek over het gebruik van middelen, die verleend waren aan 210 burgers in het kader van de Wet Maatschappelijke Ondersteuning (dat zijn aangepaste fietsen, rolstoelen, scootmobiels, e.d.)
13-08-2023, 15:49 door Anoniem
Het is wel interessant om de link in het artikel naar Steekomroep ZuidWest te lezen. Daaruit blijkt dat de gemeente Etten-Leur opdracht gaf aan het Inkoopbureau West-Brabant om het tevredenheidsonderzoek uit te voeren, en dat die software van Nebu gebruikten. De gelekte gegevens zijn namen, adressen en e-mailadressen, en volgens het artikel zouden de deelnemers aan de enquête die zelf bij het inkoopbureau hebben achtergelaten. De gegevens zouden dus volgens een woordvoerder "absoluut niet" bij de gemeente gestolen zijn, en mensen zouden heel goed weten dat ze die bij derden hebben achtergelaten. "Maar we hebben als gemeente wel een zorgplicht om onze inwoners te informeren".

Ik vind dat een vreemd verhaal. Ik ben niet anders gewend in dit soort situaties dat de opdrachtgever (de gemeente dus in dit geval) de contactgegevens doorgeeft aan de uitvoerder van de enquête en dat die vervolgens namens de opdrachtgever die mensen benadert met een uitnodiging om de enquête in te vullen.

En hoe dat ook gegaan is, Etten-Leur blijft de opdrachtgever die een verwerking van persoonsgegevens aan een andere partij heeft uitbesteed. Als de deelnemers al zelf hun gegevens bij dat inkoopbureau hebben achtergelaten (wat mij onwaarschijnlijk lijkt) dan is nog altijd de gemeente als opdrachtgever de verwerkingsverantwoordelijke. Het doet er helemaal niet toe dat de deelnemers heel goed weten dat ze met een andere partij te maken hadden, het was namens de gemeente en daar rust de verantwoordelijkheid.

De gemeente moet dus niet alleen vanuit een zorgplicht maar ook vanuit de wettelijke verplichting volgens de AVG de betrokkenen informeren, en dat moeten ze niet pas ruim vier maanden na dato doen, maar "onverwijld" (AVG art. 34 lid 1) als de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van de betrokkene oplevert. Als dat nu zo is was dat vier maanden geleden ook al zo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.