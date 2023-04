Beeld ANP

Dat stelt de Autoriteit Persoonsgegevens (AP) op basis van een nieuwe inventarisatie. Eerder maakten media melding van circa 25 bedrijven, maar dat aantal blijkt dus veel hoger. De AP sluit niet uit dat het datalek nog groter wordt.

Het gaat om een uiterst zeldzame zaak, zegt een woordvoerder. “Dit heeft onze volledige aandacht. Een lek met deze aantallen komt bijna nooit voor. Het gaat om een groot en ernstig incident.” De privacytoezichthouder waarschuwt dat bedrijven zich bewuster moeten zijn van hun verantwoordelijkheid bij het doorgeven van persoonsgegevens.

Data gestolen

Het is nog niet duidelijk of de bedrijven en organisaties die melding deden, zoals de NS en VodafoneZiggo, ook daadwerkelijk de dupe zijn geworden. Nebu, het bedrijf dat is aangevallen, geeft weinig informatie en werkt bovendien niet alleen voor Nederlandse partijen, maar ook voor veel marktonderzoeksbureaus in het buitenland.

Wel heeft het bedrijf bevestigd dat er data zijn gestolen. “Maar het zou ook zo kunnen zijn dat daar geen data van Nederlandse bureaus tussen zitten,” zegt Jos Vink, topman van marktonderzoeker Blauw, een van de partners.

Er wordt gevreesd dat van enkele miljoenen mensen in Nederland persoonlijke informatie is gelekt. Het gaat hierbij niet alleen om namen, leeftijden, geslacht en e-mailadressen, maar in een enkel geval mogelijk ook om informatie over het inkomen en pensioengegevens, die voor cybercriminelen een goudmijn zijn. Nebu benadrukt dat het lek inmiddels gedicht is.

Kort geding

Vanwege de ernst van het lek vraagt de Autoriteit Persoonsgegevens om opheldering van alle betrokken partijen – dus ook van Nebu. Blauw spande een kort geding aan tegen het bedrijf, omdat het weigerde meer informatie over de cyberaanval te geven. Onder druk van de rechter zegt de softwaremaker nu bereid te zijn uit te zoeken wat ze kunnen delen. Doen ze dat onvoldoende, dan volgt donderdag een vonnis van de rechter.

Blauw verricht al jarenlang enquêtes voor onder meer NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel. Die willen er zo achterkomen wat er speelt onder hun achterban. Blauw gebruikt daarvoor, net als enkele andere marktonderzoekers, software van Nebu.

Nu blijkt dat de persoonsgegevens van klanten die aan zo’n onderzoek meewerkten in het vizier zijn gekomen van cybercriminelen. Die wisten de computersystemen van Nebu binnen te dringen en toegang tot een wachtwoordkluis te krijgen. Pas 31 uur later werd de aanval ontdekt. Het duurde vervolgens twee weken voordat klanten werden geïnformeerd, aldus Blauw.

Lek bij Hogeschool van Amsterdam

Van 167 studenten en medewerkers van de Hogeschool van Amsterdam (HvA) zijn mogelijk ook persoonlijke gegevens gelekt via Nebu, meldt de hogeschool woensdag. Het gaat om gebruikers van de Global Mind Monitor (GMM), een tool waarmee studenten en medewerkers de ontwikkeling van competenties kunnen evalueren. Het kan zijn dat namen, e-mailadressen en wachtwoorden van GMM zijn buitgemaakt, maar mogelijk ook ingevulde antwoorden en nationaliteiten van studenten en hun ouders.

De HvA is mogelijk getroffen via onderzoeksbureau Etil, leverancier van de evaluatietool. “Er is verdachte activiteit geconstateerd op de servers waarop de gegevens van GMM staan,” aldus de hogeschool. Woensdag informeerde de onderwijsinstelling de mogelijk getroffen studenten en medewerkers.

Ook heeft de HvA het lek gemeld bij de Autoriteit Persoonsgegevens. De hogeschool adviseert studenten te letten op phishingmails en de tool niet meer te gebruiken totdat er meer bekend is over de veiligheid.

72 uur

Dat de Nederlandse organisaties nu massaal naar buiten treden met het mogelijke datalek, heeft te maken met de privacyregels. Een datalek moet binnen 72 uur na ontdekking zijn gemeld bij de Autoriteit Persoonsgegevens. Ook de betrokken klanten moeten er zo snel mogelijk van op de hoogte worden gebracht.

Volgens de AP moeten bedrijven extra aandacht besteden aan het beschermen van persoonsgegevens die ze hebben verzameld. “Dan denk je, dat is een open deur. Maar wees je er ook bewust van dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens wanneer je ze doorgeeft voor een marktonderzoek,” zei een woordvoerder eerder tegen het ANP.