Totaal onbereikbaar, nu haalt leverancier na cyberaanval ook telefoonnummer weg

De precieze omvang van het datalek is nog altijd onduidelijk. Naast onder meer de NS (780.000 mensen), Vrienden van Amstel Live en VodafoneZiggo (700.000 mensen) blijken er inmiddels ook klantgegevens van de Nationale Postcodeloterij (8000 mensen), ProRail (4300 mensen), uitvoeringsorganisatie RVO (27.000 mensen) en pensioenfonds PME gelekt. Experts houden er rekening mee dat miljoenen Nederlanders ongewild betrokken zijn geraakt bij het lek.

Softwareleverancier Nebu uit het Noord-Hollandse Wormerveer heeft in een verklaring aan Blauw bevestigd dat er overdracht van data heeft plaatsgevonden. Hoeveel informatie er is ontvreemd, is niet te zeggen. Op de servers van Blauw stond voor ‘terabytes aan informatie opgeslagen’. ,,Het kan nooit zo zijn dat de criminelen al die data hebben meegenomen’’, vermoedt Jos Vink, directeur van Blauw. ,,Het kost gigantisch veel tijd om al die informatie uit te pluizen. Zie het als een inbreker die ergens inbreekt: dat doet hij niet op zijn gemakje, maar vluchtig, op zoek naar de meest waardevolle dingen.’’

_{Lees verder onder de video}

Omdat de communicatie met de softwareleverancier bijzonder stroef verloopt, spannen de marketingbureaus een kort geding aan. En dat is historisch, zegt Vink. ,,Het is in Nederland niet eerder voorgekomen dat er een kort geding tegen een softwareleverancier wordt aangespannen omdat die geen openheid van zaken wil geven. Dat weigeren, vinden wij echt onacceptabel. Wij hebben als bureau de plicht om aan onze klanten en de autoriteiten te melden wat er is gebeurd, maar dat kunnen wij op dit moment niet.”

Volgens Vink wil Blauw van Nebu weten welke persoonsgegevens precies zijn weggehaald bij Blauw en hoe het heeft kunnen gebeuren. Als de softwareleverancier voor dinsdag duidelijkheid verschaft, trekt Blauw het kort geding in. ,,Sinds het datalek is het contact matig en krijgen we niemand te spreken’’, zegt hij. Blauw heeft ook een advocaat genomen voor juridisch advies over wat het marktbureau het beste kan doen en hoe het klanten zo goed mogelijk kan informeren. Of het marktonderzoeksbureau blijft samenwerken met Nebu is volgens Vink nog niet zeker. ,,We willen eerst meer weten.’’

Steeds meer bedrijven laten weten dat zij mogelijk zijn getroffen door het datalek bij marktonderzoeksbureaus. Die waren ingeschakeld om mensen te benaderen voor enquêtes. De gegevens van die bevraagden waren niet goed afgeschermd, en zijn daardoor in verkeerde handen gevallen.

De woningcorporaties Stichting Eelder Woningbouw (Drenthe), Woonstichting Hulst (Zeeuws-Vlaanderen) en Poort6 (Gorinchem) roepen vrijdag hun huurders op de komende tijd goed op te letten. Ze kunnen namelijk brieven, mails, sms’jes, chats of telefoontjes krijgen die van bekenden afkomstig lijken te zijn.

De drie corporaties werken samen met marktonderzoeker USP. Dat bureau maakt gebruik van software van de leverancier Nebu uit het Noord-Hollandse Wormerveer. Ook andere corporaties hebben gemeld dat gegevens van hun huurders zo mogelijk naar buiten zijn gekomen, waaronder Stadgenoot (Amsterdam), Haag Wonen (Den Haag) en Vivare (Arnhem).

Daarnaast zijn ook spoorbeheerder ProRail en de Nationale Postcodeloterij getroffen door het datalek bij een softwareleverancier. Bij de Nationale Postcode Loterij zijn maximaal 8000 deelnemers getroffen. Zij deden onlangs mee aan een enquête van marktonderzoeksbureau Blauw voor de loterij. Bij ProRail gaat het om de gegevens van ongeveer 4300 mensen die naar de publieksvoorlichting hebben gebeld. Namen, telefoonnummers, e-mailadressen en geslachten kunnen in verkeerde handen zijn gevallen, en mogelijk antwoorden op de vragen voor de Nationale Postcode Loterij.

Ook van ongeveer 27.000 klanten van de Rijksdienst voor Ondernemend Nederland (RVO) zijn persoonsgegevens mogelijk gelekt. De uitvoeringsinstantie, die onder het ministerie van Economische Zaken en Klimaat valt, zegt bijna al deze mensen te hebben gewaarschuwd voor het lek. Het gaat om namen, e-mailadressen en telefoonnummers van voornamelijk ondernemers. De RVO voert tal van regelingen uit waar bedrijven gebruik van kunnen maken en liet via Blauw onderzoeken hoe tevreden ondernemers daarover zijn.

Door het datalek zijn bij pensioenfonds PME mogelijk niet alleen namen, leeftijden en geslachten op straat komen te liggen, maar ook de inkomensgegevens van mensen die nog pensioen opbouwen. Dat laat het pensioenfonds voor metaal en techniek weten. Informatie over iemands inkomen is voor cybercriminelen goud waard.

Eerder deze week werd bekend dat via Blauw veertien Nederlandse bedrijven mogelijk zijn getroffen door het datalek, waaronder de NS, VodafoneZiggo, CZ, Heineken, ArboNed en Trevvel, dat leerlingen- en zorgvervoer in Rotterdam en omstreken uitvoert. VodafoneZiggo en de NS werden vooralsnog het hardst geraakt. Van deze bedrijven lekten de gegevens van respectievelijk zo’n 700.000 en 780.000 klanten. De toegang tot de persoonsgegevens is inmiddels afgesloten.

Blauw en andere mogelijk getroffen bedrijven hebben klanten over het lek geïnformeerd en een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Ook marktonderzoeksbureau USP is mogelijk de dupe van het lek, heeft het bureau laten weten. De gegevens van 100.000 tot 150.000 mensen liggen mogelijk op straat via 52 klanten van USP.

Nebu is een Hongaars bedrijf met een locatie in Wormerveer. Twee jaar geleden werd het onderdeel van Enghouse Systems, een beursgenoteerd Canadees bedrijf. Beide organisaties hebben niet gereageerd op verzoeken om een reactie. Het telefoonnummer van de Nederlandse afdeling is van de site gehaald.

Bekijk onze nieuwsvideo’s in onderstaande playlist: