Eén hack, grote gevolgen: gegevens 2,5 miljoen Nederlanders op straat

In maart vorig jaar werd een IT-bedrijf aangevallen. Het gaat om het bedrijf Nebu, dat software levert waarmee bedrijven markt- en klantonderzoek kunnen doen.

Onder meer de NS, VodafoneZiggo, zorgverzekeraar CZ en Heineken lieten klanten destijds weten dat er een datalek had plaatsgevonden. Het incident laat zien dat één succesvolle aanval bij veel bedrijven gevolgen kan hebben.

Enorme omvang

Nebu had verschillende marktonderzoeksbureaus als klant. Die gebruikten de software voor marktonderzoek voor hun klanten: de bedrijven zoals NS en VodafoneZiggo waar wij mee te maken hebben.

Omdat de omvang zo groot is, werden veel mensen in maart aan de lopende band gewaarschuwd voor datalekken.

Destijds werd gedacht dat klantgegevens van 2 miljoen mensen waren gelekt. Nu schat de Autoriteit Persoonsgegevens (AP) dat aantal dus nog een kwart hoger in: 2,5 miljoen mensen.

Het is een van de grotere datalekken van de laatste jaren, zegt de toezichthouder tegen RTL Nieuws. Twee jaar geleden waarschuwde de AP al voor dit soort incidenten bij IT-leveranciers. Na datalekken startte de toezichthouder toen een onderzoek naar veertien IT-bedrijven.

Omdat deze bedrijven gegevens van heel veel klanten bezitten, loopt het aantal slachtoffers snel op. Maar de mensen om wie het gaat, worden niet altijd gewaarschuwd.

Ook na de hack bij Nebu werden mensen niet altijd op de hoogte gesteld dat hun gegevens waren gelekt. Bijvoorbeeld omdat de getroffen organisaties of bedrijven het risico laag hadden ingeschat. Ten onrechte, vindt de AP.

Bij een Limburgse zorginstelling waren namen en telefoonnummers van bewoners gelekt na de hack. Maar omdat het lang duurde voordat Nebu informatie gaf, duurde dat enige tijd voordat bewoners daarvan wisten, zegt de interne privacytoezichthouder van de zorgorganisatie tegen RTL Nieuws.

Er was ook terughoudendheid omdat de zorginstelling bang was dat het onrust zou veroorzaken. Zodra er duidelijkheid was, gebeurde dat alsnog. "We hebben in de melding uitgelegd hoe onze bewoners oplichting via de telefoon of WhatsApp kunnen voorkomen", zegt de zorginstelling daarbij.

Risico op oplichting

Als je gegevens op straat zijn beland, loop je risico om slachtoffer te worden van oplichters. Criminelen kunnen je bijvoorbeeld bellen of e-mailen. Hoe meer gegevens ze van jou hebben, hoe geloofwaardiger zo'n bericht kan zijn.

In het geval van Nebu waren namen, adressen, e-mailadressen en telefoonnummers gestolen. Met die info kunnen criminelen jou benaderen, bijvoorbeeld uit naam van de NS, VodafoneZiggo of een ander slachtoffer waar jij klant van bent.

De Autoriteit Persoonsgegevens zag dat 190 bedrijven en organisaties hun klanten of de toezichthouder moest informeren over het datalek na de Nebu-hack. In 156 gevallen gebeurde dat ook.

Toezichthouder grijpt in

Maar in 34 gevallen moest de AP ingrijpen. Zij voldeden pas aan de meldplicht zodra de toezichthouder hen daarop wees. Dat maakt de toezichthouder vandaag bekend in haar jaarlijkse rapport over datalekken.

Daardoor zijn 50.000 mensen er alsnog van op de hoogte gebracht dat zij het slachtoffer zijn van de cyberaanval, meldt de AP. De privacywaakhond hoopt dat zij daardoor extra alert zijn op pogingen tot fraude.

Onderzoeken afgerond

Het onderzoek naar de veertien IT-bedrijven waar eerder datalekken plaatsvonden, is inmiddels afgerond. De AP heeft in die gevallen erop aangedrongen dat de bedrijven gedupeerden alsnog op de hoogte brengen. "Zodat die mensen zich kunnen wapenen tegen bijvoorbeeld pogingen van cybercriminelen om hen op te lichten."

Het onderzoek naar Nebu bevindt zich in een afrondende fase, laat de toezichthouder weten. Nebu heeft met de toezichthouder afgesproken om interne processen na datalekken tegen het licht te houden, zegt het bedrijf.

Voor zover bekend heeft de AP geen boetes of andere sancties opgelegd.