Het grote datalek bij softwareleverancier Nebu in Wormerveer heeft een groot aantal Nederlandse marktonderzoekers getroffen met vele tientallen opdrachtgevers. Alleen al Blauw Research heeft veertien klanten waarvoor Nebu’s applicatie voor dataverzameling middels vragenlijsten werd ingezet.
Na NS heeft ook een andere vooraanstaande klant van Blauw, VodafoneZiggo, consumenten gewaarschuwd dat hun persoonlijke gegevens mogelijk naar buiten zijn gekomen bij een datalek.
Mede omdat Nebu slechts mondjesmaat informatie over de hack geeft en zakelijke afnemers voortdurend aan het lijntje houdt, is het nog allerminst duidelijk van hoeveel klanten data mogelijk op straat liggen. Blauw moest zelfs met een kort geding dreigen om Nebu tot meer openheid te dwingen. Belangrijke openstaande vraag is nog in hoeverre onbevoegden toegang tot de verzamelde gegevens hebben gehad.
Nebu vormt sinds juni 2021 onderdeel van het Canadese Enghouse. Dit beursgenoteerde bedrijf bevestigt dat zijn dochter in Wormerveer, die de ontwikkeling vooral in het Hongaarse Debrecen doet, het slachtoffer van een cyberaanval is geworden. Voor nadere details wordt naar Enghouse in Markham (Ontario) verwezen. Telefonisch kan het bedrijf geen verdere vragen beantwoorden. De Nederlandse directeur is met ziekteverlof.
Teleurstelling
Jos Vink, directeur Blauw Research, dacht dat Nebu zijn zaakjes goed voor elkaar had. De leverancier heeft ISO-certificaten voor onder meer data-veiligheid. Blauw heeft die ook en bovendien een certificaat voor privacy.
Het stelt Vink teleur dat Nebu sinds de cyberaanval van 6 maart vrijwel geen informatie van de Canadese eigenaar mag geven. Omtrent de aard van de ransomware-aanval, de eisen van de aanvallers en de buit gemaakte bestanden is nagenoeg niets bekend.Nebu probeerde zo snel mogelijk weer de zaken op te pakken en vragenlijsten uit te zenden, zegt Vink. Van een forensisch onderzoek was geen sprake. Back-ups werden snel weer teruggezet.
Wat ik mij in deze hele discussie afvraag is waarom een marktonderzoeksbureau herleidbare persoonsgegevens nodig heeft. Waarom zijn de gegevens niet onherleidbaar gemaakt waarbij het profiel van de personen intact gelaten werd? Dus i.p.v. dat je de echte naam, geboortedatum en adres gebruikt, gebruik je een pseudoniem, een ander adres (in hetzelfde gebied) en een andere geboortedatum (die wel leidt tot dezelfde leeftijd). Als je dan een datalek gehad had, was er niks aan de hand…
goed idee Eric, zodat ze die spam naar mijn pseudo email kunnen sturen 😉
“Het stelt Vink teleur dat Nebu sinds de cyberaanval van 6 maart vrijwel geen informatie van de Canadese eigenaar mag geven.”
Zo gaat dat kennelijk. NS doet zaken met Blauw die data aan Nebu over laat met een Canadese eigenaar die doet wat die wil.
Research en ISO certificaten als de witte jas in de commercials.
Privacy by teleurstelling.
Als ik naar het personeelsbestand van Nebu op LinkedIn kijk dan wordt de software gebouwd in Hongarije. Misschien dat daar privacy niet zo belangrijk is….
Kennen we DigiNotar nog? Deze leek het ook allemaal prima op orde te hebben met ISO certificeringen maar dat was allemaal maar schijn zoals dat ze bij Hof van Twente ook bezig waren met het temmen van papieren tijgers. Het is leuk dat iedereen met een beschuldigende vinger naar Nebu wijst maar hoe zit het met de verantwoordelijkheid van alle andere partijen in de keten?
Vragen en nog eens vragen moet ik terugdenken aan het verhaal van Jeroen van Helden tijdens Commvault connection, de juridische kant van een technisch verhaal over het terugzetten van de back-up lijkt me van toepassing als het om het indekken gaat. Er waren die dag trouwens nog meer interessante verhalen voorkomen is beter dan genezen. Wat betreft de reactie van Eric verwijs ik daarom graag naar een eerder expertverslag over pseudonimisering. Voor wie mijn reacties leest, ik had al eens iets gezegd over het fenomeen van PII en persoonsgegevens want juristen zijn politici met een academische titel.
Dat marktonderzoeker Blauw als klant van Nebu, naar de rechter moet om van Nebu meer info over hack te verkrijgen, dat zegt veel over Nebu. Vroeger of later is een hack mogelijk. Dus is het vanzelfsprekend dat je qua privacy en continuïteit preventie maatregelen neemt en na een hack alles doet om mee te werken met de gedupeerde klant. Dat doet Nebu dat niet. Nebu gedraagt zich als een software broker.
Zowel Blauw als hun klanten moeten ook nadenken hoe ze de privacy beter kunnen beschermen.
De rechterlijke uitspraak is ondertussen gepubliceerd en interessant om te lezen om verschillende redenen:
https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBROT:2023:2931
Het gaat blijkens vonnis om een SaaS dienst waarbij data gelekt is van ‘surveys’ en cloud databases, we turven deze casus dan ook als een wolkbreuk. En wat betreft de vertrouwensbreuk lijken partijen tot elkaar veroordeeld te zijn als er geen data portabiliteit is.
Bedankt voor de link. Nebu sputtert op de zitting nogmaals tegen, maar het bedrijf had van te voren kunnen weten dat de eisen van bureau Blauw, zoals opgesomd in het vonnis, geheel gerechtvaardigd zijn. Blauw heeft zich goed laten vertegenwoordigen en daarom was deze rechtszaak een appeltje eitje. Nebu had de juridische kosten en vooral de publieke tik op de vingers door de media kunnen voorkomen door de Data Processing Agreement na te komen. Nebu gaat nu hopelijk samenwerken met Blauw en kan er weer een beetje vertrouwen ontstaan. Ze moeten voorlopig door met elkaar.
Door het vonnis kan Blauw er ook achter komen of Nebu redelijkerwijs voldoende heeft gedaan om een hack te voorkomen. Ik neem aan dat het onderdeel Data Protection in het onderlinge contract netjes door juristen opgesteld is en Nebu verdere onzin over “security-overwegingen” achterwege laat. Ze zijn tenslotte bepaald geen nieuwkomer.