Het aantal personen en organisaties dat de dupe is van een datalek bij softwarebedrijf Nebu, neemt almaar toe. Mogelijk gaat het om miljoenen Nederlanders. Bij de Autoriteit Persoonsgegevens (AP) ontbreekt het overzicht en het is niet bekend welke gegevens op straat liggen. Dat meldt NOS Nieuws.
Volgens de nieuwssite zijn zeker twee miljoen Nederlandse klantgegevens buitgemaakt bij Nebu, een leverancier van enquêtesoftware die is gevestigd in Wormerveer. Organisaties gebruiken de software voor klant- en medewerkerstevredenheidsonderzoek.
Eerder werd bekend dat gegevens van klanten van NS (780.000 klanten), VodafoneZiggo (700.000), verzekeraar CZ (3.000) en Heineken/Vrienden van Amstel Live (22.000) zijn ontvreemd. NOS noemt ook de Rijksdienst voor Ondernemend Nederland (RVO), woningcorporatie Stadgenoot, de Nederlandse Golf Federatie, ArboNed en vervoersbedrijf Trevvel. Met uitzondering van RVO melden deze organisaties inderdaad op hun sites dat ze zijn getroffen door een datalek.
Marktonderzoeksbureaus
Vaak zit het lek bij marktonderzoeksbureaus die de software van Nebu inzetten voor hun online-enquêtes. Onder de getroffen marktvorsers zijn Blauw Research, USP Marketing Consultancy en Mobiel Centre Marktonderzoek. Voor dergelijk onderzoek worden meestal gegevens als naam, adres, e-mailadres en telefoonnummer verzameld.
Het ligt niet voor de hand dat burgers voor zo’n onderzoek gevoelige informatie, zoals bsn-nummers en creditcardnummers prijsgeven. Toch kunnen criminelen veel schade aanrichten, bijvoorbeeld door meerdere gegevensbronnen te combineren en mensen daarmee gericht te benaderen met een verzoek om actie te ondernemen.
Bij elkaar gaat het om de gegevens van waarschijnlijk meer dan twee miljoen inwoners. Er zit mogelijk overlap tussen de verschillende ontvreemde databronnen. Bij de AP, waar organisaties elk groot datalek moeten melden, weten ze niet hoeveel organisaties en hoeveel personen in totaal zijn gedupeerd.
Nebu heeft volgens de NOS nog niet gereageerd op de berichtgeving. Op hun website is geen informatie over het voorval te vinden.
Ik kreeg een melding van de Rijkstdienst voor Ondernemend Nederland (RVO). Daar had ik subsidie voor isolatie aangevraagd. Ze hebben mijn gegevens toen gelijk doorgegeven aan Nebu voor klanttevredenheidsonderzoek. Nu vraag ik mij af of de RVO niet eerst mijn toestemming had moeten vragen voordat ze als overheidsdienst mijn gegevens aan een commerciële club geven. Ik overweeg zelfs aangifte te doen bij de Autoriteit Persoonsgegevens.