Binnen de directie van NS is in maart 2023 stevig gediscussieerd over het al dan niet informeren van honderdduizenden klanten over de mogelijke ontvreemding van hun gegevens. Uiteindelijk werd besloten de klant handelingsperspectief te bieden, vertellen de betrokken directeuren in Computable Magazine.
Eind maart 2023 werd Nederland opgeschrikt door een van de grootste datalekken die het land had meegemaakt. Via Nebu, dat voor marktonderzoeksbureaus software maakt voor online klant- en medewerkerstevredenheidsonderzoek, zouden zeker twee miljoen Nederlandse klantgegevens op straat liggen. Het ging onder meer om gegevens van 780.000 NS-klanten, 700.000 VodafoneZiggo-klanten en 22.000 klanten van Heineken/Vrienden van Amstel Live.
‘Vorig jaar bleek een leverancier van een leverancier zijn zaakjes niet op orde te hebben’, vertelt Tjalling Smit in het interview met Computable. Hij was destijds NS-directeur Commercie & Ontwikkeling en verantwoordelijk voor de ontwikkel-, verkoop- en marketingactiviteiten, de dienstregeling en cybersecurity en sinds augustus 2024 cco bij Landal. ‘Toch voelden we ons verantwoordelijk. NS is kwetsbaar als het gaat om persoonsgegevens. Reizigers vertrouwen ons die data toe, terwijl de beveiliging afhangt van de gehele keten.’
Pijnlijk besluit
‘Wij waren het eerste gedupeerde bedrijf dat klanten over het lek informeerde‘, vervolgt Smit. ‘Ik ben bij NS verantwoordelijk voor het gehele commerciële gedeelte en kan je vertellen dat het een pijnlijk besluit was.’ De beslissing werd dan ook niet over een nacht ijs genomen.
Cybersecuritydirecteur Dimitri van Zantvliet herinnert zich dat er intern een ‘stevige discussie’ was over of je de klant niet onnodig bang maakt. Het was volgens hem namelijk onduidelijk of kwaadwillenden het datalek actief hadden misbruikt. ‘Maar we wilden de klant handelingsperspectief geven en riepen op om wachtwoorden aan te passen. Dat was voor mij echt een wow-moment. Wat een radicale transparantie.’ Volgens hem zouden veel andere bedrijven ervoor kiezen om het lek ‘onder het tapijt te schuiven’.
Het volledige interview met Tjalling Smit en Dimitri van Zantvliet staat in Computable Magazine #2 2024. Dat heeft een dossier Security in de Boardroom.
