JCC Software weigert nadere opheldering te geven over de hack op zijn bedrijfsnetwerk. Het bedrijf uit Oldenzaal wil niet zeggen hoe de persoonsgegevens van duizenden inwoners van de gemeenten Amersfoort, Dinkelland en Tubbergen in verkeerde handen konden komen.
Wel bevestigt de leverancier van digitale afsprakensystemen dat een bestand is gedownload van het netwerk, zoals de gemeente Amersfoort heeft verklaard. Daarin stonden privacygevoelige gegevens van inwoners die via dit systeem in het verleden een afspraak bij Burgerzaken hadden gemaakt, bijvoorbeeld voor een paspoort of rijbewijs. In het geval van Amersfoort bevatte de gekopieerde dataset ook ruim zevenduizend bsn’s. Het Oldenzaalse onderdeel van Conxillium, een softwarehuis voor de lokale overheid, wimpelt vragen af met het argument geen uitspraken over klanten te willen doen. Ook verwijst JCC naar de berichtgeving op de site van de gemeente Amersfoort.
In verband met een cloudmigratie had de Keistad een backup van zijn database gedeeld met de leverancier, zodat die deze data kon gebruiken voor de overstap. Normaal zou zo’n bestand niet op het netwerk van de leverancier moeten staan. De gemeente zegt verder dat de datalek is gemeld bij de Autoriteit Persoonsgegevens. Blijft de vraag wat er is misgegaan en welke maatregelen de leverancier heeft genomen. Volgens de gemeente houdt de leverancier het netwerk nu dag en nacht in de gaten.
Conxillium
Naast JCC Software kent Conxillium nog de onderdelen Procura, Sim, I-Real, DataQuint, Beheervisie en Pharox. Achter Conxillium zit Gerton Lusink, een oud-directielid van BT Nederland. Eerder verklaarde hij alleen bedrijven bij Conxillium te willen hebben die minimaal vijftig gemeenten bedienen.
JCC ondersteunt vijfhonderd gemeenten in Nederland, Duitsland en België. JCC Afspraken voorkomt dat burgers in de rij hoeven te staan voor het maken van een afspraak. Op de website wordt niets over de hack gemeld. Het zusterbedrijf Procura richt zich eveneens op burgerzaken alsmede op verkiezingen. JCC Software ontkent eerder betrokken te zijn geweest bij een datalek of hack van het netwerk. In 2016 is er wel sprake geweest van een ‘responsible disclosure’ melding bij het bedrijf. Een ethische hacker had toen een kwetsbaarheid in het it-systeem gevonden.
