Datalek Nederlandse bedrijven steeds groter: zeker 2 miljoen klanten getroffen


Zeker 2 miljoen Nederlandse klantgegevens blijken betrokken bij een groot Nederlands datalek, las ik bij de NOS. Meerdere marktonderzoekers hebben aan de NOS bevestigd slachtoffer te zijn, en wijzen naar softwareleverancier Nebu. Marktonderzoeker Blauw heeft samen met collega’s al een civiele procedure aangekondigd om Nebu te dwingen meer informatie te verstrekken. Het riep onder meer de vraag op: hoe zit dat met aansprakelijkheid onder de AVG bij zo’n datalek?

Dinsdag wordt er gedagvaard, zo te lezen:

Volgens [Blauw-topman Jos] Vink wil Blauw van Nebu weten welke persoonsgegevens precies zijn weggehaald bij Blauw en hoe het heeft kunnen gebeuren. Als de softwareleverancier voor dinsdag duidelijkheid verschaft, trekt Blauw het kort geding volgens Vink in. “Sinds het datalek is het contact matig en krijgen we niemand te spreken”, zegt hij. Blauw heeft ook een advocaat genomen voor juridisch advies over wat het marktbureau het beste kan doen en hoe het klanten zo goed mogelijk kan informeren.

Een datalek van deze omvang is natuurlijk een AVG-probleem, en het verbaast dan ook niet dat de AP een onderzoek is gestart. Dat zal primair gericht zijn tegen de verwerkingsverantwoordelijken, dus de bedrijven die de marktonderzoeksbureaus inschakelden, zoals de NS, VodafoneZiggo, zorgverzekeraar CZ, de Vrienden van Amstel Live, de Rijksdienst voor Ondernemend Nederland en woningcorporatie Stadgenoot. Maar zowel een verantwoordelijke als een verwerker zijn apart aan te spreken door de AP voor het niet hebben van een adequate beveiliging (art. 32 AVG). De vraag is dus nogal prangend wat er precies gebeurd is, hoe kon de data worden buitgemaakt en had dat redelijkerwijs voorkomen kunnen worden?

Blauw is een marktonderzoeksbureau, dat gebruik maakt van de softwaredienst van Nebu, een ISO27001 gecertificeerd bedrijf dat “[offers] 25 years of experience in building and delivering software solutions for Market Research.” Maar toch ging dat niet helemaal zoals verwacht kennelijk. De collega’s bij marktbureau USP weten meer:

[Directeur Jan Paul Schop van marktonderzoeker USP] zegt dat USP voorlopig blijft samenwerken met Nebu. “We werken al meer dan 15 jaar met Nebu samen en we hebben niet eerder problemen op dit vlak gehad. Feitelijk is Nebu zelf niet gehacked, maar is de moedermaatschappij in Canada gehacked. Via dat kanaal is men bij Nebu binnengekomen”, aldus Schop.

Onder de AVG kan een verwerkingsverantwoordelijke een verwerker aanspreken voor de gevolgen van een inadequate beveiliging (art. 82 AVG). Bij een softwareleverancier kun je niets verhalen, tenzij je dat contractueel zo geregeld hebt. Het is dus even de vraag wat Nebu precies is: leveren die alleen software, of zit er ook dienstverlening bij waarbij persoonsgegevens de database van Nebu in lopen? Want dan zou Nebu een subverwerker zijn, en daarvoor geldt dan dezelfde regel.

Arnoud



https://blog.iusmentis.com/2023/04/04/datalek-nederlandse-bedrijven-steeds-groter-zeker-2-miljoen-klanten-getroffen/