Mogelijk miljoenen Nederlanders slachtoffer van datalek: ‘Serverbedrijf hield informatie lang achter’

Van ruim een miljoen Nederlanders zijn al persoonsgegevens gelekt, die mogelijk in handen zijn gekomen van cybercriminelen. ,,We moeten er rekening mee houden dat dit aantal nog veel hoger ligt, mogelijk miljoenen”, zegt Maasland. Klanten moeten de komende weken extra waakzaam blijven, adviseert de Consumentenbond.

Persoonsgegevens van klanten van CZ en bezoekers van de Vrienden van Amstel Live en het Internationaal Film Festival Rotterdam (IFFR) liggen op straat, zo maakten de bedrijven donderdag bekend. Later op de dag werd duidelijk dat ook een deel van de deelnemers van pensioenfonds PME getroffen is. Dat geldt ook voor klanten van de NS en VodafoneZiggo.

Zij werken allen samen met de bekende marktonderzoeker Blauw. Ook via marktonderzoeksbureau USP zijn de gegevens van nog eens 100.000 tot 150.000 mensen in Nederland gelekt, zegt directeur Jan-Paul Strop. Volgens hem zijn vijf tot tien andere grote Nederlandse marktbureaus getroffen door hetzelfde lek. Volgens beide bureaus is de bron van het lek hun softwareleverancier Nebu uit Wormerveer, dat valt onder moederbedrijf Enghouse Systems in Canada.

De relatie tussen marktbureau Blauw en het gehackte Nebu is door de situatie flink bekoeld. Al bijna drie weken weet Blauw dat er ‘iets’ gebeurd is met de data, maar Nebu gaf lange tijd geen antwoord op cruciale vragen over de omvang, stelt een boze directeur Jos Vink. ,,Onze Nederlandse contactpersonen reageerden helemaal nergens meer op. Alles moest via de Canadezen.” Die kwamen volgens Vink maandag pas met summiere antwoorden, nadat hij met andere getroffen bedrijven een kort geding aanspande. En nog altijd zegt hij niet precies te weten hoe groot de impact is, terwijl Nebu dat volgens de contracten verplicht is te delen.

Nebu kon donderdagmiddag tegenover deze site niet op de aantijgingen reageren. Het kort geding dient volgende week dinsdag.

Het is daarom nog onduidelijk om wat voor persoonsgegevens het precies gaat en wat de aanleiding is voor het datalek. Blauw weet dat het gaat om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan een klanttevredenheidsonderzoek, zoals namen, mailadressen en telefoonnummers. Ook de gegeven antwoorden in het onderzoek zijn uitgelekt. In het geval van pensioenfonds PME gaat het mogelijk ook om inkomensgegevens.

Een datalek van deze omvang is in Nederland weliswaar niet nieuw, maar de manier waarop wel. ,,Het is bij mijn weten vrij uniek dat er persoonsgegevens via een grote marktonderzoeker op straat komen te liggen. Als cybercriminelen straks daadwerkelijk deze onderzoeksdata in handen krijgen, dan zijn ze in staat om hele serieuze fraude te plegen’’, vertelt Maasland.

Van de uitgelekte gegevens kunnen criminelen bijvoorbeeld uitgebreide profielen maken, zegt Maasland. ,,Iemand die naar Vrienden van Amstel Live is geweest en in het marktonderzoek allerlei vragen heeft ingevuld, geeft een goed beeld over zichzelf en zijn ervaring prijs. Een crimineel krijgt op basis van die gegevens een goed beeld van wat voor een persoon jij bent. Met die gegevens maken ze jou extra gevoelig voor digitale afpersing.’’

Veel organisaties informeren consumenten onvoldoende over datalekken, blijkt uit een steekproef van de Consumentenbond. Ruim de helft van de waarschuwingen is te vaag. In een derde van de mails staat niet wat consumenten zelf kunnen doen om de schade te beperken. ,,Ze vergeten cruciale informatie te delen en soms lijken ze meer bezig met de bescherming van hun reputatie dan met de zorg voor hun klanten. Dat is heel kwalijk. Organisaties lijken zich niet te realiseren dat consumenten daardoor onnodig extra risico’s lopen. Dat moet echt anders’’, aldus Sandra Molenaar, directeur Consumentenbond.

Autoriteit Persoonsgegevens ontving de laatste jaren jaarlijks meer dan 20.000 meldingen van datalekken. Via websites als haveibeenpwned.com en scatteredsecrets.com kunnen consumenten controleren of ze de dupe zijn van gemelde datalekken.