Datalek bij onderzoeksbureaus: gegevens honderdduizenden mensen op straat
Meerdere onderzoeksbedrijven zijn getroffen door hetzelfde datalek als die eerder deze week bij marktonderzoeker Blauw aan het licht kwam. Daardoor zijn de gegevens van honderdduizenden Nederlanders uitgelekt.
Volgens directeur Jan Paul Schop van marktonderzoeker USP zijn vijf tot tien andere grote Nederlandse marktonderzoeksbureaus getroffen door hetzelfde datalek. Volgens zowel USP als Blauw is de bron van het lek de softwareleverancier Nebu uit Wormerveer, dat valt onder het Canadese moederbedrijf Enghouse Systems. Nebu heeft nog niet gereageerd.
Blauw is inmiddels een kort geding tegen Nebu gestart in een poging meer informatie van het softwarebedrijf los te krijgen. Volgens Blauw-topman Jos Vink geeft Nebu tot nu toe nauwelijks informatie over het datalek. Het kort geding dient dinsdag.
Schop zegt dat USP voorlopig blijft samenwerken met Nebu. "We werken al meer dan 15 jaar met Nebu samen en we hebben niet eerder problemen op dit vlak gehad. Feitelijk is Nebu zelf niet gehacked, maar is de moedermaatschappij in Canada gehacked. Via dat kanaal is men bij Nebu binnengekomen", aldus Schop.
'Geen wachtwoorden'
Bij USP gaat het in totaal om 500.000 mailadressen, waarvan 300.000 zakelijke adressen van contactpersonen bij bedrijven. Van de half miljoen adressen zijn 150.000 buiten Nederland actief. "Het gaat nooit om wachtwoorden of bankgegevens, maar over telefoonnummers, emailadressen en meningen van respondenten over producten en diensten", zegt Schop.
Via USP zijn 52 organisaties mogelijk getroffen, waaronder de woningcorporaties Vivare (regio Arnhem), Haag Wonen (Den Haag) en Stadsgenoot (Amsterdam). De woningcorporaties zeggen dat gegevens van hun huurders mogelijk ook getroffen zijn. Gegevens als namen, woonadressen, mailadressen en telefoonnummers van mensen die zijn uitgenodigd voor klanttevredenheidsonderzoeken zijn mogelijk gelekt.
NS en VodafoneZiggo
Eerder deze week werd bekend dat onder meer de NS, VodafoneZiggo, Heineken, CZ, de Nederlandse Golffederatie en ArboNed zijn getroffen door het datalek bij marktonderzoeker Blauw. Bij VodafoneZiggo en de NS lekten gegevens van respectievelijk ongeveer 700.000 en zo’n 780.000 klanten.
Bij Heineken ging het om data van maximaal 22.000 mensen die meededen aan een onderzoek voor de Vrienden van Amstel Live, zoals geslacht, leeftijd, opleiding, provincie en e-mailadres. Bij de Nederlandse Golffederatie gaat het om gegevens van 107.000 golfers en bij CZ om data van 3000 mensen.
Via Blauw zijn in totaal bij 14 organisaties persoonsgegevens gelekt. Het bedrijf onderzoekt nog welke data precies zijn gestolen of bekeken door onbevoegden.
Duizenden datalekken per jaar
Meerdere getroffen bedrijven hebben melding gedaan bij de Autoriteit Persoonsgegevens (AP). Zo'n datalekmelding is wettelijk verplicht. Een AP-woordvoerder noemt de situatie 'opvallend' en zegt dat de toezichthouder in de gaten houdt of organisaties zich aan de meldplicht houden. In 2021 ontving de Autoriteit Persoonsgegevens in totaal 24.866 datalekmeldingen.
De Rijksoverheid heeft 'vooralsnog geen signalen' dat het is geraakt door het datalek, aldus een woordvoerder van staatssecretaris Alexandra van Huffelen (Digitalisering).
Oppassen voor phishing
Getroffen bedrijven hebben klanten gevraagd alert te zijn bij de ontvangst van e-mails, telefoontjes en brieven.
Oplichters kunnen bijvoorbeeld namen en contactgegevens gebruiken voor phishing, waarbij ze zich in berichten voordoen als iemand anders om bijvoorbeeld gevoelige informatie of wachtwoorden te stelen.