Wat is de Nebu-hack?
Op 10 maart 2023 heeft softwarebedrijf Nebu te maken gehad met een cyberaanval, wat heeft geleid tot een datalek. Nebu heeft deze cyberaanval pas 31 uur later ontdekt. Hierbij zijn er vermoedelijk persoonsgegevens (onder andere naam, leeftijd, geslacht, e-mailadres, inkomensgegevens en pensioengegevens) van miljoenen Nederlanders op straat beland.
Nebu heeft nagelaten om dit datalek direct te melden aan de (mogelijk) getroffen bedrijven. Een van die bedrijven is marktonderzoeker Blauw, die klanttevredenheidsonderzoeken afneemt voor onder andere de NS en VodafoneZiggo.
Kort geding Blauw tegen Nebu
Als reactie hierop heeft marktonderzoeker Blauw (de verwerkingsverantwoordelijke) op 6 april 2023 een kort geding aangespannen tegen softwarebedrijf Nebu (de verwerker). In dit kort geding heeft Blauw gevorderd dat hij van Nebu meer informatie over de cyberaanval ontvangt, inclusief informatie over de gevolgen van de cyberaanval en de maatregelen die Nebu heeft getroffen.
Bovendien wil Blauw dat er een onafhankelijk forensisch onderzoek wordt ingesteld, nu Nebu zelf nog niet in staat is geweest om te ontdekken of (klant)gegevens van Blauw zijn getroffen. Nebu heeft geen onderzoek laten uitvoeren en heeft slechts beperkte informatie verstrekt, terwijl het toch over een grote hoeveelheid persoonsgegevens gaat die voor Blauw verwerkt worden door Nebu.
Nebu is er in de essentie mee akkoord dat hij informatie moet geven maar vindt de door Blauw voorgestelde maatregelen te ruim. Een voorbeeld daarvan is dat Blauw een veroordeling van Nebu vordert tot beantwoording van Blauws vragen en dat Nebu alle benodigde medewerking moet verlenen met betrekking tot de cyberaanval. Dat is volgens Nebu te vergaand en ingrijpend.
De rechter heeft in haar beslissing de marktonderzoeker Blauw voor het grootste gedeelte in het gelijk gesteld: er moet door Nebu in een uitgebreide vorm informatie worden verstrekt aan Blauw over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Daarnaast moet Nebu een onafhankelijk forensisch onderzoek laten uitvoeren.
Wat kunnen ondernemers hiervan leren?
1. Het is van belang dat je als verwerkingsverantwoordelijke toezicht houdt op je verwerkers, zodat je weet wat daar speelt. Dit kun je doen door je verwerkers te controleren, bijvoorbeeld met audits.
2. Je bent als verwerker verplicht om datalekken zo snel mogelijk te melden bij je klanten (de verwerkingsverantwoordelijken). Wat ‘zo snel mogelijk melden’ inhoudt staat niet in de wet; daarom wordt geadviseerd om de tijdsduur vast te leggen in de verwerkersovereenkomst.
3. Je moet als verwerker (maar ook als verwerkingsverantwoordelijke) in het geval van een datalek altijd bereikbaar zijn: voor de Autoriteit Persoonsgegevens (AP), voor je klanten, maar ook voor mogelijke slachtoffers!
Ook al heb je nog niets nieuws te melden: zorg dat je direct of indirect contact onderhoudt in algemene berichtgeving. Als je een functionaris gegevensbescherming hebt, zorg dan dat zijn/haar gegevens ook bekend zijn bij de AP, je klanten en de mogelijke slachtoffers.
Hulp nodig?
Wil je weten of jouw organisatie voorbereid is op een datalek? Of heb je een datalek en heb je iemand nodig die alles in goede banen leidt? Neem dan contact met ons op.