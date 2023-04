Het is nog altijd niet duidelijk hoeveel gegevens op straat zijn komen te liggen door het datalek bij softwareleverancier Nebu uit Wormerveer. “Als wij iets vragen, geven zij een deel van een antwoord. Als we bellen of mailen, krijgen we mondjesmaat iets te horen. Maar de belangrijkste vraag, wat is er gebeurd en welke data zijn weggehaald, is nog altijd niet beantwoord”, zegt bestuursvoorzitter Jos Vink van marktonderzoeker Blauw.

Het bureau gebruikte software van Nebu om enquĂȘtes te doen voor onder meer NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel. Blauw heeft nu een kort geding aangespannen tegen Nebu. Die zaak dient dinsdag bij de rechtbank in Rotterdam. Vink: “In onze overeenkomst met Nebu hadden we afgesproken dat wij het recht hebben om forensisch onderzoek te laten doen als zo’n situatie zich voordoet. We vragen de rechter nu: we hebben met hen afspraken gemaakt, die komen ze niet na en we weten niet wat we moeten doen, wilt u hen vertellen dat ze hun afspraken moeten nakomen?”

Ruim twintig organisaties hebben op dit moment laten weten dat ze mogelijk getroffen zijn. Maar of ze echt de dupe zijn geworden, weten ze niet zeker, zegt Vink. “Nebu werkt ook voor veel marktonderzoeksbureaus in het buitenland. Het bedrijf heeft wel bevestigd dat er data gekopieerd zijn, maar het zou ook zo kunnen zijn dat daar geen data van Nederlandse bureaus tussen zitten. Of dat zo is, is precies wat we willen weten. Ik denk dat een onderzoek door een goede bedrijfsrecherche of een forensisch bureau op zijn plaats is.”

Dat de Nederlandse organisaties toch naar buiten zijn gekomen met het mogelijke datalek, heeft te maken met de privacyregels. Een datalek moet binnen 72 uur na ontdekking zijn gemeld bij de Autoriteit Persoonsgegevens. Ook de betrokken klanten moeten zo snel mogelijk op de hoogte worden gebracht. Vink: “Dat is best paradoxaal. Misschien zijn ze door het oog van de naald gekropen. Maar de organisaties moeten een afweging maken: ga ik aan alle klanten die het mogelijk betreft vertellen ‘dit is mogelijk aan de orde, wees op je hoede’, terwijl het denkbaar is dat de data van een heel ander bureau komen?”