Sofwarebedrijf Nebu moet opdrachtgever meer info over hack geven

Softwareleverancier Nebu uit Wormerveer moet meer informatie geven aan een van zijn opdrachtgevers, marktonderzoeker Blauw uit Rotterdam, over een datalek. Dat heeft de Rotterdamse rechtbank besloten in een kort geding dat was aangespannen door Blauw.

Aanleiding voor het geding was een inbraak vorige maand in de computersystemen van Nebu. Daardoor zijn de persoonlijke gegevens van mogelijk enkele miljoenen Nederlanders op straat komen te liggen. Blauw wil meer informatie over wat er precies is gebeurd, hoe groot het datalek is en wat de gevolgen zijn.

De informatie die Nebu tot nu toe heeft gegeven, is volgens Blauw volstrekt onvoldoende. De rechtbank deelt die opvatting. "In de overeenkomst tussen beide partijen is Nebu verplicht om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens en om de instructies van Blauw in een dergelijk geval op te volgen. Naar het voorlopig oordeel van de voorzieningenrechter moet het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim worden uitgelegd."

Nebu moet Blauw van de voorzieningenrechter verder "uitgebreid informatie verschaffen over het datalek en vragen beantwoorden". Daarnaast moet Nebu een onafhankelijk forensisch onderzoek naar het datalek laten uitvoeren.

Op 10 maart braken de cybercriminelen in bij Nebu. Dat werd ruim een dag later ontdekt. In de tussentijd hadden de hackers informatie van de marktonderzoekers gestolen. De Autoriteit Persoonsgegevens (AP) liet weten dat 139 organisaties in Nederland mogelijk de dupe zijn van dit datalek. Nebu maakt de software die marktonderzoekers gebruiken om voor bedrijven te peilen wat hun klanten vinden. Blauw doet dat onder meer voor NS, Vodafone, Ziggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel.

Blauw laat in een reactie op het vonnis weten dat het belangrijkste doel was om definitief te weten te komen of data van haar opdrachtgevers is buitgemaakt bij het datalek. Ook is er nu een uitspraak van de rechter over "contractuele afspraken en wettelijke verplichtingen ten aanzien van het verwerken van persoonsgegevens", stelt Blauw. "Dit is van grote waarde voor een ieder die met persoonsgegevens werkt en daarover afspraken maakt."