De Nederlandse Spoorwegen hebben ongeveer 780.000 klanten gewaarschuwd dat hun persoonsgegevens mogelijk zijn betrokken bij een datalek. Het vervoersbedrijf werkt samen met marktonderzoeker Blauw, en bij een softwareleverancier van dat bedrijf hebben buitenstaanders toegang gekregen tot persoonlijke data. Van treinreizigers die meededen aan een tevredenheidsonderzoek kunnen bijvoorbeeld e-mailadressen, telefoonnummers of namen zijn gelekt.
"Afhankelijk van het onderzoek waaraan de klant heeft deelgenomen kan het gaan om persoonsgegevens zoals naam, e-mailadres en telefoonnummer. Het gaat niet om financiële gegevens of wachtwoorden", meldt de NS.
De spoorwegmaatschappij vraagt klanten extra op te letten voor signalen van phishing. Dat is een vorm van oplichting waarbij criminelen zich in e-mails of appjes voordoen als iemand anders om wachtwoorden of andere gevoelige informatie buit te maken. Dat kan bijvoorbeeld door een e-mail uit naam van een bedrijf te sturen.
De mogelijk gelekte gegevens gaf NS aan marktonderzoeker Blauw, dat daarmee uitnodigingen kon versturen om mee te doen aan een enquête. Het is volgens een NS-woordvoerder nog niet met zekerheid vastgesteld dat die informatie ook op straat is komen te liggen, maar de kans was dusdanig groot dat de waarschuwing nodig was.
Het datalek treft mogelijk meer bedrijven. Een woordvoerder van Blauw zegt dat personen van buitenaf mogelijk bij de gegevens konden van veertien opdrachtgevers, maar het onderzoeksbureau wil geen namen geven. Het aantal personen waarvan die bedrijven gegevens hadden doorgegeven aan Blauw varieert van "honderdduizenden, namelijk bij de NS, tot enkele honderden bij de kleinere opdrachtgevers."
Blauw kreeg vorige week vrijdag bericht dat een onbevoegde toegang had tot het netwerk van de softwareleverancier. Maandag bevestigde deze leverancier dat er daadwerkelijk gegevens waren gestolen. Het bedrijf onderzoekt nog welke gegevens precies zijn gestolen of bekeken door onbevoegden. De toegang tot de persoonsgegevens is inmiddels afgesloten, meldt de woordvoerder van Blauw. Hij wil niet zeggen wie de softwareleverancier was.
NS en Blauw hebben allebei een melding gedaan bij de Autoriteit Persoonsgegevens. Die zag het aantal datalekken als gevolg van cyberaanvallen de afgelopen tijd al flink stijgen. In 2021, het jaar met de meest recente cijfers, waren zo'n 88 procent meer van dit soort incidenten dan een jaar eerder. Een woordvoerder legt uit dat in principe de bedrijven die persoonsgegevens verzamelen ook verantwoordelijk blijven voor de bescherming van die gegevens.