Het is de afgelopen tijd veel in het nieuws geweest: door een cyberaanval op softwareleverancier Nebu zijn klantgegevens van mogelijk enkele miljoenen Nederlanders uitgelekt. Naar aanleiding hiervan hebben inmiddels al 139 bedrijven, waaronder NS en VodafoneZiggo, melding gemaakt van een potentieel datalek bij de Autoriteit Persoonsgegevens (hierna: AP). En op 6 april heeft zelfs de rechtbank uitspraak gedaan in een zaak die voortkwam uit de aanval. In dit artikel leest u hoe de cyberaanval op Nebu zo’n grote impact kon hebben en hoe dit heeft geleid tot een rechtszaak.
Hoe zou een cyberaanval bij Nebu tot gevolg kunnen hebben dat klantgegevens van onder meer de NS en VodafoneZiggo uitlekken? Dit werkt als volgt. Nebu biedt software aan voor marktonderzoeken. Deze software wordt gebruikt door marktonderzoeksbureaus zoals Blauw en USP. Deze onderzoeksbureaus zijn op hun beurt ingeschakeld door verschillende bedrijven, zoals de eerdergenoemde NS en VodafoneZiggo, maar bijvoorbeeld ook ArboNed. Wanneer Blauw dus namens ArboNed een marktonderzoek uitvoert, komen gegevens van ArboNed-klanten via dit marktonderzoeksbureau op de servers van Nebu terecht.
Op 10 en 11 maart zijn de servers van Nebu slachtoffer geworden van een cyberaanval. De aanvallers hebben daarbij gegevens buitgemaakt, maar op het moment van schrijven is nog niet duidelijk wiens en welke gegevens dit zijn (al zal dit hoofdzakelijk contactgegevens en enquêteresultaten betreffen). Vanwege de mogelijke impact hebben bedrijven onder wiens verantwoordelijkheid persoonsgegevens bij Nebu waren opgeslagen een datalekmelding bij de AP moeten doen. Volgens een woordvoerder van de AP hebben al 139 bedrijven dit gedaan.
Naar aanleiding van de aanval is marktonderzoeksbureau Blauw ook een spoedprocedure tegen Nebu begonnen. Blauw vond namelijk dat Nebu niet genoeg informatie verstrekte over het datalek, bijvoorbeeld over of de cyberaanvallers inderdaad gegevens van Blauw of haar klanten hadden bemachtigd. Op grond van de (door de AVG verplichte) verwerkersovereenkomst die ze hadden gesloten, vond Blauw dat dit wel zou moeten.
De rechter wees de vorderingen van Blauw grotendeels toe. Zo moet Nebu onder meer informatie verstrekken over de cyberaanval, het herstel van de systemen, en de maatregelen die zijn genomen. Daarnaast moet Nebu Blauw informeren over welke data van Blauw en/of haar klanten nou precies zijn gelekt. Om dat boven tafel te krijgen, heeft Blauw gevorderd dat Nebu onafhankelijk onderzoek moet laten doen naar de cyberaanval. Ook deze eis is door de rechter toegewezen: binnen vijf werkdagen na de uitspraak moet Nebu een externe partij opdracht geven onderzoek uit te voeren.
Nebu moet de externe opdrachtgever vragen het definitieve rapport binnen vier weken op te stellen. Hopelijk is er daarna meer duidelijkheid over de daadwerkelijke omvang van het datalek. Maar het feit blijft dat een cyberaanval op één softwareleverancier schadelijke gevolgen kon hebben voor klanten van 139 andere bedrijven. De uitgelekte klantgegevens kunnen personen bijvoorbeeld kwetsbaarder maken voor digitale fraude, zoals phishing. Het is niet alleen belangrijk dat een bedrijf zelf goede en passende beveiligingsmaatregelen neemt, maar ook om na te gaan of leveranciers dit wel doen. En hoewel voorkomen natuurlijk beter is dan genezen, moet ook altijd worden nagedacht over hoe na een incident schade kan worden beperkt en geïnventariseerd.
Kunt u hulp gebruiken bij de informatiebeveiliging van uw bedrijf, het opstellen van een verwerkersovereenkomst of andere IT-vraagstukken? Onze experts staan voor u klaar!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.