NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken

Deelnemers van klanttevredenheidsonderzoeken van de NS zijn 'mogelijk' slachtoffer van een datalek. Daarbij zijn namen, telefoonnummers en e-mailadressen buitgemaakt. De NS informeert daarom 'uit voorzorg' zo'n 780.000 klanten.

"Afhankelijk van het onderzoek waaraan de klant heeft deelgenomen, kan het gaan om persoonsgegevens zoals naam, e-mailadres en telefoonnummer", schrijft de NS. Financiële gegevens en wachtwoorden zijn niet gestolen. Het bedrijf heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.

Het lek vond niet bij de NS zelf plaats, maar bij een leverancier van marktonderzoeksbureau Blauw. Blauw voerde de klanttevredenheidsonderzoeken uit in opdracht van de NS. Blauw zegt dat het datalek plaatsvond bij software die Blauw gebruikt. Naast persoonsgegevens hebben de hackers ook antwoorden gestolen die klanten hebben gegeven op vragen.

Blauw zegt op 24 maart 'schriftelijk bericht' te hebben gekregen dat een onbevoegd iemand toegang had tot het netwerk van zijn softwareleverancier. Op 27 maart bevestigde die leverancier dat er daadwerkelijk data was gestolen. Opdrachtgevers van Blauw zijn ingelicht. Hoeveel opdrachtgevers er naast de NS zijn, is niet duidelijk. Ook Blauw heeft het lek bij de AP gemeld.

Door Hayte Hugo

Redacteur

28-03-2023 • 17:00

58

Submitter: field33P

Lees meer

NS stopt vanaf 1 juni met X
NS stopt vanaf 1 juni met X Nieuws van 19 mei 2025

Reacties (58)

Sorteer op:

Weergave:

Jammer weer. Waarom worden namen en telefoonnummers verzameld voor een klanttevredenheidsonderzoek?
De leverancier in kwestie zegt dit:
Het gaat dan om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan het onderzoek (namen, emailadressen en telefoonnummers) en de gegeven antwoorden in het onderzoek.
Ik denk dat de gegevens gebruikt zijn voor die mailtjes als "beste Naam, doe mee aan ons volgende onderzoek" die je krijgt zodra je ook maar één onderzoek invult.

Wat me wel teleurstelt is dat Blauw niet meldt welke leverancier van hun nou precies het datalek veroorzaakt heeft.
Ik weet niet, of het dezelfde is, maar ik ben lid van het NS-panel en daar worden de mails en vragen verzorgd door crowdtech.com
Vaak zie je in dit soort onderzoeken een vraag of men contact met je op mag nemen als men meer vragen heeft. Dan zijn contactgegevens wel vrij handig.

Daarnaast kan ik me voorstellen dat namen nuttig kunnen zijn om te voorkomen dat mensen het onderzoek meerdere malen invullen.
om te voorkomen dat mensen het onderzoek meerdere malen invullen.
Maar de NS levert typisch een dienst die je meerdere keren gebruikt... :Y) (dus ook meerdere reviews van 1 persoon mogelijk).
Een klanttevredenheidsonderzoek is geen review.
dat is niet hoe een klanttevredenheidsonderzoek werkt.
Daarnaast kan ik me voorstellen dat namen nuttig kunnen zijn om te voorkomen dat mensen het onderzoek meerdere malen invullen.
Dat kan ook op andere manieren. Ik doe ook mee aan onderzoeken van andere instituten/platforms en als ik daar een link krijg en de vragenlijst invul en nadien nog eens op die link klik, dan zegt-ie dat ik de lijst al heb ingevuld. Blijkbaar kunnen ze dat op de een of andere manier dus inzien. Die leverancier van NS moet dat dan ook kunnen.
Ik denk om verder contact op te nemen voor eventuele verdere toelichting van de klant. Gebeurt wel vaker bij klanttevredenheidsonderzoeken.
Ligt eraan hoe deze onderzoeken plaats hebben gevonden.
Stel dat er een groepje met een ipad in het station mensen vragen stellen, ja, je heb deze gegevens nodig om contact mee op te kunnen nemen. Maar als deze onderzoeken via een email uitnodiging was, dan vind ik het zeer slecht dat er persoons gegevens worden gevraagd, je weet immers die mensen al te bereiken, je heb hun contact al.
Het betreft blijkbaar 780.000 mensen, dat zijn er wel érg veel die dan het vinkje hebben gezet bij “ja, ik wil benaderd worden door de NS voor een vervolg” of iets dergelijks.

Lijkt me eerder in dit geval dat de NS zich niet aan de afspraken heeft gehouden en gewoon alle persoonsgegevens hebben opgeslagen.
Blauw heeft ook een flinke FB campagne, daarnaast krijg je als panel lid van de NS soms extra's zoals vrij reizen. Ik vind het niet een extreem hoog aantal.
Ik doe er zelf ook aan mee terwijl ik verder weinig met dat soort enquetes heb. Het OV is van ons allemaal dus dan moet je er ook wel over mee denken, vind ik.
NS houdt zich 100% zeker niet aan de wet, als jij je tickets wilt omboeken willen ze alles van je weten zoals postcode en huisnummer, dit is totaal niet nodig om een ticket om te boeken en is niet te verantwoorden.
Dus eigenlijk overtreedt de overheid hun eigen regels? Gezien de overheid 100% aandeelhouder is.
Dat is zeker, maar is eerder de regel dan de uitzondering toch?
Jammer weer. Waarom worden namen en telefoonnummers verzameld voor een klanttevredenheidsonderzoek?
Tja dat vraag ik vaker af, waar komt die drang vandaan om zoveel mogelijk gegevens te vragen en op te slaan.
Aan klant tevreden onderzoeken doe ik zo wie zo niet, bij webshops krijgen ze uitsluitend de gegevens die nodig zijn om een bestelling te leveren.
Telefoonnummer geef ik nooit, geboortedatum komt uit mijn grote duim.
Een partij als de NS moet dit soort gegevens naar mijn mening pas delen na toestemming van de klant. Dus eerst vragen of die gegevens naar een onderzoeksbureau mogen, zodat zij vervolgens kunnen vragen of ik mee wil doen. Dan had ik namelijk gelijk al 'nee' gezegd en had het onderzoeksbureau mijn gegevens niet gehad. Uberhaupt vind ik dat vervelend, want ook daar had ik 'nee' tegen gehad. Ik wil eigenlijk uberhaupt niet dat de NS gegevens als mijn naam, emailadres en telefoonnummer deelt met welke andere partij dan ook.

Sowieso ben ik al die 'tevredenheidsonderzoeken' enorm zat aan het worden. Je koopt bijvoorbeeld iets en krijgt vervolgens gelijk de vraag om mee te doen. Daar kun je je niet voor afmelden, want het is een servicemail. Vervolgens krijg je twee weken later nog een herinnering, want stel je voor dat je het vergeten bent! Kap er gewoon mee. Dan krijg je dit soort onzin ook niet. Zet een feedbackformulier online, als mensen boos zijn weten ze die echt wel te vinden.
Euhm, je meldt je zelf aan hiervoor en dan ga je akkoord met de voorwaarden. Er wordt ook duidelijk bijgezegd dat dit een extern bedrijf is dat in opdracht van NS werkt. Dus de NS heeft niks gedeeld; de consument heeft dat zelf (actief, en zonder tussenkomst van NS) gedaan.

EDIT: ik zat met iets anders in mijn hoofd; NS Panel. Dit zijn terugkerende onderzoeken waarvoor je je specifiek moet aanmelden. Het lijkt hier te gaan om iets anders, want in de aanmelding van NS Panel lees ik dat dit bedrijf niet Blauw heet maar MWM2. Daarmee was ik in de wat, en deed ik de onterechte aanname dat je jezelf had moeten aanmelden hiervoor.

[Reactie gewijzigd door Djerro123 op 22 juli 2024 14:29]

No way dat ik mij zelf voor dit soort dingen aanmeld. Wat ik wel heb gedaan is ooit de NS klantenservice gebeld omdat er teveel geld is afgeschreven. Dat is het enige wat ik ooit gedaan heb bij de NS na het aanvragen van mijn chipkaart.

Ik doe absoluut niet mee met welke vorm van onderzoek dan ook. In het verleden kwamen er wel eens mensen met een rood jasje langs voor onderzoek, ook daar zeg ii nee tegen.

Ik ben het type persoon dat net zo lang naar partijen blijft spammen tot ze zelf ophouden met spammen. Denk bijvoorbeeld aan oud bewoners die zich aangemeld hebben waarvan wij nu nog post krijgen. Stuk voor stuk regel ik dat. Ik kan met 100% zekerheid zeggen dat ik me niet aanmeld voor dit soort dingen.
Bedrijven verwerken je gegevens omdat dat noodzakelijk is voor de dienstverlening. Daar hebben ze toestemming voor via de algemene voorwaarden waar je mee akkoord gaat bij het plaatsen van een bestelling.

Vrij veel bedrijven denken dat klanttevredenheidsonderzoeken vallen onder noodzakelijke dienstverlening. Daarin zijn ze uiteraard abuis, en dit is een van de redenen waarom dat zo is.

Het tragische is dat NS mijn klantgegevens hard doorgegeven aan Blauw om te vragen wat ik vond van een simpel restitutieverzoek dat uiteindelijk ruim negen maanden kostte om behandeld te worden. Misschien krijg ik nu ook van Blauw een uitnodiging voor een tevredenheidsonderzoek over hun dienstverlening?
Je hebt gelijk, ik heb mijn reactie aanpast, was met wat iets anders verward.
Ik ben heel erg tegen meedoen met dit soort onderzoeken en zal ook nooit een ja aanvinken daarvoor, toch helaas een e-mail gekregen. Vraag me toch af hoe dat zit.
Ik ook niet.
Vermoed dat de NS het in de voorwaarden heeft opgenomen (?) En dus standaard een deel van het klantenbestand deelt voor dergelijke onderzoeken.
Interessant! Ik heb mij dus wel (expres) aangemeld voor de klanttevredenheidsonderzoek en bij NS (ja, ik geloof dat feedback de eerste stap naar verbetering is ;)) maar niet zo’n mail gehad. Zouden dat andere dingen zijn?

EDIT: ik zie nu dat dit (heet NS Panel) door MWM2 wordt uitgevoerd, niet Blauw.

[Reactie gewijzigd door Djerro123 op 22 juli 2024 14:29]

Hetzelfde hier. Ik doe nooit mee aan dit soort activiteiten en zie de "Review cultuur" sowieso absurde proporties aannemen.

Ik vraag me overigens serieus af of het komt door dat je bijvoorbeeld bij een (chat) gesprek met een medewerker, achteraf een vraag krijgt hoe het gesprek verlopen is: als je daar antwoord op geeft, dat dat wellicht al meedoen is aan een markt (tevredenheids) onderzoek.
Het maakt niet uit wat ns stelt dat gegevens bij een ander bedrijf vetwerkt kunnen worden. Ns is opdrachtgever. Dus kunnen ze richting klante. het niet afschuiven dat ze zelf, dit enqueteburo en softwarebedrijf gegevens zo buitengewoon slordig verwerken dat er geen controle meer was. Zelfs als die voorwaarden vertellen wanneer je gegevens ergens anders belanden is wettelijke plicht belangrijker.

En het probleem is dat die voorwaarden zelden duidelijk genoeg zijn over verwerking door anderen, hooguit dat het misschien het geval is. Die voorwaarden vertellen zelden bij welke bedrijven ze belanden. Die voorwaarden vertellen zelden tot nooit dat die bedrijven je gegevens vervolgens weer ergens anders laten verwerken. En ook maken die voorwaarden zelden duidelijk hoe dit soort bedrijven werkelijk controle heeft over de persoonsgegevens, hooguit staan er zulke vage beweringen dat niet blijkt dat de voorwaarden redelijk zijn. Dus stellen dat je met voorwaarden akkoord bent gegaan wil niet zomaar betekenen dat je het dus maar op de slachtoffers kunt afschuiven. Laat die bedrijven als NS, blauw en.die softwarelevenancier eerst maar eens aantonen waaruit blijkt dat die voorwaarden redelijk zijn als ze er duidelijk zo enorme zooi mee maken dat ze geen enkele controle bleken te hebben. Dit soort voorwaarden kunnen geen excuus zijn. Hooguit bedrog. En daar gaan gebruikers niet mee accoord door simpel mee te doen, gebruikers mogen verwachten dat ondanks de voorwaarden de bedrijven aan de wet voldoen. Met dit afschuiven en lekken voldeden ze overduidelijk niet zomaar.

[Reactie gewijzigd door kodak op 22 juli 2024 14:29]

Nou... ik vink altijd uit bij webshops dat ik nieuwsbrieven en evaluaties wil ontvangen. Maar toch krijg ik ze.
Ze overtreden wel de wet. Ze geven namelijk aan de gegevens alleen te delen met IT leveranciers. Een marktonderzoeksburo is geen IT leverancier:

Met wie delen wij gegevens?
Wij kunnen derden, zoals deurwaarders en incassobureaus inschakelen om namens ons vorderingen te innen.
Ook schakelen wij derden in voor de uitvoering van IT-diensten. Deze derden zijn verwerkers van ons en verwerken de gegevens slechts ten behoeve van ons en voor geen enkel ander doel. Met deze partijen hebben wij afspraken gemaakt over de verwerking van persoonsgegevens, bijvoorbeeld over de beveiliging en het bewaren van gegevens.
Wij kunnen uw persoonsgegevens onder omstandigheden doorgeven buiten de Europese Economische Ruimte. Als wij dat doen treffen wij passende maatregelen met deze partijen bijvoorbeeld door het sluiten van de stan- daardbepalingen die door de Europese Commissie zijn vastgesteld.
Dus als je zélf naar de website van het NS-panel gaat, op inschrijven klikt, al je gegevens invult en vervolgens vragenlijsten krijgt als onderdeel van dat panel (want daar is het panel voor bedoeld), dan is het de fout van NS omdat zíj je geen mogelijkheid hebben gegeven tot afmelden?

Dat je boos bent op sommige webwinkels is begrijpelijk, maar dit NS-panel is toch echt iets waar je zélf voor kiest en waar NS je niet uit hunzelf voor benaderd.
Dat je boos bent op sommige webwinkels is begrijpelijk, maar dit NS-panel is toch echt iets waar je zélf voor kiest en waar NS je niet uit hunzelf voor benaderd.
Huh, dat heb ik dus nooit gedaan. Ik heb letterlijk 1 keer gebeld naar de klantenservice omdat er teveel geld is afgeschreven. Verder natuurlijk ooit een OV-kaart aangevraagd. Maar ik heb nooit wat met het NS-panel gedaan. Daar heb ik mij niet voor aangemeld, ik doe nooit mee aan dat soort dingen. Dus nogmaals, ik ben 100% zeker dat ik mij niet heb aangemeld voor iets als een NS-panel. Ik wist niet eens dat het bestond. Ik probeer dat soort dingen actief de deur uit te houden en nooit aan mee te doen. Dan ga ik dus echt niet mij vrijwillig aanmelden. Ik heb ook nooit gehoord van partijen als Blauw. Ik vraag me dan ook echt af hoe mijn gegevens daar terecht zijn gekomen.
Ze nemen daar meer blauw op straat wel heel letterlijk :+

Maar goed, vervelend. Maar we moeten niet doen alsof zaken als naam, telefoonnummer en e-mailadres al lang niet voor elke Nederlander in lijstvorm beschikbaar zijn. Er zijn zoveel datalekken geweest dat je wel heel voorzichtig moet zijn om niet op een van die lijsten voor te komen.
Maar we moeten niet doen alsof zaken als naam, telefoonnummer en e-mailadres al lang niet voor elke Nederlander in lijstvorm beschikbaar zijn.
We moeten ook niet doen alsof dit een vrijbrief is om de ernst van het datalek te verminderen. Lekken van persoonsgegevens is lekken van persoonsgegevens.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:29]

Klopt, maar ik ben voorstander van er standaard vanuit gaan dat dit soort gegevens bekend zijn. Net als met een uniek nummertje wat we toevallig een BSN noemen, eventueel in combinatie met een willekeurige krabbel die bij de meeste mensen nooit hetzelfde is. Ik hoop dat we voor belangrijke zaken steeds meer richting oplossingen als Digid kunnen of misschien zelfs wel een soort van mfa op basis van je paspoort.
Klopt, maar ik ben voorstander van er standaard vanuit gaan dat dit soort gegevens bekend zijn.
Waarom?
Net als met een uniek nummertje wat we toevallig een BSN noemen, eventueel in combinatie met een willekeurige krabbel die bij de meeste mensen nooit hetzelfde is.
Ondertussen zijn daar in de echte wereld nog steeds te veel problemen mee. Die moeten eerst allemaal opgelost worden.

Verder is mijn mening dat verantwoordelijken (van beslissingnemers tot en met de hoogste bestuurders, ook van moederbedrijven) bij datalekken persoonlijk aansprakelijk gesteld worden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:29]

Dus NS huurt een enqueteburo in, dat enqueteburo huurt een softwarelevenancier is en die softwareleverancier heeft zowel voor het enqueteburo en NS en de deelnemers/klanten aan de enquetes de beveiliging zo slecht onder controle dat vooral de deelnemers de dupe zijn. Kunnen we aub dit soort doorschuiven verbieden? Het zorgt namelijk niet voor redelijke beveiliging en controle, eerder voor zo goedkoop mogelijk afschuiven om vooral te willen verdienen over andermans rug. Ns was duidelijk niet in controle over de persoonsgegevens, het enqueteburo was duidelijk niet in controle over de persoonsgegevens, het softwarebedrijf was duidelijk niet in controle over de persoonsgegevens en de deelnemers/klanten zijn het overduidelijk helemaal niet meer.

[Reactie gewijzigd door kodak op 22 juli 2024 14:29]

Tja het alternatief is dat je niets door een andere partij (die daar gespecialiseerd in is!) mag laten doen, en dan krijg je ook 'schoenmaker blijf bij je leest' situaties met bedrijven die zaken uitvoeren waar ze niet goed in zijn. Dan kan je net zo goed een datalek etc. Krijgen.
Het alternatief is eerder dat de bedrijven dan horen te beslissen om niet iets te doen waar ze geen verstand van hebben, of in ieder geval geen hulpmiddelen te gaan gebruiken waar ze geen controle over hebben (zoals hoe dan ook al wettelijk hoort). Dit soort uitbesteden met veel te makkelijke voorwaarden en overduidelijk gebrek aan verplichte wettelijke controle over wat die dienstverleners en dienstverlener van die dienstverleners werkelijk doen is al niet toegestaan en de kans op fouten is veel te groot door het afschuiven. Als ze het zelf doen en dan mogelijk de fout in kunnen gaan lijkt me eerder te zorgen dat deze bedrijfsvoering niet houdbaar is.

[Reactie gewijzigd door kodak op 22 juli 2024 14:29]

Ik heb deze mail ontvangen:
Beste reiziger,

Uit voorzorg informeren wij u over het volgende: bij een leverancier van marktonderzoekbureau Blauw waar wij mee samenwerken, is een datalek gevonden. Mogelijk is daarbij een aantal van uw persoonsgegevens gelekt, zoals naam, e-mailadres en telefoonnummer. Het gaat niet om financiële gegevens of wachtwoorden.
Maatregelen genomen om lek te dichten
Het datalek vond plaats bij een leverancier van marktonderzoekbureau Blauw. Dat bureau doet regelmatig onderzoek in opdracht van NS. U bent voor een of meer van deze onderzoeken uitgenodigd. Het zou kunnen dat uw gegevens via hen zijn gelekt, we vinden dat erg vervelend. Er zijn direct maatregelen getroffen om het datalek te dichten en om herhaling te voorkomen. Ook hebben wij melding gedaan bij de Autoriteit Persoonsgegevens.
Wees alert op phishing-berichten
Wij vragen u daarom extra alert te zijn op zogenaamde phishing-berichten, zoals een e-mail of Whatsapp-bericht. Phishing-berichten lijken afkomstig te zijn van bekenden of bedrijven, maar worden in werkelijkheid verzonden door mensen die kwaad willen. Het doel van een phishing-bericht is om meer gegevens van u buit te maken of om betalingen door u te laten uitvoeren. In zo’n phishing-bericht kan persoonlijke informatie van u worden gebruikt. Op die manier komt het bericht geloofwaardiger over.
Heeft u nog vragen?
We helpen u graag verder. Neem contact op met onze Klantenservice.

Met vriendelijke groet,
Ivo Steffens,
Directeur Commercie
Als het lek bij Blauw zit of zijn softwareleverancier, dan kunnen we binnenkort nog wel meer meldingen verwachten denk ik. Als je op de pagina Customer Experience kijkt, staan er meer bekende namen bij zoals ANWB, CZ, VAttenfall, Rabobank, NPO enz. Ik zeg niet dat die data ook gelekt is! Waarschijnlijk afhankelijk van hoe oud die klantonderzoeken zijn geweest en hoe lang die gegevens bewaard worden. Maar Blauw heeft het zelf al over Opdrachtgevers (meervoud).

Vreemde is dat NS er niet bij staat op die Customer experience pagina?
Je hebt gelijk, want bij hun klusje voor Ziggo zijn ze ook de fout in gegaan, https://www.nu.nl/tech/62...bij-marktonderzoeker.html
14 kennelijk in totaal :( Er staan er 18 op die Customer experience pagina. Dus dat zijn ze bijna allemaal. Eens kijken hoe snel die zijn met melden ;)
Is al bekend dat die allemaal gelekt zijn/hebben? Wel een fijne partij, die Blauw :+
Zowel NS als Ziggo staan niet op die Customer experience pagina. Dus misschien is die pagina verouderd. Het Nu.nl artikel heeft het over 14 klanten van blauw. Dus Dus naats NS en Ziggo nog 12 andere recente klanten? Geen idee.
Ik weet uit ervaring dat Blauw bij verschillende leveranciers de software afneemt. In dit geval is het Nebu B.V. waar het lekt.

https://www.blauw.com/nl/datalek-leverancier
https://www.computable.nl...gt-marktonderzoekers.html
Huidige werkgever maakt ook gebruik van blauw voor anonieme interne tevredenheid onderzoeken. Morgen even vragen welke informatie ze eigenlijk gebruiken.
Ik vind de telefoonnummers die gelekt zijn wel weer bijzonder. Vroeger had iedereen gewoon een telefoongids en kon men iedereen daar vinden. Adres stond ook gewoon in de telefoongids. Alleen email niet (want dat bestond toen nog bijna niet).
Net als vroeger kun je ook nu met een simpele handeling je nummer uit openbare registers verwijderen en als je dat bij het telefoonboek deed dan stond je daar ook niet met je adres in.
Hmmm. Ik vraag mij nu werkelijk af: waar maakt de NS zich meer zorgen om. De persoonsgegevens.

Of de antwoorden :X }>

[Reactie gewijzigd door rob12424 op 22 juli 2024 14:29]

Het lek vond niet bij de NS zelf plaats, maar bij een leverancier van marktonderzoeksbureau Blauw.
Die doet z'n naam eer aan door een blauwtje op te lopen :+

Op dit item kan niet meer gereageerd worden.