NOS: datalek bij marktonderzoekers bevat zeker 2 miljoen datapunten - update - Computer - Nieuws

Zeker twee miljoen records zijn betrokken bij een groot Nederlands datalek waarmee marktonderzoeksbedrijf Blauw Research vaak geassocieerd wordt. Dat bedrijf werkte voor onder andere VodafoneZiggo en de NS. Andere marktonderzoekers blijken ook getroffen te zijn en de gemene deler is het gebruik van software van het Canadese bedrijf Nebu.

Dat schrijft de NOS. Naast VodafoneZiggo en de NS blijken nu ook klantgegevens van de Nederlandse Golf Federatie, ArboNed en vervoersbedrijf Trevvel uitgelekt. Eerder was al gebleken dat zorgverzekeraar CZ, de Vrienden van Amstel Live, de Rijksdienst voor Ondernemend Nederland en woningcorporatie Stadgenoot betrokken zijn in de kwestie. Blauw gaf eerder te kennen dat veertien van zijn klanten betrokken zijn bij het datalek, maar deze zijn op de bovenstaande negen na dus niet bekend. Hoe de verdeling is van de aandelen aan slachtoffers, is ook niet duidelijk.

De NOS deed een rondgang langs marktonderzoekers in Nederland. De publieke omroep stelt dat 'meerdere' van deze partijen bevestigen slachtoffer te zijn van dezelfde hack. Volgens hen ligt de oorzaak bij softwarelerverancier Nebu, dat een kantoor onder de rook van Amsterdam heeft, maar volgens de NOS onderdeel is van een Canadees bedrijf. Het bedrijf reageerde niet op vragen van de NOS om commentaar.

Blauw-topman Jos Vink kon ten tijde van de hack naar eigen zeggen ook niet rekenen op steun van de Nebu-eigenaar. "We wilden weten hoe lang hackers binnen zijn geweest en of er data is buitgemaakt. Zij werkten op geen enkele manier mee." Blauw zet nu druk middels een advocatenkantoor, tezamen met vijf andere bureaus. Volgende week dinsdag is er een zitting in deze zaak.

Het is nog altijd onduidelijk welke gegevens precies gestolen zijn via de kwetsbaarheid bij de softwareleverancier. Dat zou in principe alleen gaan om namen en e-mailadressen, maar bij andere bureaus komen incidenteel ook telefoonnummers langs. De hack vond plaats in het weekend van 11 maart.

Update, vrijdag, 13.03: de NOS laat in een privébericht weten dat het gaat om twee miljoen datapunten en niet de gegevens van twee miljoen mensen. Het NOS-artikel bevat op het moment van schrijven die fout nog; dat wordt naar verwachting nog aangepast.

Reacties (128)

bastv 31 maart 2023 08:50

Ook pensioenfonds PME geraakt
https://www.pmepensioen.nl/datalek-softwareleverancier

Het gaat mogelijk om de volgende persoonlijke gegevens:
· Achternaam
· Leeftijd
· Geslacht
· Telefoonnummer
· Inkomen

Erg vreemd dat achternaam/tel nummer ook onderdeel is van het lek aangezien je bij onderzoeksbureaus zou verwachten dat men deze data anonimiseert.

PME zorgt voor een goed, betaalbaar, duurzaam en persoonlijk pensioen. Voor de 1.400 werkgevers, bijna 170.000 actieve deelnemers en bijna 170.000 gepensioneerden in de metaal- en technologische industrie.

Anders @bastv • 31 maart 2023 10:11

En de Huurcommissie
https://www.huurcommissie...r-datalek-bij-leverancier

robertlinke @bastv • 31 maart 2023 10:23

ik heb zelf een halfwezen pensioen bij PME, geen bericht gehad of mijn data ook gelekt is

Andros @bastv • 31 maart 2023 12:36

"Wilt u na dit onderzoek een piepkleine kans maken op een boekenbon of voettocht naar Rome? Vul dan hieronder uw naam/adres/telefoonnummer in en wij nemen contact met u op als u bij de winnaars behoort"...

Kansloze zaak @Andros • 31 maart 2023 14:19

Ja, of je koopt een auto, of je bent ooit in de KvK vermeld...
Van de week nog zo'n datagraaier aan de lijn gehad. Vertelde netjes waar de data vandaan kwam... Tsja..
PRIVACY!!! daar is wat mee.

Als je ook al geen auto meer kan kopen zonder dat je gegevens in een commerciele database kan komen, waar zijn we dan mee bezig?

joeyhelmond0492 @Kansloze zaak • 2 april 2023 02:31

Op die vraag kan ik prima antwoord geven...

Onze koppen in het zand steken en zo naief als sommige van ons zijn ons blinde vertrouwen in dit soort organisaties of diensten steken.

martwoutnl @bastv • 31 maart 2023 13:38

En die NEBU heeft volgens https://www.gelderlander....efoonnummer-weg~aeb9ccf7/ zijn contactgegevens verwijderd.

dss58 @bastv • 31 maart 2023 13:55

wat moet je in hemelsnaam met die data, ik heb 160 miljoen namen met wachtwoorden en je kunt er alleen maar rotzooi mee uit halen, ik heb het ooit van een bulgaarse site gehaald om scripts te testen.

lhuizing @bastv • 3 april 2023 13:42

Het anonieme is niet altijd van toepassing, en gaat in het marktonderzoek vaak over de resultaten, niet over de uitvraag. Je moet toch weten wie je spreekt, tenslotte. Bij klanttevredenheidsonderzoek of medewerkerstevredenheidonderzoek krijgt het bureau een lijst met namen en contactgegevens en benadert die mensen. In de onderzoeksresultaten zijn die gegevens natuurlijk niet meer herleidbaar, want er worden dan alleen geaggregeerde resultaten doorgegeven.

Nebu is overigens een Nederlands bedrijf dat is overgenomen door een Canadees bedrijf. Ik vermoed dat de software grotendeels gewoon in Nederland is ontwikkeld.

^^0nMe 30 maart 2023 22:44

Ik werkte een aantal jaren geleden op de interne Marketing Intelligence afdeling van een vergelijkbare organisatie als de NS, die nu vooralsnog niet getroffen lijkt te zijn door dit incident maar destijds ook heeft besloten om de marktonderzoeken uit te besteden aan een externe partij.
Marktonderzoek anno nu gaat veel verder dan een simpel vragenlijstje, maar koppelt deze aan een specifieke timing, profielgegevens en transactiegegevens van een klant voor het verkrijgen van waardevolle klantinzichten. Intern hadden we het zo opgezet dat mailbestanden, 'big data verrijkingen' en vragenlijstdata nooit in 1 bestand/locatie beschikbaar was, maar bij de mogelijke uitbesteding aan de softwareleverancier/externe partij kwam naar voren dat men dit wel graag wilde ivm 'real-time' inzichten tonen in hun eigen dashboard omgeving.

Afhankelijk van het type onderzoek is de kans daarom best groot dat er naast naam, email, tel nr. ook zaken als postcodes, klanttyperingen (persona's), (geaggregeerde) transactiedata, en natuurlijk de vragenlijstdata zelf aanwezig was. In de huidige wereld met phishing en AI om dat te ondersteunen is het vrijelijk beschikbaar zijn van dat soort verrijkte data aan kwaadwillenden wel angstaanjagend...

kodak

Networking en security
Datalek
Hack
Nederland
Politiek en recht
Hackers

@^^0nMe • 31 maart 2023 10:55

Het probleem is niet de kans, maar de kennelijke onwetendheid. Men weet kennelijk niet wat een dienstverlener precies doet of na laat, wat een dienstverlener van een dienstverlener precies doet of na laat. Dan kun je als verantwoordelijken voor kieze dat het op papier wel genoeg is, maar dat is overduidelijk niet zomaar te vergelijken met de praktijk. Bedrijven die hun klantgegevens uit handen geven horen niet alleen op papier controle te hebben, maar ook in de praktijk. Als geen van deze bedrijven inzicht heeft in hoe de praktijk bij dienstverleners en hun dienstverleners en hun dienstverleners voldoet, dan hoor je niet het risico te nemen dat het wel goed zit. Ja, met je eigen gegevens, maar niet die van je klanten.

Kansloze zaak @kodak • 31 maart 2023 14:21

MaAr zE haDdeN eeN ISO ceRtiFicAat
DAN mag je toch wel aannemen dat het veilig is?

roawser @Kansloze zaak • 31 maart 2023 16:05

Zoals ik elders in deze draad al schreef, dat ISO certificaat is twee weken geleden verlopen

Kansloze zaak @roawser • 1 april 2023 15:40

Toen ze klant werden was het wel geldig.

Anoniem: 1582350 30 maart 2023 22:24

Het zou fijn zijn dat je kunt aangeven dat jouw gegevens niet aan derden verstrekt mogen worden anders dan voor het zuiver klant zijn.

Verder hoelang blijven de gegevens bij een derde? Het lijkt erop dat de gegevens onbeperkt bij deze bedrijven aanwezig blijven.

Ik gebruik voor ieder bedrijf of persoon een eigen e-mail adres. Lekt dat adres dan trek ik dat e-mail adres in, of er wordt een nieuw adres verstrekt met een kenmerk erin dat er een lek heeft plaats gevonden.

Mocht er nog een keer gelekt worden dan is er geen e-mail adres meer beschikbaar vanuit mijn kant en dan sturen zij maar een brief. De brievenbus laat immers alles toe.

Polydeukes @Anoniem: 1582350 • 30 maart 2023 22:39

In heel veel voorwaarden (die zelden iemand leest) van bedrijven staat in de kleine lettertjes dat door dienst X af te nemen je akkoord gaat met het verwerken en soms delen van jouw gegevens, eventueel door een derde partij.

GoBieN-Be @Polydeukes • 31 maart 2023 00:36

Als het geen vereiste is van de dienstverlening dan mogen ze het niet doorgeven aan de derde partij zonder expliciete toestemming van jou, mits een opt-in.

StackMySwitchUp @GoBieN-Be • 31 maart 2023 07:39

En daar komt "Gerechtvaardigd belang" om de hoek kijken.

Ik hoop dat dit soort grondslagen snel illegaal wordt verklaard naar aanleiding van dit soort hacks.
Het zal dan alleen al mosterd na de maaltijd worden, want onze gegevens liggen toch al op straat.

J_van_Ekris @StackMySwitchUp • 31 maart 2023 09:24

En daar komt "Gerechtvaardigd belang" om de hoek kijken.

Ik hoop dat dit soort grondslagen snel illegaal wordt verklaard naar aanleiding van dit soort hacks.

Kansloos. In heel veel gevallen is het gewoon een noodzakelijke grondslag en worden hier dus gegevens verstrekt aan een onderaannemer om activiteiten uit te voeren namens de opdrachtgever. Dus of je nu door Nebu, Blauw of NS lastig gevallen wordt met de vraag de dienstverlening te beoordelen, dat maakt in praktijk niet uit. En als bedrijf heb je het recht om je klanten te vragen wat er beter kan in de toekomst. Is de klant uiteindelijk ook mee gediend.

De ellende is dan ook niet de grondslag op zich, maar deze getrapte opzet van onderaanneming. Als verwerkingsverantwoordelijke heb je verantwoordelijkheid te nemen voor wat je onderaannemers doen, en dat zou in mijn beleving dus ook gepaard moeten gaan met inspecties en audits van Blauw en Nebu. Ik weet niet of men dit zo proactief heeft opgepakt, maar dat zou wel moeten in mijn beleving.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 15:00]

StackMySwitchUp @J_van_Ekris • 31 maart 2023 13:56

Waarom moet dit onder het blanket statement van "gerechtvaardigd belang" ?
Als bedrijven mijn persoonlijke gegevens willen delen met derden dan mogen ze dat duidelijk verwoord aan mij specificeren per case, en dan mag ik daar wel of geen toestemming op geven.

Dan wil ik weten:
Wat deel je precies?
Met wie deel je het? (onderaannemers bijvoorbeeld)
Hoe lang? (ik wil dat na x tijd mijn gegevens geanonimiseerd of verwijderd worden)
Wanneer?
Waarom?

J_van_Ekris @StackMySwitchUp • 31 maart 2023 15:01

Waarom moet dit onder het blanket statement van "gerechtvaardigd belang" ?
Als bedrijven mijn persoonlijke gegevens willen delen met derden dan mogen ze dat duidelijk verwoord aan mij specificeren per case, en dan mag ik daar wel of geen toestemming op geven.

Ik denk dat je de zaken totaal verkeerd ziet. Er is geen "delen met derden", maar er is gewoon een bikkelharde uitbestedingsrelatie. De NS geeft Blauw opdracht om een onderzoek te doen, waarbij Blauw weer een opdracht aan Benu geeft. Dit is hetzelfde als dat Bol.com een pakketje verstuurd, en omdat te laten gebeuren jouw NAW gegevens, en mogelijk een verzekeringswaarde, "deelt" met PostNL. Nogal wiedes, anders zou Bol.com zelf moeten bezorgen en daar zijn andere partijen beter in. Dat is ook waarom een NS een club als Blauw inhuurt, en omdat Blauw blijkbaar niet goed is in software bouwen zij Benu weer inhuren.

Een bedrijf heeft gewoon het recht om te beslissen of ze werk zelf doen of dat ze het uitbesteden. Een sub-verwerker (zoals dat onder de AVG heet) krijgt (net als de verwerker) met de dataset een hele specifieke opdracht mee, en mag onder geen enkel beding andere dingen doen dan waartoe die gegevens zijn verstrekt. Een verwerker is slechts een uitvoerder, en moet dus doen waartoe hij opdracht heeft gekregen (want contract) maar hij mag op geen enkele manier andere dingen gaan doen met die data (en daar zit mijn bezwaar tegen jouw zinsnede "delen met derden"). Data mag dus niet met de data van andere opdrachten verrijkt worden. Als de opdracht voorbij is, moet de data vernietigd worden. En zoals al gezegd: of het nu een interne NS-afdeling is die een marktonderzoek doet, of dat dit uitbesteed is, dat mag volgens de AVG voor de omgang met de persoonsgegevens absoluut niet uitmaken. Conform de AVG moeten het contract en de verwerkingsovereenkomst dat borgen.

Dat gerechtvaardigd belang is nodig omdat het anders onwerkbaar wordt. Dat gerechtvaardigd belang moet in het verlengde liggen van het initiele doel van het vergaren van informatie, dus het onder het kopje gerechtvaardigd belang verkopen van je ledenbestand is nog steeds verboden (let je op, KNLTB...). Eigenlijk bestaat dat gerechtvaardigd belang omdat je anders 500 vinkjes moet gaan zetten en jij bij elke nieuwe use case er weer een mailtje verschijnt waar je op moet antwoorden. Waarbij 99,9% zo'n "nogal wiedes" situatie is.

Dit komt omdat er ook statistiek op klanten en hun aankopen bedreven wordt, etc.. Zo mag je als bedrijf wel probleemloos kijken welke producten populair zijn in Groningen, en welke in de Randstad. Zo zijn telecomproviders continue aan het kijken wat belpatronen en dataptronen zijn om te zien of een betere clustering (lees: abbonementsvorm) het beste past en om netwerkplanning mogelijk te maken. En dan heb je als bedrijf ook een gerechtvaardigd belang om die analyse uit te voeren (zie deze AP uitspraak).

Dit is overigens geen vrijbrief om alle belgegevens maar ongelimiteerd door te spitten. Verschillende telco's kregen bijvoorbeeld een boete omdat ze onvoldoende dataminimalisatie toepasten bij hun interne analyse-afdelingen. Dus de AVG werkt ook intern, en blokkeert ook dat dit soort analyses gebruik maken van NAW-gegevens. Maar of dat onderzoek intern of extern wordt uitgevoerd mag niet uitmaken.

telenut @StackMySwitchUp • 31 maart 2023 09:43

Sommige zeggen gewoon letterlijk in hun voorwaarden dat ze niet beschermd zijn tegen hackers...
https://www.ikfietsnaarhe...ssen%20op%20het%20netwerk.

Donstil 30 maart 2023 23:06

Kreeg vandaag zelfs een mail van de overheid (RVO) dat mijn e-mail adres gelekt was.

Gelukkig gebruik ik voor zulke zaken altijd “hide my email” van Apple iCloud en kon ik met 1 druk op “deactiveren” het adres sluiten.

Aanrader voor iedereen binnen het eco systeem!

qwerty19 @Donstil • 30 maart 2023 23:29

Exact zoals ik het ook doe. Tijdje geleden ruim een halve dag besteed aan het veranderen van al m'n inlog mail adressen bij de diverse bedrijven/instanties en sterke wachtwoorden aangemaakt. Waterdicht zal het niet zijn maar ip68 haalt het zeker

CPV @qwerty19 • 31 maart 2023 14:31

IP68 (> 30 min.) dus de komende uren ben je safe!

emphy

@Donstil • 31 maart 2023 00:43

Gelukkig gebruik ik voor zulke zaken altijd “hide my email” van Apple iCloud en kon ik met 1 druk op “deactiveren” het adres sluiten.

Aanrader voor iedereen binnen het eco systeem!

Voor diegenen die niet in het apple-ecosysteem zitten: veel email-diensten leveren dezelfde optie onder de noemer "masked email".

SURFivor @Donstil • 31 maart 2023 11:25

Dit doe ik ook

GoGoHaRrY 30 maart 2023 21:28

Stilte aan de kant waar het datalek heeft plaatsgevonden en geen open kaart spelen met hun klanten lijkt mij een kwalijke zaak. Een gang naar de rechter zou echt niet nodig moeten zijn om duidelijkheid te krijgen.

gorgi_19 @GoGoHaRrY • 30 maart 2023 21:56

De verwerkingsverwantwoordelijke moet dit melden aan de betrokkenen, niet de verwerker. In verwerkersovereenkomsten staat dit vaak ook zo gemeld. Een voorbeeld:

quote: https://penrose.law/wp-co..._NL-verantwoordelijke.pdf
Het is uitsluitend aan de Verwerkingsverantwoordelijke te bepalen of een bij Verwerker
geconstateerd datalek wordt gemeld aan de toezichthoudende autoriteit en/of aan de
betreffende betrokkenen.

Je weet niet wat ze aan hun klanten hebben gecommuniceerd, en wat vervolgens is doorvertaald naar de uiteindelijk betrokkenen.

[Reactie gewijzigd door gorgi_19 op 22 juli 2024 15:00]

Groningerkoek @gorgi_19 • 30 maart 2023 22:21

Wij weten inderdaad niet welke informatief wel of niet is gedeeld tussen Blauw en Nebu, maar we zijn inmiddels een aantal dagen verder en Blauw geeft aan dat Nebu in elk geval de eerste dagen geen enkele medewerking verleende en ook nu is nog niet duidelijk wat er wel of niet is gestolen en waar er wel of niet toegang tot was en gezien 5 andere klanten samen met Blaauw via een advocatenkantoor de druk op Nebu verhogen om betere medewerking en info te verlenen krijg ik zelf toch wel sterk het idee dat Nebu hier op zijn zachtst gezegd steken laat vallen.

Vergeet ook niet dat Nebu hier de partij is die Blauw en anderen van informatie moet voorzien zodat Blauw en anderen hun klanten en het AP correct kunnen informeren. Nebu heeft inderdaad niets nodig met de klanten van Blauw, maar Nebu is wel informatieplichtig richting haar eigen klanten.

djiwie @Groningerkoek • 30 maart 2023 22:34

En dat is ook iets wat je vastlegt in een verwerkersovereenkomst (zoals ook in het voorbeeld van @gorgi_19). Zodat je iets hebt om een verwerker (in dit geval Nebu) aan te houden bij een datalek.

Saven @djiwie • 30 maart 2023 23:00

Maar zo werkt het in de praktijk dus niet, de verwerker schuift zo veel mogelijk verplichtingen en verantwoordelijkheden af. Als afnemer van een externe dienst heb je geen keuze, je gaat akkoord of niet - en in het laatste geval kun je de dienst dus niet gebruiken.

R4gnax

Datalek
Networking en security

@Saven • 30 maart 2023 23:24

Dat is dus waar marktwerking moet gaan spelen:
jij bent een dienstverlener die niet duldt dat er contractueel vastgelegd wordt dat je open kaart speelt; en die niet bereid is de gevolgen te dragen voor eigen foutief handelen?
Ok. Volgende dan.

[Reactie gewijzigd door R4gnax op 22 juli 2024 15:00]

Saven @R4gnax • 31 maart 2023 10:55

Dat is veel te kort door de bocht. Hoewel ik je punt begrijp werkt het in de praktijk simpelweg niet zo. Ik ben best actief betrokken in die wereld, en (externe) dienstverleners in allerlei verschillende branches hanteren allemaal ongeveer dezelfde verwerkersovereenkomst. Als jij als bedrijf aankomt met "ik wil dat jullie onze verwerkersovereenkomst tekenen" krijg je gewoon nul op rekest. Je moet ook realiseren dat 99.9% van de afnemers hier niet eens echt mee bezig is en het dus allemaal wel prima vindt.

Is dat allemaal perfect? Ja en nee: 't is maar vanuit welke kant je kijkt dus

Kansloze zaak @Saven • 31 maart 2023 14:24

Zo werkt de wereld wel bij ondernemers en management teams die principiëler zijn.
Je voldoet niet aan de eisen? Dan zoeken we verder!
Bij veel bedrijven zie je dat gelukkig wel gebeuren. Helaas bij veel te veel nog niet.

Saven @Kansloze zaak • 31 maart 2023 15:17

Kansloze zaak

Dat je het er niet mee eens bent betekent niet dat het niet zo is hè. Of begrijp je niet wat ik probeer te zeggen? De meeste afnemers zijn er niet eens mee bezig, het grootste deel dat zich wel bewust is van gdpr en dataverwerking vindt het prima want "zal wel goed zijn", en het handjevol principiëlen dat overblijft heeft vaak (helaas!!!) gewoon het nakijken, want succes met het vinden van een dienstverlener die wel het risico neemt en jouw voorwaarden tekent voor die paar euro's per maand. Of denk je dat je baas wel even bij Microsoft/Google/Random clouddienst, zijn eigen voorwaarden heeft bedongen? Nee dus.

De legal afdeling van al die dienstverleners hebben alles juridisch zover mogelijk dichtgetimmerd. Vaak ook verplicht vanuit de verzekeraar. En dan kom jij als nieuwe klant aanzetten met je in elkaar geflanste verwerkersovereenkomst en specifieke eisen, want jij wil dat zij meer verantwoordelijkheid nemen in het uitzonderlijke geval van een datalek. En dat voor een dienst waar je waarschijnlijk max. een paar tientjes per maand betaald. Hoe realistisch is het denk je?

Maar goed, de gemiddelde Tweaker weet het aan de moderaties te zien weer een stuk beter natuurlijk

Kansloze zaak @Saven • 1 april 2023 15:44

Er is blijkbaar jouw wereld en mijn wereld.
In mijn wereld wordt er precies om die redenen dus geen Google, Microsoft andere niet EU verwerkers gebruikt. Dat kan gewoon.
En de juristen die het dichtgetimmerd hebben? Ik ken ze niet. Ze maken een inschatting, laten het hun klant weten. Klant schat het risico te klein in en geeft akkoord.

R4gnax

Datalek
Networking en security

@Saven • 31 maart 2023 19:31

Dat is veel te kort door de bocht. Hoewel ik je punt begrijp werkt het in de praktijk simpelweg niet zo.

Dat klopt. Het werkt in de praktijk niet zo.
Maar dat zou het wel moeten.
Dat was mijn insteek.

J_van_Ekris @Saven • 30 maart 2023 23:47

Maar zo werkt het in de praktijk dus niet, de verwerker schuift zo veel mogelijk verplichtingen en verantwoordelijkheden af. Als afnemer van een externe dienst heb je geen keuze, je gaat akkoord of niet - en in het laatste geval kun je de dienst dus niet gebruiken.

De wet verplicht verwerkers om de juiste informatie naar de verwerkingsverantwoordelijke te leveren in het geval van een datalek. In een verwerkingsovereenkomst beschrijf je vaak de processen en termijnen. Als de verwerker dat niet wil, dan is het einde bedrijfsvoering in Europa omdat niemand ze kan gebruiken.

djiwie @Saven • 31 maart 2023 10:13

Mja, als je dit als verwerker niet goed doet en er is een concurrent - ik denk dat dit bedrijf niet veel klanten meer zal hebben als dit voorbij is. Maar dat hangt een beetje van de markt af natuurlijk.

peregrine101 @Groningerkoek • 1 april 2023 15:29

Uit het verhaal zoals het tot nu toe naar buiten is gekomen, blijkt dat Nebu niet eens de echte gegevensverwerker was, maar dat er software van Nebu is gebruikt om gegevens te verwerken. Alle data zit alleen dus ook bij Nebu, wat implicieert dat er een clouddienst is afgenomen bij hen. Dat lijkt op een SaaS scenario. Ik ga er van uit dat die software vragen en antwoorden bevat van marktonderzoeken en dus heel veel gegevens bevat. Als het klopt wat in het eerste antwoord van dit draadje staat (het antwoord van ^^0nMe), kan er potentieel nog veel meer informatie bij Nebu staan, als ook de analyse rechtstreeks in de software wordt gedaan. Nebu zal openheid moeten geven, want de klantenlijst van de marktonderzoekers die getroffen zijn, wordt en steeds langer en er komen steeds meer bedrijven op die heel persoonlijke gegevens verwerken, zoals pensioenfonds PME en ArboNed.

GoGoHaRrY @gorgi_19 • 30 maart 2023 22:11

De klanten van Nebu (o.a. Blauw) stappen naar de rechter omdat er geen meewerking vanuit Nebu is ........ en bij Nebu is er iets met de data gebeurd.

roawser 30 maart 2023 21:43

En laat het ISO27001 certificaat van die subverwerker Nebu nu net twee weken geleden verlopen zijn... Benieuwd hoe daar de volgende audit uitpakt.

Davy de Vries @roawser • 30 maart 2023 23:04

De hack vond plaats in het weekend van 11 maart. Certificaat verliep op 15 maart. Net erna dus.

Niet dat het papiertje iets doet tegen dit soort dingen 🤷🏻‍♂️

HakanX @Davy de Vries • 30 maart 2023 23:52

Een vernieuwing van het certificaat zal vast niet op de laatste dag gebeuren. Als er voor het certificaat daadwerkelijk zaken worden gecontroleerd, kan dat weleens van belang zijn hierin, waarom het niet is verlengd.

latka @HakanX • 31 maart 2023 00:38

Iso 27001 vraag je zelf aan. Dus verlengen heb je ook zelf in de hand. Audit erop kost geld. Wellicht een gevalletje: laat maar op de website staan, we hadden toch een certificatie totdat iemand hier goed naar kijkt.

J_van_Ekris @latka • 31 maart 2023 08:31

Als je naar hun website kijkt is die niet heftig actueel: laatste persberichten zijn van de overname van 2 jaar terug, 25 jarig jubileum van 5 jaar terug.

Zoals ik het zie is het ISO27001 cerificaat 3 jaar oud, wat betekent dat het certificaat per definie verloopt en ze voor volledige hercertificering zouden moeten gaan (standaard ISO cerfificeringsdingetje). Kan dus ook zijn dat die verloopdatum en het certificaatnummer gewoon nog niet geupdate zijn. Enige wat je hieruit kunt concluderen is dat de website blijkbaar een lage prio in de organisatie heeft.

wiseger @J_van_Ekris • 31 maart 2023 13:42

Vandaag had de website anders wel prio. Ze hebben snel hun contact gegevens verwijderd zodat ze niet langer gebeld worden.

roawser @wiseger • 31 maart 2023 16:09

Precies de reden dat ikzelf en anderen even naar de wayback machine waren gegaan gisteren:

Nebu BV
Roode Wildemanweg 19
1521 PZ Wormerveer
The Netherlands
T +31 251 311 413
E nebu@nebu.com
UK Sales: +44 33 080 87820
US Sales: +1 347 708 1633

PdC @HakanX • 31 maart 2023 20:41

Minimaal 12 weken voor einddatum certificaat zodat je eventuele non-conformities kan oplossen voor de einddatum.

[Reactie gewijzigd door PdC op 22 juli 2024 15:00]

PdC @roawser • 30 maart 2023 22:07

Hongaarse CI voor een Nederlands bedrijf. Interessant...

R4gnax

Datalek
Networking en security

@PdC • 30 maart 2023 23:25

Een opmerking over rijbewijzen verkregen bij een pakje boter is hier wellicht niet misplaatst, wat u?

Het heeft er alle lucht van dat het een gevalletje is:
"Oh? Lukt het hier niet? Dan kijken we ergens waar de normen wat luchtiger geinterpreteerd worden..."

[Reactie gewijzigd door R4gnax op 22 juli 2024 15:00]

swhnld

@roawser • 30 maart 2023 22:08

Als certificaat verlopen is, waren ze of te laat of faalde de audit.

Bender 30 maart 2023 21:58

Ik heb het altijd ontzettend hinderlijk gevonden dat je na iedere communicatie een 'marktonderzoek' email krijg (terwijl ik me afgemeld heb voor mailings), met opvolgend nog 3 of 4 herinneringen.
Steeds wordt mijn data weggegeven, voor iets waar ik niet op zit te wachten en mij zelfs enkel ergert.

En zie hier.. her resultaat.

djwice

@Bender • 30 maart 2023 22:59

Precies. Gamma doet dit zelfs nadat je in hun fysieke winkel bent geweest. Zelfs als je daar eerder al bezwaar tegen gemaakt hebt, wordt dat na een tijdje toch weer gedaan.
En dat is niet op initiatief van de locale bouwmarkt waar je iets gekocht hebt, dat doet de overkoepelende organisatie op eigen initiatief.

[Reactie gewijzigd door djwice op 22 juli 2024 15:00]

Het.Draakje @djwice • 31 maart 2023 05:24

Hoe komt Gamma aan jou email adres? Als jij die niet zelf geeft, dan kunnen ze jou ook helemaal niet laten onderzoeken door een zo'n bedrijf.

Als je dan zo'n mailtje krijgt, is het toch simpel genoeg om hem meteen in de prullenbak te gooien?

"Meneer, mag ik Uw ...." vragen van een winkelmedewerker, daar heb ik maar één antwoord voor: Neen.

djwice

@Het.Draakje • 31 maart 2023 06:10

Een keer afgeven voor een gammapas 17 jaar geleden omdat ik alleen dan €350,- korting kreeg. En nog steeds dezelfde betaalrekening....

Ik heb een mail achterstand van meer dan 2000 e-mails. Dat is na alle automatische filters en zonder mailinglist. Dus nee, even weg gooien is ook niet acceptabel, ik kom al niet toe aan normale communicatie.

[Reactie gewijzigd door djwice op 22 juli 2024 15:00]

Het.Draakje @djwice • 31 maart 2023 11:09

Ach 350 euro voor een email adres is niet slecht betaald. Die achterstand bij je emails is wat minder, maar dat lijkt me meer een time-management probleem dan iets anders.

kozue @Het.Draakje • 31 maart 2023 08:57

Ik geef zelf nooit een email adres of telefoonnummer als ik denk dat ze dat niet nodig hebben. Sommige winkels bedelen ook om gegevens voor zogenaamde “garantie”, terwijl ze wettelijk verplicht zijn die te geven, ook zonder het afgeven van persoonlijke data. Maar als je iets bestelt wil je wel weten wanneer je het af kunt halen. Soms heb je dus gewoon geen keuze.

Zelf had ik afgelopen week een bed besteld bij Leenbakker. Die was natuurlijk niet op voorraad en kon alleen besteld worden. Niks online, gewoon in de winkel. De volgende dag kreeg ik meteen al weer een email. Er lijkt tegenwoordig geen enkel bedrijf meer te zijn die normaal kan doen met je gegevens. Er móet perse gespamd worden en gebedeld om het geven van data. Dus tegenwoordig krijgt bijna geen enkele winkel meer wat. Online vermijd ik ook zoveel mogelijk. Marketeers hebben het hele internet al weer verpest.

Zworba @Bender • 31 maart 2023 09:02

Opt out by default, begrijp niet waarom dit toch altijd zo moeilijk moet zijn...

WillySis @Bender • 31 maart 2023 09:07

Zodra je (opnieuw) klant bent mag men je benaderen voor marktonderzoek.
Marktonderzoeken staan los van een nieuwsbrief of commerciële e-mail. Helaas gebruiken steeds meer bedrijven (ongevraagd) deze route om je mails te sturen. Daarmee wordt het inderdaad gewoon ergerlijk.

HollowGamer 30 maart 2023 22:05

Het wordt tijd voor een persoonlijke kluis. Daarmee bedoel ik een soort Google Drive, waarbij jezelf de controle hebt over je NAW gegevens en die op elk moment kan intrekken. Dit zou dan ook verhinderen dat bedrijven het moeten kopieën/bewaren.

Dit is echt een groot probleem, het kan door malware makers goed worden gebruikt voor social engineering.

R4gnax

Datalek
Networking en security

@HollowGamer • 30 maart 2023 23:27

Het wordt tijd voor een persoonlijke kluis. Daarmee bedoel ik een soort Google Drive, waarbij jezelf de controle hebt over je NAW gegevens en die op elk moment kan intrekken. Dit zou dan ook verhinderen dat bedrijven het moeten kopieën/bewaren.

Daar zijn al diverse private sector en publieke sector implementaties van.
En dit is de crux van het EU 'digitale paspoort' - wat eigenlijk veel meer zo'n kluis functie moet dienen, als daadwerkelijk ingezet te gaan worden als echt paspoort.

litebyte @HollowGamer • 30 maart 2023 22:35

Goed idee! Volgens mij is er zoiets in Belgie toch?

nout77 @HollowGamer • 31 maart 2023 02:05

Absoluut mee eens, in de zorg zijn ze hier gelukkig ook mee bezig en worden deze PGO's genoemd: Persoonlijke gezondheidsomgeving. Je kunt zelf een digitale aanbieder van zo'n PGO kiezen. Langzaam worden de eerste zorginstellingen hierop aangesloten. Voor meer info zie o.a: mijnpgo.org

Het.Draakje @nout77 • 31 maart 2023 05:45

Het laatste wat ik centraal bijgehouden wil worden zijn mijn gezondheidsgegevens.

Ja, ik ben tegen het patiëntendossier.

Zorgaanbieders 'werken' al samen met het patiëntendossier, wat gaat dit systeem voor de zorgaanbieder toevoegen. Als het (afgezien van de "voordelen" voor de patiënt) niets toevoegt, hoef ik er bij mijn zorgaanbieders niet mee te komen: extra handelingen / extra apparatuur / geen extra geld.

Dennisdn 30 maart 2023 23:36

Het ergste is misschien nog wel dat ik mijzelf erop betrap dat het me niets meer doet. Door de gedachte: "Alles is toch al gelekt de afgelopen jaren, dit kan er ook nog wel bij en maakt geen verschil meer....".

R4gnax

Datalek
Networking en security

@Dennisdn • 31 maart 2023 01:39

Het aller ergste is dat je over een paar dagen wanneer het ingezonken is, je ook realiseert dat die eerdere gedachte niet alleen logisch sluitend is; maar voor de ruime meerderheid van de bevolking ook gewoon apert correct is, inclusief jezelf.
Iedereen, echt nagenoeg iedereen, is tenminste één keer de bok. Statistisch gezien is dat onvermijdelijk geworden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 15:00]

Kabouterplop01 @Dennisdn • 31 maart 2023 08:09

ontopic:
Ik ben benieuwd wat bijvoorbeeld de ACM er nou van vindt. Welk bedrijf is nou nalatig m.b.t. gebruik van deze brakke software. Het bedrijf dat het op de markt brengt of het bedrijf dat het willens en wetens gebruikt.

Met als bijvoorbeeld interessante vraag voor bijvoorbeeld @Arnoud Engelfriet moet je software (laten ) testen op onvolkomenheden als je het hebt aangeschaft. (Ik doel dan op een verplichting van het laten testen van sofware waar persoonsgegevens mee worden verwerkt)

Ik verwacht een grove boete

Arnoud Engelfriet

Politiek en recht

@Kabouterplop01 • 31 maart 2023 09:27

Ik ga er over bloggen, maar ik ben gestopt met hopen op grote boetes.

Aardwolf

@Arnoud Engelfriet • 31 maart 2023 10:59

Kan je ook vertellen waarom Arnoud? Omdat het toch op de burger wordt verhaald of te laag is?

Arnoud Engelfriet

Politiek en recht

@Aardwolf • 31 maart 2023 12:56

Omdat ze eigenlijk nooit vallen? Alles duurt en duurt en dan komt er een waarschuwing uit of een financiële tik op de vingers.

eric.1

30 maart 2023 22:44

Volgens mij is Nebu gewoon Nederlands, maar vallen ze sinds een handvol jaren onder Enghouse Interactive, wat Canadees is. Maar goed.

Verder verbaast me die brakkige communicatie en gesloten houding niet. Al zal ik er verder maar niet op in gaan (in een grijs verleden als leverancier nog wel eens contact gehad met ze).

[Reactie gewijzigd door eric.1 op 22 juli 2024 15:00]

Op dit item kan niet meer gereageerd worden.

NOS: datalek bij marktonderzoekers bevat zeker 2 miljoen datapunten - update

Lees meer

Reacties (128)

Sorteer op:

Weergave: