Softwareleverancier moet verplicht data verstrekken over groot datalek

Softwaremaker Nebu moet aan marketingbureau Blauw informatie verstrekken over het recente grote datalek waarbij data van Nederlanders werd buitgemaakt. Blauw eiste dat zijn ict-leverancier meer openheid van zaken gaf rondom dat datalek en spande daarom een kort geding aan.

De kortgedingrechter in Rotterdam geeft Blauw in bijna alle gevallen gelijk. Nebu moet een grote hoeveelheid gegevens verstrekken over de hack. Het gaat onder andere om 'alle beschikbare informatie met betrekking tot de cyberaanval, met inbegrip van een volledige weergave van de initial access en de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen tot en met het door Nebu offline brengen van haar systemen in reactie op de aanval'. Ook moet Nebu alle informatie geven rondom tools en methodes die het gebruikt om de systemen te herstellen, informatie over welke data er geëxfiltreerd is en hoe dat gebeurde en 'alle beschikbare informatie over de aanvallers'.

Nebu moet die informatie binnen twee werkdagen aan Blauw verstrekken. Daarnaast verplicht de rechter Nebu om Blauw binnen vier uur alle nieuwe informatie te geven over het huidige datalek of over nieuwe incidenten. Ook moet het bedrijf dagelijks informatie verstrekken over het onderzoek dat het naar het datalek doet en er moet een onafhankelijk forensisch onderzoek komen naar het incident.

De rechter verplicht Nebu ook om alle data te delen die het bedrijf heeft over mogelijke gestolen gegevens, waaronder het tekstbestand dat de aanvallers op de systemen hebben achtergelaten. Blauw eiste die gegevens eerder, maar kreeg ze niet van Nebu. Het bedrijf begon daarom een kort geding.

Nebu is een Canadese ict-leverancier. Blauw Research is een marketingbureau dat voor een groot aantal Nederlandse bedrijven klanttevredenheidsonderzoeken uitvoert. De gegevens die het daarbij verzamelt, waaronder persoonsgegevens, worden in systemen van Nebu gestopt. Vorige week bleek dat er veel gegevens op straat lagen na een hack op een marketingbureau. Aanvankelijk leek vooral de Nederlandse Spoorwegen daardoor getroffen, maar de afgelopen dagen blijken tientallen bedrijven met Blauw Research te hebben samengewerkt en te zijn getroffen. Blauw zei eerder al tegen de NOS dat er zeker twee miljoen records zijn gelekt bij het incident. De Autoriteit Persoonsgegevens noemde later dat er al zeker 139 bedrijven melding hadden gedaan over een datalek.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-04-2023 17:44
86 • submitter: Anonymoussaurus

06-04-2023 • 17:44

86

Submitter: Anonymoussaurus

Lees meer

Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij Nieuws van 12 april 2023
Gegevens van werknemers van voetbalbond KNVB zijn gelekt door 'cyberinbraak'
Gegevens van werknemers van voetbalbond KNVB zijn gelekt door 'cyberinbraak' Nieuws van 4 april 2023
NOS: datalek bij marktonderzoekers bevat zeker 2 miljoen datapunten - update
NOS: datalek bij marktonderzoekers bevat zeker 2 miljoen datapunten - update Nieuws van 30 maart 2023
VodafoneZiggo meldt ook te zijn getroffen door datalek bij marktonderzoeker
VodafoneZiggo meldt ook te zijn getroffen door datalek bij marktonderzoeker Nieuws van 29 maart 2023
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken Nieuws van 28 maart 2023
Meer producten en artikelen
Beveiliging en antivirus Datalek

Reacties (86)

-Moderatie-faq
86
86
44
0
0
34
Wijzig sortering
eheijnen 6 april 2023 17:50
Wat raar dat daar een rechtszaak voor nodig is, terwijl beide partijen er baat bij hebben dit te doen en nog eens niet meer dan logisch...
Ortep @eheijnen6 april 2023 17:54
Blijkbaar vond Nebu dat het vooral niet in hun eigen belang was om de gegevens te verstrekken.

Natuurlijk volkomen fout, maar je weet maar nooit wat ze op de afdeling legal and finance bedenken..
Dat heeft meestal weinig met het echte doel van de onderneming te maken.

[Reactie gewijzigd door Ortep op 23 juli 2024 09:32]

the_stickie @Ortep6 april 2023 18:04
Of het gaat om gegevens die ze niet eens hébben.
Informatie over de initial access, de acties van de aanvallers en geëxfiltreerde informatie en methodieken is informatie die je niet 'standaard' hebt. Er moet voorafgaand aan de inbraak al eea aanwezig zijn van tooling, logging en auditing om het überhaupt mogelijk te maken daar enig onderzoek met kans van slagen naar te voeren. En zo'n onderzoek is meestal zeer lastig en niet zo eenduidig als je zou verwachten.
"Men" denkt vaak dat het eenvoudig is te zien wie wat deed (of welke bestanden gebruikte), maar dat is maar zeer beperkt mogelijk in een 'default' configuratie.
Dennism @the_stickie6 april 2023 19:15
Maar je mag toch juist van een leverancier die software levert om zulke potentieel gevoelige informatie te verwerken toch juist verwachten dat deze in ieder geval op het gebied van auditing en logging alles tot in de puntjes voor elkaar hebben en ook de tooling voor elkaar hebben om die audit data en andere logs correct uit te pluizen.
the_stickie @Dennism6 april 2023 19:28
Dat mag je verwachten, maar dat wil niet zeggen dat het zo is/was. Het lijkt me alvast een prima reden om de gegevens 'niet te willen geven'
Dennism @the_stickie6 april 2023 19:35
Mij niet, als ze hun zaken niet voor elkaar hebben is imho de enige optie zeker in een geval als dit, met zoveel getroffenen, om met de billen bloot te gaan en aan te geven dat ze de gegevens niet kunnen verstrekken omdat ze de gegevens simpelweg niet hebben. Dat proberen te verhullen kan mijn inziens nooit een 'prima reden' zijn.

[Reactie gewijzigd door Dennism op 23 juli 2024 09:32]

OruBLMsFrl @Dennism6 april 2023 19:53
Misschien is het zodanig ernstig dat het hele bedrijf verondersteld failliet gaat als men achter de waarheid komt, als in, terechte schadeclaims en alle klanten het vertrouwen kwijt, dan bedrijf koppie onder. Mensen die (denken) niets te verliezen te hebben, kunnen soms heel rare dingen doen. Dat maakt de zaak voor anderen alleen maar erger, en toch doen ze het.
CH4OS
@OruBLMsFrl6 april 2023 21:37
Als het zo erg gesteld is met een bedrijf, dan weet men intern ook wel dat de beveiliging zo lek als een mandje is, want dan wordt ook daarop bezuinigd. Overigens zit een grote Canadese investinergsmaatschappij achter Nebu, dus de kans dat men de investering niet kon maken om het toch op orde te hebben, is daarmee ook wel geminimaliseerd.
R4gnax
@CH4OS6 april 2023 22:33
Overigens zit een grote Canadese investinergsmaatschappij achter Nebu, dus de kans dat men de investering niet kon maken om het toch op orde te hebben, is daarmee ook wel geminimaliseerd.
Of juist niet. Grote hedgefunds hebben ook bijv. Hema totaal kapot gemaakt, weet je nog?
Aldy @R4gnax7 april 2023 14:39
Als ik in iets zou investeren dan wil ik dat het bedrijf waarin ik investeer een succes wordt en dan krijg ik vanzelf mijn rendement. Deze investeringsmaatschappijen beleggen echter in bestaande bedrijven en plukken deze helemaal leeg en verkopen het dan. Wat er met de werknemers gebeurt daarna zal ze worst zijn. Denk niet alleen aan Hema, maar vooral aan V&D, de laatste is failliet gegaan.
R4gnax
@Aldy7 april 2023 20:00
Denk niet alleen aan Hema, maar vooral aan V&D, de laatste is failliet gegaan.
V&D was ik al weer helemaal vergeten - maar ja, je hebt gelijk: dat was inderdaad nog een tandje erger.
field33P @OruBLMsFrl6 april 2023 20:28
En nu worden ze ruim een week na het lek alsnog gedwongen door de rechter. Het roept dan ook weinig vertrouwen op voor eventuele andere klanten die zich nu gaan afvragen welke andere lijken er zich in de kast bevinden.
latka @Dennism6 april 2023 19:40
Kost het geld om dat te regelen? Wat levert het op en wat is de pakkans? Kost geld, levert niets op en meestal loopt het met een sisser af. Dus je aanname is dat ze het geregeld hebben is minimaal.
Dennism @latka6 april 2023 19:55
Ik neem niet aan dat ze het hebben, ik geef aan dat je mag verwachten dat een bedrijf dat dit soort informatie verwerkt hun zaken voor elkaar hebben zodat ook jij bij een probleem kan voldoen aan je informatie plicht, en anders met de billen bloot moeten gaan, dat veel bedrijven dat in veel gevallen het niet voor elkaar mag zijn is natuurlijk geen geheim, en dat kan ook zeker hier het geval zijn. Daar ligt mijn inziens echter ook een verantwoordelijkheid voor de opdrachtgever, die moet simpelweg eisen dat dit soort zaken qua security op orde zijn, voordat ze gevoelige data in zo'n systeem pompen.
anboni @Dennism6 april 2023 20:29
Nebu is een Canadees bedrijf. Daar is de gevoeligheid van deze gegevens veel lager ingeschat dan hier, waarschijnlijk wint enig commercieel belang daar bijna per definitie van privacy.
Dennism @anboni6 april 2023 21:25
Het gedaagde Nebu B.V. is gewoon Nederlands, en zal zich dus ook gewoon aan onze wetgeving moeten houden. Neemt natuurlijk niet weg dat de Canadese moeder in vinger in de pap zal hebben.
Killjoy @Dennism6 april 2023 22:05
Bij het kort geding afgelopen dinsdag was er geen Nederlandse vertegenwoordiging van Nebu aanwezig. Alleen advocaten en een videoverbinding met een Canadese vertegenwoordiging. Zonder tolk. Dat zegt al iets.
R4gnax
@Killjoy6 april 2023 22:33
Brievenbusfirma, dus?
Gewoon Europese representatie hier in NL geparkeerd vanwege het belastingklimaat, etc?

[Reactie gewijzigd door R4gnax op 23 juli 2024 09:32]

Killjoy @R4gnax6 april 2023 23:04
Oorspronkelijk een Nederlandse onderneming. Maar in 2021 overgenomen door het Canadese Enghouse:
https://www.nebu.com/pres...use-systems-acquires-nebu
R4gnax
@Killjoy6 april 2023 23:06
Ah. Gevalletje gekneveld en in gelid gebracht, zoals bijv. bij Hema het geval was, dus.
pookie79 @R4gnax7 april 2023 09:09
Nee ze bestaan al 30 jaar hier maar zijn niet zo lang geleden door Enghouse ingelijfd.
bwerg @the_stickie6 april 2023 19:25
Of het gaat om gegevens die ze niet eens hébben.
Prima, melden ze dat toch.

Het is niet alsof deze hack pas vanmiddag is ontdekt. Ze hebben al heel veel tijd gehad om onderzoek te doen. Alles wat er te concluderen valt hebben ze intern inmiddels wel geconcludeerd.

Dat vinden ze hooguit niet leuk om te melden omdat daaruit kan worden geconcludeerd dat ze niet aan verplichte kwaliteitseisen voldoen. En omdat dat niet best is voor je imago, al is het maar de vraag of deze rechtszaak niet nog erger is dan een snelle en eerlijke reactie.

[Reactie gewijzigd door bwerg op 23 juli 2024 09:32]

the_stickie @bwerg6 april 2023 19:30
Daar zomaar voor uitkomen kan idd heel schadelijk zijn, net omwille van de verwachtingen die Dennism aanhaalt.
De rechtszaak was voor hen misschien een laatste kans om hun imago schoon te houden...

/speculatie
magician2000 @the_stickie8 april 2023 00:19
Niet verstrekken betekent gewoon dat. Indien het niet bekend is, kun je dat als informatie verstrekken.

Het lijkt er meer op dat het bedrijf:
1) het allemaal wel best vindt en er geen energie in wil steken
2) doodsbang is voor verdere schade (weglopende klanten)

Overigens, hieruit blijkt wederom dat er te veel gegevens overal opgeslagen worden terwijl dat niet nodig is. Gewoon niet mee doen aan informatieverstrekking (oftewel, het invullen van vragenlijsten op verzoek) is het beste.
Frame164 @Ortep6 april 2023 19:38
Of de IT-ers raakten in paniek omdat dan aan het licht zou komen dat ze iets ongelofelijks stoms hadden gedaan. Of ze hebben helemaal geen fatsoenlijk SIEM-systeem waardoor ze geen idee hebben wat er allemaal gebeurt is.
Ortep @Frame1646 april 2023 20:27
De ITers praten niet met de pers of met de klanten.
Dit soort weigeringen komen bijna altijd uit de financieel of legal hoek.

Die afdelingen hebben zelden inzicht in het echte werk.
Of het nu gaat om aannemers, oliemaatschappijen of IT bedrijven.

De eerste refelx van het management is:
Er is niets aan de hand, we hebben het onder controle, we praten er niet over, we hebben er geen actieve hetrinnering aan. En ondertussen zoeken we een zondebok die de schuld krijgt omdat wij jaren lang alle verzoeken om goede mensen of goed materiaal hebben geweigerd
schrikbeeld @Ortep7 april 2023 17:43
Goed mogelijk dat Nebu probeert te verhullen dat sprake is van slechte software/slechte beveiliging.
Onverstandig om in dit stadium zaken te verhullen want dat levert meer ruis op en onzekerheid over de competenties van het bedrijf.
J_van_Ekris @eheijnen6 april 2023 18:20
Wat ik van de NOS berichtgeving oppikte:
Nebu aarzelde om opening van zaken te geven vanwege de kans dat er bedrijfsvertrouwelijke informatie van het softwarebedrijf in handen van Blauw zou komen. Dat noemt de rechter "een onvermijdelijk gevolg". Wel moet Blauw van de rechter "prudent" met alle informatie omgaan.
Oftewel, Nebu vertrouwt haar klanten niet....
Cergorach
@J_van_Ekris6 april 2023 18:43
Oftewel, Nebu vertrouwt haar klanten niet....
Dit gaat specifiek om Blauw vs. Nebu. Nebu zou wel eens een goede reden kunnen hebben om Blauw niet te vertrouwen op diens 'blauwe ogen', wellicht hebben die in het verleden ook al eens streken uitgehaald... We hebben te weinig informatie om daar een uitspraak over te doen.

Dat ze helemaal geen informatie over het incident hebben gecommuniceerd is problematisch en dat zie je nu terug dat de uitspraak van de rechter veel zwaarder is dan wat redelijk is (imho).
schrikbeeld @Cergorach7 april 2023 17:46
@Cergorach Dat lijkt me stug, Nebu is leverancier van software, Blauw is slechts afnemer die geconfronteerd wordt met de gevolgen van -kennelijk- haperende software.
Killjoy @J_van_Ekris6 april 2023 22:13
Daar zit een nuance. Blauw vordert deze informatie omdat Nebu tot op heden geen forensisch onderzoek heeft laten uitvoeren en de informatie vanuit Nebu summier is gebleven. Gelet hierop, beslist de voorzieningenrechter het volgende:

Bij het voorgaande heeft de voorzieningenrechter meegewogen dat er tot dus ver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of zelfs maar is gestart. Dit maakt het eerder redelijk dat Blauw informatie wil hebben dan in de situatie dat Nebu direct een onafhankelijk onderzoek had gelast. Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg. De voorzieningenrechter gaat er overigens vanuit dat Blauw op prudente manier zal omgaan met de informatie die zij als gevolg van dit vonnis zal verkrijgen.
Calypso @eheijnen6 april 2023 18:09
Het "raar" is nog zacht uitgedrukt, maar als je de berichtgeving hierover hebt gevolgd de afgelopen weken, dan lees je 1 ding vooral terug: Nebu wilde niet bereikbaar zijn. Zelfs niet voor hun klanten.

En dat is toch echt een hele foute instelling. Als Blauw er niet zo op gezeten had, kan Blauw wat verweten worden door hun klanten. Het is dus (in mijn beleving) vooral (terecht) een poging tot lijfsbehoud van Blauw.
Killjoy @Calypso6 april 2023 22:24
Blauw speelt mijns inziens het spel heel goed. Zij hebben prima door dat zij als opdrachtnemer (verwerker) eerst aansprakelijk zijn voor hun opdrachtgevers. Door de openbaarheid te zoeken, zowel via de media als door het openbaar kort geding wordt duidelijk dat zij hun verantwoordelijkheid nemen. Zowel voor opdrachtgevers, toezichthouders als het publiek. Daar profiteren trouwens die andere marktonderzoeksbedrijven van die ook Nebu als leverancier hebben. Die blijven meer in de luwte.
hamsteg @Calypso6 april 2023 21:11
Data lekken moeten gemeld worden met informatie over de bron. Ik snap niet waarom het IT bedrijf zich verstopt, het is volgens NL wet verplicht.
rijnsoft @eheijnen6 april 2023 17:58
Zulke gegevens kunnen gebruikt worden in een rechtszaak om een schadevergoeding te claimen. In dit geval dus een vergoeding die door Nebu aan Blauw moet worden betaald. Nu hebben de meeste softwarebedrijven iets in hun contract staan wat deze vergoeding binnen de perken houdt, maar als Blauw kan aantonen dat er onachtzaamheid in het spel is, dan kunnen deze contractregels ongeldig worden verklaard. Het gaat dus, zoals altijd, om geld.
mrmrmr @rijnsoft7 april 2023 15:12
In de VS en Canada heb je de zogenaamde "discovery". Dat betekent dat gevraagde data verstrekt moet worden als ze relevant zijn. Geheim houden is er niet bij.

Uiteraard had Blauw Research nooit in zee moeten gaan met een niet-EU bedrijf. Ook al geldt de GDPR ook voor een niet-EU bedrijf, ze er aan houden is veel moeilijker.
themadone @eheijnen6 april 2023 17:59
Bij grove nalatigheid kan dat belang nog wel eens anders liggen. Ze zullen niet de eerste zijn waarbij de auditers gehakt maken van de inrichting van de systemen op het moment van de hack.

De schadeclaims kunnen het bedrijf beëindigen alhoewel de reputatie schade dat in dit geval waarschijnlijk al regelt.
sympa @themadone6 april 2023 18:24
Bij al te grove nalatigheid is de aansprakelijkheid niet noodzakelijkerwijs beperkt tot het bedrijf.
R4gnax
@sympa6 april 2023 22:35
Bij al te grove nalatigheid is de aansprakelijkheid niet noodzakelijkerwijs beperkt tot het bedrijf.
Klopt. Dat kan tot blow-back leiden bij de investeerders die aan de touwtjes trokken.
Als het moet tot op de private persoon toe.
WillySis @eheijnen7 april 2023 10:05
De uitkomst van de rechtszaak is natuurlijk niet vreemd. Het is gewoon de wet die gevolgd wordt en de rechter heeft daar nu duidelijke termijnen bij geplaatst.
Dat Nebu geen informatie verstrekt heeft mogelijk ook te maken dat ze wat te verbergen hebben, bijvoorbeeld dat ze de monitoring en toegang tot de data veel minder goed op orde hebben dan wat ze altijd uitdragen. Een ISO certificering is beslist geen garantie dat alles echt op orde is.
wildhagen
6 april 2023 17:53
Terechte uitspraak lijkt me. Gezien het aantal getroffen mensen lijkt je het algemeen belang hier ernstig gediend met zoveel mogelijk openheid en transparantie.

Waarom zou Nebu dit niet doen? Als zij hun zaken gewoon prima op orde hebben kunnen ze dat ook gewoon aantonen lijkt me.
jpfx @wildhagen6 april 2023 18:01
Wellicht hebben ze hun zaken dus niet goed op orde, en vonden ze dat ze geen (of beperkte) inzage behoefden te geven volgens Canadese wetgeving?
Cergorach
@jpfx6 april 2023 18:46
Nebu is gewoon een Nederlandse BV dat is gevestigd in Wormerveer, dat heeft dus te voldoen aan de Nederlandse wetgeving. Echter is de eigenaar van het bedrijf weer een Canadees bedrijf. Ook al zegt de Canadese moeder, doe X, als X niet mag in Nederland dan heeft het de Nederlandse dochter zich te houden aan de Nederlandse wet.
SunnieNL @wildhagen6 april 2023 17:58
Echter, als ze hun zaken niet op orde hadden dan kan dit nog wel eens heel negatief uitvallen voor ze.
BeefHazard @wildhagen6 april 2023 18:03
Waarom niet? Omdat ze proberen te doen alsof hun neus bloedt, zo lijkt het. Ik was een paar dagen geleden al aan het zoeken naar een persbericht van ze oid maar kon nog niets vinden. Inmiddels zeggen ze nog steeds helemaal niets hierover op hun website. Dat is wel heel raar gedrag als je mogelijk 2 miljoen records bent kwijtgeraakt. Yikes.
Frame164 @wildhagen6 april 2023 19:40
Ik denk dat er zelfs onder de Tweakers hier best wel wat mensen zitten die erg gaan zweten als er bij hun op het werk een security breach is gevonden als gevolg van nalatigheid van de beheerders.
bazzi @Frame1646 april 2023 19:51
Je gaat hoe dan ook zweten bij een security breach🤣

Bij een security vulnerability, pak ik toch snel de documentatie om te kijken of en hoe we geraakt kunnen worden en wat een mogelijke tijdelijke oplossing is die past bij het gevaar. Daarna achteroverleunen en kijken hoe je het permanent oplost…

Maar periode tussen ontdekken en achteroverleunen heb ik het meestal wel warm ;)
Groningerkoek 6 april 2023 17:54
Zou mooi zijn als het AP of het OM hier ook een onderzoek opstart want het heeft er wel enorm sterk alle schijn van dat NEBU een mislukte poging heeft gedaan om dit in de doofpot te stoppen. Ik denk zelfs dat er in de haast om de systemen te veranderen er sporen verloren zijn gegaan en dat men zelf bij gebrek aan grondig onderzoek niet meer weet wat er allemaal wel of niet is gelekt en waartoe er allemaal toegang was.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 09:32]

Cergorach
@Groningerkoek6 april 2023 18:56
Waarom zou het AP/OM dat doen als zij netjes een datalek hebben gemeld volgens de regels?
U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeert u alleen als er sprake is van een hoog risico.
Volgens die regels vraag ik me dus af of het uberhaupt wel noodzakelijk is in dit geval de betrokken personen te informeren...

Bron:
https://autoriteitpersoon...ing/meldplicht-datalekken
https://autoriteitpersoon...k-een-hoog-risico-op-7331
Groningerkoek @Cergorach6 april 2023 21:15
NEBU heeft een meldplicht naar Blauw

Hoog risico: (volgens het AP)
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
De kranten staan vol van dit lek en dat de gegevens van de klanten van blauw zijn gelekt dan is er dus zeer zeker sprake van reputatieschade.
Cergorach
@Groningerkoek6 april 2023 21:43
Zelfs dan heeft het alleen nog maar een meldplicht. Maar wat ik vermoed is dat dit meer met contractueel gevecht is en niet een wettelijk dingetje.
Vonnis in kort geding naar aanleiding van een cyberaanval en daardoor ontstaan datalek. De opdrachtgever van het ICT-bedrijf dat is getroffen door de cyberaanval heeft op basis van de tussen partijen gesloten verwerkingsovereenkomst recht op meer informatie. Ook wordt het ICT-bedrijf bevolen een onafhankelijk forensisch onderzoek te laten uitvoeren.
Yep, dit is puur contractueel b2b.
Groningerkoek @Cergorach6 april 2023 21:57
Er is door het contract recht op meer informatie. Zonder contract is er ook een meldplicht en het recht op bepaalde informatie want dat is wettelijk bepaald.
rob12424 @Groningerkoek6 april 2023 18:04
Het is een Canadees bedrijf. Justitie hier kan er weinig tegen doen. De rechter doet deze uitspraak wel. Maar moet nog altijd samenwerken met Canada.

Je kan niet een NL politieteam op reis sturen naar Canada en zeggen val ff daar binnen zonder overleg.
Guerilla @rob124246 april 2023 18:26
Het gaat om een Canadees bedrijf dat in Nederland actief is en persoonsgegevens van Nederlanders verwerkt. Natuurlijk mag justitie zich ermee bemoeien.
Uhuruburu @rob124246 april 2023 18:41
Nebu standplaats is Wormerveer en bedient Nederlandse klanten. Het valt dus gewoon onder Nederlands recht.
Mathijs Kok @Groningerkoek6 april 2023 18:04
Ik denk zelfs dat er in de haast om de systemen te veranderen er sporen verloren zijn gegaan
Waarom denk je dat? Is er enige aanleiding om dat te denken of is het iets wat jij zelf bedacht hebt?
Frame164 @Mathijs Kok6 april 2023 19:41
Wellicht "zoals de waard is..."
Groningerkoek @Mathijs Kok6 april 2023 21:08
Ik denk dat omdat in eerdere berichtgeving Blauw aangaf dat volgens hen de prioriteit van NEBU lag op het weer operationeel worden lag en niet op het onderzoeken van wat er allemaal nu exact was gebeurt.
J_van_Ekris @Groningerkoek6 april 2023 18:23
...
het heeft er wel enorm sterk alle schijn van dat NEBU een mislukte poging heeft gedaan om dit in de doofpot te stoppen. Ik denk zelfs dat er in de haast om de systemen te veranderen er sporen verloren zijn gegaan en dat men zelf bij gebrek aan grondig onderzoek niet meer weet wat er allemaal wel of niet is gelekt en waartoe er allemaal toegang was.
Dit is allemaal wel heel erg speculatie. Ik geef toe dat Nebu de schijn tegen zich heeft, maar angst en paniek kan ook gewoon verlammend werken. Laten we geen beschuldigingen uiten waar onschuldigere verklaringen het gedrag ook verklaren. Aan het kruis nagelen kan altijd nog als blijkt dat men zich echt misdragen heeft.

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 09:32]

Groningerkoek @J_van_Ekris6 april 2023 22:14
Het je het rechtbankverslag gelezen met de chronologische volgorde?
bussie66 6 april 2023 18:36
Einde van Nebu lijkt mij nabij.

Wie wil nu nog zaken doen.met die amateurs?
ernstoud @bussie666 april 2023 18:42
Juist daarom is transparantie en goed met je kanten communiceren uitermate belangrijk. Uit veel onderzoek (o.a. bij de KU Leuven) blijkt dat bedrijven die een calamiteit overleven sterker uit de strijd komen als ze goed communiceerden. Daarom lees je soms over die terugroep acties als er bijvoorbeeld glas in bierflessen gevonden is, vroeger werd dat meer stilgehouden.

Het ziet er daarom heel slecht uit voor Nebu. Ik denk faillissement op redelijk korte termijn. Wie wil nog met hen in zee?
kodak
@ernstoud6 april 2023 19:31
Hoeveel van die waarschijnlijk miljoenen slachtoffers heeft er dan werkelijk een keuze of hun gegevens bij dit soort bedrijven verwerkt blijft of gaat worden? Waarschijnlijk nog geen procent. En dat weten de bedrijven die voor dit soort constructies kiezen: geen keuze geven is gelegenheid om korting te bedingen, vertrouwen op 'voldoende' of 'verbeterde' beveiliging en niemand legt ze iets in de weg. Klanten van een groot vervoersbedrijf of telecombedrijf stappen hierom nauwelijks over (als ze al keuze hebben) en hebben ook nauwelijks tot geen zeggenschap over wie hun gegevens verwerkt of wanneer dat begint. Dus is het eerder realistisch dat er genoeg bedrijven zijn die weer of nog het risico willen nemen om er zolang het kan voordeel van te hebben. Dit uitbesteden gaat nauwelijks om verantwoordelijkheid nemen, dat gaat dit niet zomaar veranderen als zelfs een strengere wet al niet helpt.
Skywalker27 @bussie666 april 2023 18:51
En met blauw want die hebben ook liggen slapen
Anoniem: 1576590 @Skywalker276 april 2023 19:25
Het einde van de partijen die onze gegevens hebben gedeeld met Blauw en anderen lijkt niet in zicht, maar in de eerste plaats zijn zij aansprakelijk.

Ik wil als klant via opt-in kunnen aangeven dat ik wel of niet wil dat mijn gegevens met niet strikt noodzakelijke derde partijen worden gedeeld.

Ook wil ik een volledig overzicht van alle partijen waar mijn gegevens "noodzakelijkerwijs" worden gedeeld, en bij wijzigingen wil ik het contract kostenloos kunnen verbreken.

Niet die strooiers (die voor een kwartje op de eerste rang willen zitten), maar hun klanten lopen de grootste risico's bij dit zieke systeem.
Skywalker27 @Anoniem: 15765906 april 2023 20:01
Blauw is nog maar het topje van de ijsberg. 95% van dit soort bedrijven zeggen er erg mee bezig te zijn. Tot je een audit voor een 3rd party assessment gaat uitvoeren. Het is een grote pleuris bende. En als je vragen stelt vinden de meeste je gewoon lastig en moet je je met je eigenzaken bemoeien.
kodak
@bussie666 april 2023 19:22
Dat zelfde kan net zo makkelijk gezegd worden bij het bedrijf dat ze inhuurde en van de bedrijven die daar gebruik van maakte. De praktijk lijkt niet uit te wijzen dat het zorgt dat er onvoldoende klanten zijn. En dat lijkt ook niet zo vreemd, aangezien kennelijk alle klanten de handelswijze wel prima leek te vinden. Ik maak uit het nieuws niet op dat er bij ook maar een van alle bedrijven er werkelijke interesse was of de theoretische vertrouwen ook in de praktijk werd gecontroleerd, of dat er in theorie zelfs wel voldoende was bedongen aan informeren.
CPV @kodak6 april 2023 23:18
Nooit geweten dat een eenvoudig klantenonderzoek in zo'n keten van meer en minder betrouwbare bedrijven terecht zou komen.
Voor mijn een reden om niet meer aan (dit soort) onderzoeken mee te doen, hoe vriendelijk het soms gevraagd wordt of hoe nuttig ze soms zijn/worden gebracht.
Als iedereen dit zou doen, is dat fenomeen rap uitgestorven.
kodak
@CPV7 april 2023 13:13
Blijf je net zo goed nog met het probleem zitten via andere diensten. Bijvoorbeeld bij klantenservice en helpdesks, bijvoorbeeld bij betalingsverkeer en boekhouding, bijvoorbeeld bij klanten- en ledenadministraties van bedrijven en verenigingen, bijvoorbeeld bij (bulk)maildiensten en webhosting, bijvoorbeeld bij cloudopslag. Enz.
Allemaal dienstverlening wat voor dit soort bedrijven een verdienmodel is om hun software en andere diensten direct en indirect aan verkopen, in ruil voor geld en de verwerking van gegevens van consumenten. Zonder die consumenten duidelijk te informeren welke bedrijven dat allemaal verwerken en aan verdienen.
Wisher 6 april 2023 19:29
Pensionenfonds Zorg en Welzijn stuurde mij gisteren dit algemene bericht waar ik ook wel iets meer informatie over wil weten.
  • Wie heeft er waaraan gelekt "een software leverancier van een onderzoeksbureau?!"?
  • Welke gegevens zijn het en hoe zit ik daarin?
  • Welke periode is het gelekt?
Ik heb al gemaild, maar hoor niets terug en ga dat waarschijnlijk ook niet horen. Maar wat moeten ze wettelijk?

De brief:
PFZW is op 30 maart 2023 geïnformeerd over een datalek bij een softwareleverancier van een onderzoeksbureau waarmee wij werken. Het zou kunnen dat een aantal van uw persoonsgegevens, zoals achternaam, e-mailadres, leeftijd en geslacht, is gelekt. Het gaat dus niet om wachtwoorden of financiële gegevens.

Maatregelen genomen om lek te dichten
Nadat dit bekend werd, heeft de softwareleverancier direct maatregelen getroffen om het lek te dichten en om herhaling te voorkomen. We vinden het heel vervelend dat gegevens van u mogelijk gelekt zijn. PFZW heeft hiervan melding gedaan bij de Autoriteit Persoonsgegevens.
jigalvh @Wisher6 april 2023 21:03
Mail van Hollands Nieuwe aan (ex-)klanten:
Beste klant,

Via deze weg willen we je informeren dat een van onze externe partners, te maken heeft gehad met een datalek. Hierbij is informatie van klanten van meerdere bedrijven, waaronder hollandsnieuwe, online gelekt.

Hierdoor zijn mogelijk klantgegevens bij derden beland die hier misbruik van kunnen maken. Het gaat om persoonsgegevens zoals naam en e-mailadres. We willen benadrukken dat het niet gaat om bankgegevens. We hebben dit direct gemeld bij de Autoriteit Persoonsgegevens en de externe partner heeft maatregelen genomen om het datalek te dichten en om herhaling te voorkomen.
Ook geen excuses, geen informatie over welke gegevens precies, niet waarom de gegevens van een ex-klant nog bij een "externe partner" liggen, niet wie die externe partner is, niet de audit met de vaststelling dat er geen datalek meer is

Het lijkt die bedrijven gewoon niets te interesseren. Antwoorden op vragen geven ze niet (en waarom zouden ze, (ex-)klanten zijn alleen maar een noodzakelijk kwaad).
Terrestrial 6 april 2023 19:33
Probleem is hier dat bedrijven gegevens door andere bedrijven in het buitenland mogen laten verwerken en dat is verkeerd. Nu kan een bedrijf zich overal vestigen en roepen dat ze zich aan de wetgeving van dat land houden maar die wetgeving is overal verschillend.

Er moet wetgeving komen dat klantinfo in het betreffende land waar het bedrijf opereert wordt opgeslagen. Dat betekend ook dat multinationals voortaan gegevens van klanten uit Belgie bijv. alleen in Belgie mogen verwerken en opslaan.
J_van_Ekris @Terrestrial6 april 2023 20:06
Dat betekend ook dat multinationals voortaan gegevens van klanten uit Belgie bijv. alleen in Belgie mogen verwerken en opslaan.
Dat is wat de AVG in praktijk doet. Je mag van de AVG alleen persoonsgegevens in het buitenland laten verwerken als je hebt vastgesteld dat de rechtsbescherming van de betrokken personen gelijk of beter geregeld is dan in eigen land.
Douweegbertje 6 april 2023 18:00
Ik vind het echt heerlijk om te lezen dat Nebu zo even bij de lurven wordt gepakt om openheid te moeten geven. Heel erg jammer dat het zo moet, maar heel goed dat Blauw hier zo op zit.
MennoE @Douweegbertje6 april 2023 19:18
En wie denk je dat er druk zet op Blauw om dit te doen? :)
Groningerkoek @MennoE6 april 2023 22:05
Vertel.. want ik weet het ook niet.
MennoE @Groningerkoek6 april 2023 22:38
De kennelijk 139 bedrijven wiens klantgegevens hierdoor gelekt zijn. Ik wilde enkel zeggen dat Blauw hier waarschijnlijk handelt onder druk van z'n klanten.
locke960 6 april 2023 21:06
Zou dit nog een precedent kunnen scheppen?
Als ik zie hoe vaag en weinigzeggend de verklaringen van grote bedrijven altijd zijn over hun (security) incidenten, waar ze blijkbaar mee weg komen, dan is dit best wel opzienbarend.
jpsch 6 april 2023 18:58
Nebu zal toch wel meer klanten hebben? Is het echt alleen Blauw die getroffen is?
Frame164 @jpsch6 april 2023 19:41
Lees het nieuws van de afgelopen weken....
jpsch @Frame1647 april 2023 08:23
Ben alleen Blauw tegengekomen en de klanten van Blauw.
Arnoud Engelfriet @jpsch7 april 2023 08:27
Er is veel meer. Blauw neemt de meest zichtbare acties, zoals dus het bij de rechter afdwingen dat ze inzage krijgen in wat hun leverancier nu precies gedaan heeft.
Groningerkoek @jpsch7 april 2023 13:07
USP en Mobiel Centre Marktonderzoek zijn twee anderen, daarnaast heeft Blaauw deze rechtszaak namens haarzelf en 5 andere marktonderzoekbureau's gedaan.

Dankzij het verhullend/ontwijkend optreden van NEBU is er tot op de dag van vandaag nog geen duidelijkheid over hoeveel bedrijven en mensen hierdoor zijn getroffen, wel wordt de lijst steeds groter.
CPV 6 april 2023 23:26
Blauw Research is een marketingbureau dat voor een groot aantal Nederlandse bedrijven klanttevredenheidsonderzoeken uitvoert. De gegevens die het daarbij verzamelt, waaronder persoonsgegevens, worden in systemen van Nebu gestopt.
Ik vroeg me van het begin al af, of ik er iets aan kon doen om dit te voorkomen.
Als ik geselecteerd wordt voor een klantenonderzoek, gaan mijn gegevens dus al de deur uit, dus ik zou er niet eens iets aan kunnen doen.
Maar als ik dit lees, worden de resultaten van het onderzoek bij Nebu gestald, ALS ik aan het onderzoek heb meegedaan.

Dus niet meedoen, zou de schade bepreken,
Maar desalniettemin zijn mijn gegevens door Ziggo al naar Blauw gestuurd, dus mijn gegevens zijn al de Ziggo deur uit. Een inbraak bij Blauw levert dan ook al gegevens op.
Ergo: je bent machteloos om je hiertegen te beschermen.

Of zit het anders?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq