Nieuws
image

Stadgenoot waarschuwt 15.000 huurders voor datalek bij marktonderzoeksbureau

donderdag 30 maart 2023, 10:08 door Redactie, 7 reacties

De Amsterdamse woningcorporatie Stadgenoot waarschuwt vijftienduizend huurders voor een datalek dat zich heeft voorgedaan bij marktonderzoeksbureau USP Marketing Consultancy. Dit bedrijf voert voor klanten tevredenheidsonderzoeken uit en maakt hierbij gebruik van bepaalde software. De leverancier van deze software heeft te maken gekregen met een datalek.

"Op 24 maart kregen wij schriftelijk bericht dat er sprake was van onbevoegde toegang tot het netwerk van de softwareleverancier. Op 28 maart bevestigde deze leverancier dat er daadwerkelijk data is ontvreemd. Dit betreuren wij zeer en wij hebben onze opdrachtgevers hierover ingelicht. Wij weten nog niet wat er exact is ontvreemd", zo laat het marktonderzoeksbureau weten.

Een van de klanten van USP Marketing Consultancy is Stadgenoot. Vanwege het datalek bij het marktonderzoeksbureau kunnen ook gegevens zijn gelekt van huurders die in het verleden voor één of meer tevredenheidsonderzoeken van Stadgenoot zijn uitgenodigd. Het gaat dus ook om de gegevens van mensen die alleen zijn uitgenodigd en niet hebben deelgenomen.

De mogelijk gelekte gegevens bestaan uit namen, e-mailadressen en telefoonnummers. Zowel USP Marketing Consultancy als Stadgenoot hebben melding bij de Autoriteit Persoonsgegevens gedaan. Eerder deze week meldde ook marktonderzoeker Blauw dat het te maken heeft gekregen met een datalek dat zich bij een softwareleverancier heeft voorgedaan.

Reacties (7)
30-03-2023, 10:53 door Anoniem
Eerder deze week meldde ook marktonderzoeker Blauw dat het te maken heeft gekregen met een datalek dat zich bij een softwareleverancier heeft voorgedaan.
Ik verwachtte al dat er meer berichten van deze berichten zouden komen. Het lijkt me heel waarschijnlijk dat dit over dezelfde softwareleverancier en hetzelfde lek gaat. Die leverancier heeft ongetwijfeld meerdere klanten, en dan zijn meer berichten over lekken te verwachten: bij meer marktonderzoeksbureaus en bij meer klanten van die marktonderzoekbureaus. Ik ben benieuwd hoe groot dit zal blijken te zijn.

Het gaat hier om ketens van uitbesteding van verwerking, en een ketting is niet sterker dan de zwakste schakel. In dit geval is (aangenomen dat dit inderdaad hetzelfde lek is) die zwakste schakel het eindpunt van meerdere ketens, het is één plek waar heel veel verwerking bij elkaar komt. Dat is riskant, en de vraag die nu gesteld mag worden is of het wel verantwoord is om zo te werken.

Volgens de AVG blijven de verwerkingsverantwoordelijken (NS, VodafoneZiggo, Stadgenoot) verantwoordelijk voor verwerking die ze uitbesteden. Als dit inderdaad als een riskante manier van werken moet worden gezien zijn zij verantwoordelijk voor het nemen van dat risico. Het is aan hun om de organisatorische en technische maatregelen te nemen die nodig zijn om een passende beveiliging te waarborgen, en je kan redeneren dat een risicoverhogende maatregel nooit passend kan zijn.
30-03-2023, 11:24 door Anoniem
Ik vraag me daadwerkelijk af hoe groot de data lek is bij Blauw en hoeveel gegevens zij überhaupt hebben.
30-03-2023, 12:02 door Anoniem
Dit is puur marketing, het bericht zou pas geneutraliseerd zijn als er door de rechtbank zou zijn bepaald dat er een megaboete van een bedrag met 7 digits voor de komma, waarbij de eerste 6 digits geen 0 mogen zijn, en het faillissement van het bedrijf zou zijn aangekondigd.

--Anonymouse
30-03-2023, 12:15 door Anoniem
Door Anoniem: Ik vraag me daadwerkelijk af hoe groot de data lek is bij Blauw en hoeveel gegevens zij überhaupt hebben.
Wat ik online leest gaat het bij Blauw om ongeveer 14 opdrachtgevers. Van die opdrachtgevers zal lang niet iedereen meedoen aan het klanttevredenheidsonderzoek, dus dat beperkt het aantal betrokkenen.
Andere beperking is dat nog steeds onduidelijk is welke gegevens 'uitgelekt' zijn bij Nebu. Gaat het om de kantooromgeving, of echt om de SaaS diensten die zijn aanbieden? Volgens mij is dat nog onduidelijk.

Aan de andere kant zal het 'lek' nog wel groter worden. Er zijn er meer bedrijven dan Blauw Research en USP Marketing Consultancy die gebruik maken van de software van Nebu. En die zullen ook meerdere opdrachtgevers hebben, die op hun beurt weer alle betrokkenen moeten informeren.
30-03-2023, 14:45 door walmare
On the Nebu website: "Nebu is now ISO 27001 certified Nebu has been recognized as an ISO 27001 certified company. We have taken all the necessary measures to ensure your data is well-protected and to meet the highest internationally acknowledged security standard" So many companies throwing with these certifications while their security is worthless. Worrying!
Dat kan je dus absoluut niet garanderen (zie de feiten van incidenten) als je zoals Nebu een consumenten OS gebruikt dat continue kritiek lek is en aan ransomware ten onder gaat.
30-03-2023, 15:13 door Anoniem
Door Anoniem: Dit is puur marketing, het bericht zou pas geneutraliseerd zijn als er door de rechtbank zou zijn bepaald dat er een megaboete van een bedrag met 7 digits voor de komma, waarbij de eerste 6 digits geen 0 mogen zijn, en het faillissement van het bedrijf zou zijn aangekondigd.

--Anonymouse
Wat wil je met deze onzin bereiken. Kom met zinnige (information security) vragen of opmerkingen.
30-03-2023, 19:43 door Anoniem
De irritante klanttevredenheidsonderzoeken wettelijk verbieden. Ontevreden klanten klagen zelf wel bij de Consumentenbond of rechter. Dan heb je voor de toekomst in ieder geval een datalekmogelijkheid minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search