Staatssecretaris: NS wist dat Blauw samenwerkte met softwarebedrijf Nebu
De Nederlandse Spoorwegen (NS) wist dat marktonderzoeksbureau Blauw samenwerkte met softwarebedrijf Nebu en had hier in de verwerkersovereenkomst ook toestemming voor gegeven, zo heeft staatssecretaris Heijnen van Infrastructuur en Waterstaat laten weten. De VVD had Heijnen om opheldering gevraagd over het datalek bij Nebu, waardoor de gegevens van 780.000 treinreizigers mogelijk op straat zijn beland.
Nebu biedt software waar marktonderzoeksbureaus voor hun onderzoeken gebruik van maken. In maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij data was buitgemaakt. Het gaat daarbij ook om gegevens van de marktonderzoeksbureau die bij het softwarebedrijf klant zijn, maar het is nog altijd onduidelijk welke data het precies betreft.
"NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen", zo stelt de staatssecretaris. Ze voegt toe dat NS met Blauw een verwerkersovereenkomst had gesloten, waarin ook afspraken stonden over het inschakelen van Nebu.
VVD-Kamerleden Minhas en Rajkowski wilden verder van de staatssecretaris weten of ze vindt dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen. "De AVG verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven", reageert Heijnen.
Minhas en Rajkowski vroegen ook wat de staatssecretaris gaat doen om te voorkomen dat belangrijke klantgegevens in de toekomst zonder strenge regels door externe partijen kunnen worden gebruikt. "Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt", laat Heijnen daarop weten.
Blauw spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wil hebben. De rechter gaf Blauw begin april gelijk en oordeelde dat Nebu de informatie moet verstrekken. Ruim een maand later zijn er nog altijd geen details over de aanval openbaar geworden. Inmiddels hebben al 156 organisaties, als gevolg van de aanval op Nebu, bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.
Stuurt het bedrijf wat een tevredenheidsonderzoek wil houden gewoon de gegevens van AL hun klanten naar zo'n
bedrijf, evt voorzien van een vlaggetje "deze klant wil ja/nee benaderd worden" en andere info zoals "deze klant heeft
het afgelopen jaar wat bij ons gekocht", of filtert men zelf al op dat soort criteria voor men de lijst samenstelt die naar
het externe bedrijf gaat.
Dit geldt van voor (in dit geval) NS richting Blauw, en OOK voor (in alle gevallen) Blauw richting Nebu.
Nu wordt er in de media dubbelzinnig gesproken over "klanten die mee deden met een onderzoek", maar is dat wel
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
En verdere vragen worden niet beantwoord. Zoveelste dieptepunt van de NS.
Hierin staat NS niet alleen.
De meeste bedrijven sturen nietszeggende brieven naar hun klanten als er iets mis is gegaan.
Hoe meer je praat hoe meer vragen het oproept en hoe groter het risico dat je aansprakelijk wordt gesteld.
Die bedrijven hebben juridische adviseurs in dienst die wel weten hoe je de boot moet afhouden.
Alsof je dan geen klant bent ofzo.
AVG is van toepassing... Al lijkt daar de hand mee gelicht te worden zonder echte op/vervolging door AP.
Dit soort onderzoeken kost sowieso een hoop tijd. AP moet grondig, zorgvuldig en secuur zijn, want als het op sancties aan komt dan moet het niet zo zijn dat die makkelijk met een gang naar de rechter onderuit kunnen worden geschoffeld. De onderbouwing moet sterk zijn, en voor een sterke onderbouwing moet het onderzoek degelijk zijn. En de bedrijven krijgen kans om te reageren op de bevindingen, er hun (juridische) opvatting over te geven, en AP moet dan die opvatting weer serieus onderzoeken om te kijken of ze geen punt hebben. Er gaat het nodige heen en weer en ook dat kost veel tijd.
Met 156 bedrijven die een melding hebben gedaan, Nebu dat mogelijk niet meewerkt (als ze zich net zo opstellen als tegenover hun klanten) en zijn ontwikkelaars niet in Nederland maar in Hongarije heeft zitten, is het ook nog eens een buitengewoon complex geheel om te onderzoeken, zelfs al is volkomen duidelijk dat het bij Nebu mis is gegaan.
Mij zou het niets verbazen als het nog een jaar of langer duurt voordat AP met resultaten naar buiten treedt.
Ter vergelijking: misschien is het je niet opgevallen, maar het treinongeluk in Voorschoten is al bijna anderhalve maand geleden en je hoort niets van de Onderzoeksraad voor Veiligheid. Als je op hun website naar eerdere treinongelukken kijkt zie je dat een onderzoek ernaar vaak 10 tot 16 maanden duurt. Ook die komen pas met resultaten naar buiten als ze het hebben afgerond.
Serieus onderzoek doen naar complexe situaties vergt domweg heel veel tijd.
letterlijk de groep (als je niet reageerde zit je er dan toch bij?) en zo nee wat is dan precies de groep?
Ik heb niet meegedaan aan een onderzoek, maar heb dus wel die mail van NS gekregen. Ik heb een zakelijk account via mijn werkgever. Is dit nu een datalek dat ook door mijn werkgever gemeld dient te worden?
Peter
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.