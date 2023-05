De Nederlandse Spoorwegen (NS) wist dat marktonderzoeksbureau Blauw samenwerkte met softwarebedrijf Nebu en had hier in de verwerkersovereenkomst ook toestemming voor gegeven, zo heeft staatssecretaris Heijnen van Infrastructuur en Waterstaat laten weten. De VVD had Heijnen om opheldering gevraagd over het datalek bij Nebu, waardoor de gegevens van 780.000 treinreizigers mogelijk op straat zijn beland.

Nebu biedt software waar marktonderzoeksbureaus voor hun onderzoeken gebruik van maken. In maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij data was buitgemaakt. Het gaat daarbij ook om gegevens van de marktonderzoeksbureau die bij het softwarebedrijf klant zijn, maar het is nog altijd onduidelijk welke data het precies betreft.

"NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen", zo stelt de staatssecretaris. Ze voegt toe dat NS met Blauw een verwerkersovereenkomst had gesloten, waarin ook afspraken stonden over het inschakelen van Nebu.

VVD-Kamerleden Minhas en Rajkowski wilden verder van de staatssecretaris weten of ze vindt dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen. "De AVG verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven", reageert Heijnen.

Minhas en Rajkowski vroegen ook wat de staatssecretaris gaat doen om te voorkomen dat belangrijke klantgegevens in de toekomst zonder strenge regels door externe partijen kunnen worden gebruikt. "Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt", laat Heijnen daarop weten.

Blauw spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wil hebben. De rechter gaf Blauw begin april gelijk en oordeelde dat Nebu de informatie moet verstrekken. Ruim een maand later zijn er nog altijd geen details over de aanval openbaar geworden. Inmiddels hebben al 156 organisaties, als gevolg van de aanval op Nebu, bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt.