Overheid geraakt door datalek Nebu

Het aanvankelijk stil gehouden datalek bij softwarebedrijf Nebu heeft niet alleen marktonderzoeker Blauw en daarlangs andere bedrijven geraakt. Ook diverse ministeries en andere rijksorganisaties zijn betrokken. Data van burgers, eigen en externe medewerkers, onderwijsinstellingen, bedrijven en klanten zijn gelekt. Dit antwoordt staatssecretaris Alexandra van Huffelen in antwoord op Kamervragen.

16 rijksorganisaties geraakt door datalek

Voor zover nu bekend zijn in totaal zestien organisaties binnen de rijksoverheid geraakt, schrijft de bewindsvrouw voor Digitalisering. Een aantal van die rijksorganisaties gebruikt meerdere bureaus voor marktonderzoek, laat Van Huffelen weten. Het gaat om het ministerie van Economische Zaken en Klimaat (EZK), de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO), de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het ministerie van Onderwijs, Cultuur en Wetenschap, de Koninklijke Bibliotheek, de Huurcommissie (DHC), de Dienst Publieke Communicatie (DPC) en de Raad voor Rechtsbijstand (RvR).

Gegevens van burgers gelekt

‘Betrokkenen binnen de rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer, (telefonische) enquêteresultaten/inhoud onderzoek.’ De staatssecretaris verklaart dat er, waar relevant, melding van deze datalekken is gedaan bij de Autoriteit Persoonsgegevens (AP).

‘De omvang van het datalek varieert per organisatie’, meldt Van Huffelen in haar antwoorden op Kamervragen over het geruchtmakende Nebu/Blauw-datalek. ‘Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek.’

Kamervragen over verantwoordelijkheid

De vragen van CDA-Kamerlid Evert Jan Slootweg zijn naar aanleiding van een Telegraaf-artikel waarin de complicatie van datadeling door bedrijven wordt aangehaald. ‘Bedrijven delen data van klanten met hun leveranciers, maar hoe veilig is dat?’, vraagt de krant. Waarop Slootweg aan Van Huffelen heeft gevraagd of het klopt dat een bedrijf of (overheids)organisatie zelf verantwoordelijk is voor de data die een klant met het bedrijf deelt, ook als het bedrijf die data met een externe partij deelt. De staatssecretaris antwoordt dat de verantwoordelijkheid inderdaad bij de initiële datapartij ligt en blijft.

Aansprakelijkheid nog onduidelijk

Op de Kamervraag welke partij aansprakelijk is voor dit datalek (bij softwarebedrijf Nebu) blijft zij het antwoord schuldig. ‘Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd.’ In de AVG zijn weliswaar de rollen van verwerkingsverantwoordelijke en verwerker omschreven, maar in de praktijk kunnen partijen (in een (verwerkers)overeenkomst) afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek.

Een jaar geleden heeft toezichthouder AP al gewaarschuwd dat er miljoenen slachtoffers zijn van datalekken bij IT-leveranciers. Die dataverwerkende bedrijven lichten getroffen klanten vaak niet goed vanwege angst voor reputatieschade. Het datalek bij Nebu waar klant Blauw én diens klanten door zijn geraakt, is hier een actueel voorbeeld van.

Een uitgebreidere versie van dit artikel verscheen eerder bij AG Connect.