Zeker 2 miljoen Nederlandse klantgegevens blijken betrokken bij een groot Nederlands datalek. Naast onder meer de NS en VodafoneZiggo zijn er nóg drie bedrijven geraakt: ook klantgegevens van de Nederlandse Golf Federatie, ArboNed en vervoersbedrijf Trevvel blijken te zijn gelekt.

De Autoriteit Persoonsgegevens heeft nog geen totaalbeeld kunnen maken. De toezichthouder start een onderzoek. Het kan overigens zijn dat mensen meerdere keren voorkomen in de data.

Eerder was al duidelijk dat naast de NS en VodafoneZiggo zorgverzekeraar CZ en de Vrienden van Amstel Live waren getroffen. Ook de Rijksdienst voor Ondernemend Nederland en woningcorporatie Stadgenoot bleken gedupeerd.

Meerdere marktonderzoekers hebben aan de NOS bevestigd slachtoffer te zijn. Gevraagd naar de oorzaak wijzen ze allemaal naar softwareleverancier Nebu, dat onderdeel is van een Canadees bedrijf. De NOS heeft het bedrijf vandaag telefonisch en per mail benaderd, maar nog geen reactie ontvangen.

De marktonderzoeker die tot nu toe het vaakst in verband wordt gebracht met het datalek, is Blauw Research. Dit bedrijf doet klanttevredenheidsonderzoek. Topman Jos Vink van Blauw zegt in gesprek met de NOS dat zijn bedrijf nog altijd niet weet welke data gestolen zijn.

Beveiliging digitale keten

Als een bedrijf wil weten hoe klanten denken over dienstverlening, kunnen zij een marktonderzoeker inschakelen. Die voert de vragen en persoonsgegevens in bij Nebu. "Dit hele incident laat het belang zien van het beveiligen van de hele digitale keten", zegt Dave Maasland, ceo bij beveiligingsbedrijf ESET Nederland. "Je ziet dat één zwakke schakel bij een leverancier verstrekkende gevolgen kan hebben."

Topman Vink van marktonderzoeker Blauw zegt in principe alleen een naam en e-mailadres van iemand te bewaren, het kan ook gaan om informatie over waar iemand klant is en of het een zakelijke of privéklant betreft. De vragenlijsten zelf zijn volgens hem kort en bevatten weinig persoonsgevoelige informatie. Hoe dat bij andere marktpartijen zit is onduidelijk.

De topman van Blauw zegt dat zijn bedrijf bijna drie weken geleden voor het eerst te horen kreeg dat er iets mis was. Dat gebeurde in het weekend van 11 maart. Er werd toen gesproken van een storing en dat er geprobeerd werd diensten te herstellen. De dinsdag erna bleek dat het ging om een digitale aanval. Dit werd 's avonds laat Nederlandse tijd per mail gemeld, Een medewerker van Vink las dit de volgende dag.

"Toen gingen alle alarmbellen af en probeerden we in contact te komen met het bedrijf via mail en telefoon", zegt hij. "We wilden weten hoe lang hackers binnen zijn geweest en of er data is buitgemaakt. Zij werkten op geen enkele manier mee."

Klanten en de Autoriteit Persoonsgegevens zijn volgens Vink op 16 maart geïnformeerd. Een dag later is een advocatenkantoor ingeschakeld om de druk op softwareleverancier Nebu te verhogen. In diezelfde dagen zijn ook het Nederlandse Cyber Security Center en de Canadese evenknie geïnformeerd.

Kort geding

Vervolgens besloot Blauw om samen met vijf andere bureaus een kort geding aan te spannen om Nebu te dwingen meer informatie te verstrekken. Afgelopen weekend en maandag heeft Nebu inderdaad meer gegevens gedeeld. Maar Blauw weet nog altijd niet welke data zijn gestolen. Volgende week dinsdag staat er een zitting gepland. Welke andere bureaus meedoen met deze zaak, kan de Blauw-topman niet zeggen.

Marktonderzoeker USP heeft de NOS laten weten ook getroffen te zijn. Bij dit bedrijf gaat het om maximaal 350.000 klanten en daarbovenop ook nog om maximaal 150.000 klanten in het buitenland. Mobiel Centre Marktonderzoek bevestigt ook getroffen te zijn door het datalek, maar wil over aantallen niks zeggen. Het gaat daar om namen, adresgegevens en incidenteel telefoonnummers.

Cybercriminaliteit

Maasland van beveiligingsbedrijf ESET vermoedt dat er sprake is van cybercriminaliteit met oplichting als doel. "Je hebt daarbij vooral een geloofwaardig middel nodig om ergens binnen te komen. Je moet je slachtoffer zover krijgen ergens op te klikken."

Als iemand net heeft meegewerkt aan een klanttevredenheidsonderzoek en daarna een e-mail krijgt met als bedankje een cadeaubon - 'je hoeft alleen maar op onderstaande link te klikken' - dan kan dat heel verleidelijk zijn.

"Met dit soort gegevens kun je op grote schaal geloofwaardig oplichten", zegt Maasland." Hij raadt mensen vooral aan om op te letten bij mails die direct om een actie vragen. "Dat is het belangrijkste signaal." Daarnaast wijst hij op het belang van het beveiligen van accounts met een goed wachtwoord en tweestapsverificatie.