Impact datalek marktbureaus breidt zich uit

De persoonsgegevens van nog eens 100.000 tot 150.000 mensen in Nederland zijn mogelijk gelekt via marktonderzoeksbureau USP. Dit zegt directeur Jan-Paul Strop. Volgens hem zijn vijf tot tien andere grote Nederlandse marktonderzoeksbureau's getroffen door hetzelfde lek, waaronder marktonderzoeker Blauw. Volgens beide bureaus is de bron van het lek hun softwareleverancier Nebu uit Wormerveer, dat valt onder moederbedrijf Enghouse Systems in Canada. Zowel Nebu als Enghouse was vooralsnog onbereikbaar voor commentaar.

Huurders getroffen

De woningcorporaties Vivare (Arnhem en omstreken) en Haag Wonen (Den Haag) zeggen dat gegevens van hun huurders mogelijk ook getroffen zijn. Volgens Haag Wonen gaat het in hun geval om de gegevens van 22.000 huurders die sinds 2022 hebben meegewerkt aan tevredenheidsonderzoeken. Eerder donderdag zei corporatie Stadgenoot ook slachtoffer te zijn en dat gegevens van 15.000 mensen op straat kunnen liggen.

De drie organisaties maken gebruik van USP. Gegevens als namen, woonadressen, mailadressen en telefoonnummers van mensen die zijn uitgenodigd voor klanttevredenheidsonderzoeken zijn mogelijk gelekt. Bankgegevens en wachtwoorden zijn niet gelekt. De corporaties vragen hun huurders om op te letten op brieven, telefoontjes en mails. Het lek is inmiddels gedicht.

Melding

USP heeft klanten inmiddels geïnformeerd over het lek en een melding gedaan bij de Autoriteit Persoonsgegevens (AP), zegt Schop. Via zijn bureau zijn 52 organisaties mogelijk getroffen, waaronder de drie woningcorporaties. Buiten Nederland gaat het om nog eens 350.000 mensen.

Bij branchegenoot Blauw zijn veertien organisaties slachtoffer van het lek. VodafoneZiggo en de NS werden vooralsnog het hardst geraakt, van deze bedrijven lekten de gegevens van respectievelijk ongeveer 700.000 en zo’n 780.000 klanten. Via Heineken zijn maximaal 22.000 bezoekers van De Vrienden van Amstel LIVE mogelijk de dupe. Bij CZ gaat het om gegevens van 3000 mensen.

Bij de Nederlandse Golffederatie (NGF) zijn gegevens van 107.000 leden mogelijk op straat komen te liggen. Dat komt door een lek in het softwareprogramma voor een enquête waaraan ze onlangs meededen. Ook gegevens van mensen die arbeidsongeschikt zijn, liggen mogelijk op straat. Dat meldt ArboNed, een arbodienst voor het midden- en kleinbedrijf. De organisatie zegt niet om hoeveel klanten het gaat. Een andere klant van marktonderzoeksbureau Blauw die mogelijk is getroffen is Trevvel, dat leerlingen- en zorgvervoer in Rotterdam en omstreken uitvoert.

Indirect getroffen

Het datalek is ‘wereldwijd uniek en niet eerder voorgekomen’. Dat zegt Wim van Slooten, de directeur van branchevereniging voor marketingbureaus MOA. Hij geeft aan dat het datalek niet alleen directe gevolgen heeft voor marketingbureaus, maar ook indirect mensen kan treffen. Sommige bureaus, die niet met Nebu-software werken, besteden namelijk bepaalde onderzoeken uit aan andere bedrijven. De marketingbedrijven die deze onderzoeken vervolgens uitvoeren, kunnen op hun beurt wel werken met software van Nebu.

Verantwoordelijkheid

De Autoriteit Persoonsgegevens (AP) sluit niet uit dat meer bedrijven en organisaties zich zullen melden waarvan klantgegevens mogelijk op straat komen te liggen als gevolg van het datalek. Een woordvoerder van de privacytoezichthouder zegt dat bedrijven zich ook meer bewust moeten zijn van hun verantwoordelijkheid bij het doorgeven van persoonsgegevens. ‘Wees je ervan bewust dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens wanneer je ze doorgeeft voor een marktonderzoek.'

Rijksoverheid

Er zijn ‘vooralsnog geen signalen dat de rijksoverheid is geraakt door het datalek,' zegt Alexandra van Huffelen (Digitalisering) via haar woordvoerder. De bewindsvrouw zegt de situatie ‘nauwlettend’ in de gaten te houden.

Bij een groot datalek is het aan de verantwoordelijke voor informatieveiligheid bij het ministerie van Binnenlandse Zaken om na te gaan of ministeries of andere instellingen binnen de landelijke overheid zijn geraakt. Die functie is ruim twee jaar geleden in het leven geroepen om de informatieveiligheid binnen de overheid te verbeteren. De overheid schakelt regelmatig externe bureaus in voor allerlei klussen en zou dus ook slachtoffer kunnen worden van een dergelijk datalek, al lijkt daar nu geen sprake van. (ANP/Redactie)