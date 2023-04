Toen hebben criminelen toegang gekregen tot een wachtwoordkluis en 45 minuten lang gegevens kunnen stelen, maar pas 31 uur later is het lek ontdekt. Dat stelt marketingbureau Blauw, een van de klanten van Nebu, in een kort geding bij de rechtbank Rotterdam. Pas op 27 maart is het lek bij Blauw gemeld, aldus dat bedrijf.

Het marketingbedrijf eist meer ’alle informatie’ over hoe het lek is ontstaan en gedicht, en hoeveel data er precies zijn buitgemaakt.

Bedrijven als NS, CZ, VodafoneZiggo, Vrienden van Amstel live, RVO en pensioenfondsen hebben elk naar buiten gebracht dat er mogelijk persoonsgegevens op straat liggen die door Blauw waren verzameld in het kader van bijvoorbeeld tevredenheidsonderzoek. Volgens advocaat Veerle van Druenen van Blauw gaat het over gegevens van twee miljoen Nederlanders, ’en misschien nog wel meer’.

Volgens Van Druenen zijn er mogelijk nog altijd bedrijven die klant zijn van Nebu die niet weten of en welke data er zijn gelekt. Wat Nebu betreft is de vraag al beantwoord of er data van de klanten van Blauw-klanten zijn buitgemaakt.

Extern onderzoek

Sinds het lek heeft Nebu, een Wormerveers bedrijf dat onderdeel is van een Canadees concern, ’ongestructureerde en onvolledige’ informatie verstrekt aan zijn klanten, waaronder Blauw, over de hack. „Pas na dreiging met een kort geding kwam er wat meer informatie”, aldus Van Druenen. Volgens haar heeft Nebu alleen intern onderzoek laten doen, maar Blauw wil graag dat er een extern forensisch onderzoek komt. „Sinds vrijdag is er helemaal niet meer gecommuniceerd.” Alle marketingonderzoeken waarbij Nebu-data gebruikt worden, liggen momenteel stil.

Blauw zegt dat in het contract met Nebu staat dat dat laatste bedrijf alles doet wat Blauw zegt als er een incident is geweest, en proactief laat weten wat er is gebeurd. „We hebben er alles aan gedaan om Nebu te bewegen mee te werken”, aldus Van Druenen, die in de rechtszaal vergezeld wordt door twee directeuren van Blauw. In elk geval wil Blauw het interne onderzoeksrapport van Nebu lezen.

„Daar kunnen we aan meewerken”, aldus de advocaten van Nebu, die overigens maandagavond om elf uur pas zijn ingeschakeld. Tegen het einde van het kort geding is dat zes pagina’s tellende onderzoek met Blauw gedeeld.

’Hoogste prioriteit’

Nebu zegt dat het ’niet elke instructie mogelijk is’, contract of niet. Bovendien is er ’geen contractuele bepaling dat er een extern onderzoek móét komen’. „Het datalek heeft bij Nebu de hoogste prioriteit”, aldus de advocaten van het databedrijf. Bovendien: „Bij sommige bedrijven is de capaciteit groot genoeg om een intern onderzoek te doen.”

Bij Nebu heerste juist de gedachte dat Blauw tevreden was met hoe de vragen over de hack werden beantwoord. „Het kort geding zou worden ingetrokken als er meer informatie zou komen over de mogelijke daders.” Dat gebeurde niet, ook al liet het databedrijf vorige week nog weten ’dat het onderzoeksteam druk bezig is om het dark web af te speuren’.