Minister: ‘NAM aansprakelijk voor datalek’

Close-up van de broncode van een softwareprogramma

De Nederlandse Aardoliemaatschappij (NAM) is als verwerkingsverantwoordelijke aansprakelijk voor het datalek dat in maart plaatsvond. Daarbij kwamen privacygevoelige gegevens van klanten in handen terecht van cybercriminelen. Gedupeerden die in de toekomst hierdoor schade ondervinden, bijvoorbeeld door identiteitsfraude, kunnen bij deze instantie aankloppen voor een vergoeding.

Dat schrijft demissionair minister van Economische Zaken en Klimaat Bas van ’t Wout in een reactie op schriftelijke vragen van CDA-Kamerlid Agnes Mulder.

19.000 mensen getroffen door datalek NAM

Half maart werd de NAM getroffen door een datalek. Niet omdat hackers het bedrijfsnetwerk hadden geïnfiltreerd en vertrouwelijke gegevens hadden gestolen, maar vanwege een beveiligingslek in een programma van de firma Accellion. De NAM gebruikte de software van de fabrikant om bestanden beveiligd te versturen naar het Instituut Mijnbouwschade Groningen (IMG). Accellion heeft het beveiligingslek na ontdekking direct gedicht.

Het IMG is verantwoordelijk voor de afhandeling van schadeclaims van burgers die in het Groningse gaswinningsgebied wonen. Iedereen die tussen 2014 en juli 2020 een waardedalingsclaim heeft ingediend bij de NAM, is getroffen door het datalek. Dat geldt ook voor mensen die bij Stichting Waardevermindering door Aardbevingen Groningen (Stichting WAG) zijn aangesloten, en huiseigenaren die op eigen houtje een rechtszaak tegen de NAM hebben lopen. In totaal gaat het om zo’n 19.000 mensen.

Gedupeerden zijn allemaal ingelicht over datalek

Het voorval was voor Agnes Mulder van het CDA aanleiding om schriftelijk vragen te stellen aan de verantwoordelijke minister Bas van ’t Wout. Hij heeft de vragen van de politica beantwoord. Van ’t Wout schrijft dat de NAM begin maart op de hoogte is gesteld van de kwetsbaarheid in de software van Accellion. Na deze melding is de NAM een onderzoek gestart. Daaruit kwam naar voren dat bij het versturen van data naar het IMG gegevens waren ontvreemd.

De minister bevestigt dat het om de gegevens van ongeveer 19.000 mensen gaat. Voor het overgrote deel zijn NAW-gegevens gestolen, waaronder initialen, achternamen, adressen, woonplaatsen en in sommige gevallen ook geboortedata. Bij 122 personen zijn ook gevoelige persoonsgegevens gelekt, zoals e-mailadressen en telefoonnummers. Bij 7 personen zijn tevens bankgegevens en vaststellingovereenkomsten met de NAM buitgemaakt.

De NAM heeft deze groep telefonisch ingelicht en advies gegeven over hun cyberveiligheid. De overige 115 mensen hebben een e-mail of brief ontvangen met daarin dezelfde adviezen en informatie. Ook heeft de NAM een telefoonnummer en e-mailadres opengesteld voor mensen die meer tekst en uitleg over het datalek wilden. In totaal heeft de NAM 17 vragen ontvangen en beantwoord.

NAM aansprakelijk voor eventuele schadevergoeding

Een ander punt van aandacht waar Mulder zich zorgen over maakte, is toekomstige schade als gevolg van het datalek. In theorie is het mogelijk dat de daders de gestolen gegevens misbruiken om de identiteit van een ander aan te nemen om fraude mee te plegen. Dit noemen we ook wel identiteitsfraude. De christendemocraat vroeg aan minister Van ’t Wout wie in dat geval aansprakelijk is voor de schade.

Daarover laat de minister geen misverstand bestaan: dat is de NAM. “Als een gedupeerde schade lijdt als gevolg van een overtreding van de Algemene Verordening Gegevensbescherming (AVG), dan kan hij, op grond van de AVG, recht hebben op een vergoeding van zijn schade als het datalek verwijtbaar is. Op grond van de AVG is de verwerkingsverantwoordelijke in dat geval aansprakelijk. In dit geval is NAM de verwerkingsverantwoordelijke, en kan dus aansprakelijk gesteld worden door gedupeerden.”

Babylonische spraakverwarring

Er is tevens sprake van een Babylonische spraakverwarring. In het persbericht dat de NAM in maart vrijgaf, staat dat het bedrijf de software van Accellion op verzoek van het IMG gebruikte om informatie door te geven over de afhandeling van waardedalingsclaims. Volgens minister Van ’t Wout heeft IMG niet aan de NAM gevraagd om deze specifieke software te gebruiken. Hoe de vork nou precies in de steel steekt, wordt hierdoor niet duidelijk.

IMG eveneens getroffen door datalek, maar door andere oorzaak

Op de vraag of het IMG ook is getroffen door het datalek, antwoordt de minister ontkennend. “Aangezien het lek plaatsvond bij de leverancier van de software is IMG niet zelf getroffen door dit lek. Dit neemt niet weg dat IMG alert is op de veiligheid van zijn informatie.” Om ervoor te zorgen dat de AVG wordt nageleefd, heeft het bedrijf extra werknemers in dienst genomen.

Tussen neus en lippen door schrijft de minister van Economische Zaken en Klimaat dat bij het IMG ‘korte tijd sprake is geweest van een datalek’. Dit lek is naar eigen zeggen ontstaan bij de overstap naar een nieuwe administratiesysteem. “Hierbij waren documenten, die afkomstig waren van RVO-regelingen, zichtbaar in IMG-dossiers van aanvragers. Uit voorzorg heeft IMG direct alle documenten in het online ‘Mijn dossier’ (specifiek het deel voor fysieke schade) geblokkeerd. Inmiddels zijn alle verkeerd geplaatste documenten verwijderd en zijn de dossiers weer volledig zichtbaar en toegankelijk voor de individuele aanvragers”, aldus de minister.

Het incident is gemeld bij de Autoriteit Persoonsgegevens.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen