Marktonderzoeker Blauw heeft op basis van de gesloten verwerkingsovereenkomst recht op meer informatie over de cyberaanval van Nebu B.V. Daarnaast moet de softwareleverancier een onafhankelijk forensisch onderzoek laat uitvoeren naar de oorzaak van het datalek. Tot slot moet de softwareontwikkelaar vandaag vóór 18:00 vragen beantwoorden die samenhangen met de cyberaanval aan Blauw, voor zover dat binnen haar macht ligt.
Dat heeft de rechtbank van Rotterdam bepaald in een kort geding dat was aangespannen door marktonderzoeksbureau Blauw. Die vond dat Nebu te weinig details prijsgaf over de cyberaanval en het datalek dat enkele weken geleden plaatsvond.
Gedupeerden tasten in het duister
Het vonnis geeft een overzicht van de belangrijkste ontwikkelingen die tot nu toe hebben plaatsgevonden. Op 10 en 11 maart is Nebu getroffen door een cyberaanval. Hackers slaagden er toen in om toegang te krijgen tot de servers van de softwareleverancier en data te downloaden. Op dat moment is nog onbekend of er gegevens van marktonderzoeker Blauw en haar klanten zijn gestolen.
Op 13 maart meldt Nebu aan Blauw en andere klanten dat er sprake is van een storing in de dienstverlening. Om die reden heeft het softwarebedrijf haar diensten offline gehaald. Nebu verstuurt diezelfde dag meerdere updates aan mogelijk getroffen klanten. Daarin wordt niets gezegd over een cyberaanval of datalek.
De dag daarop informeert Blauw of er sprake is van een datalek. ’s Avonds vertelt Nebu dat er op vrijdag 10 maart een cyberaanval heeft plaatsgevonden op de productieomgeving van Nebu in Nederland. Het bedrijf kondigt tevens een forensisch onderzoek aan.
Blauw dringt meerdere malen aan op aanvullende informatie
Op 15 maart en de daaropvolgende dagen stelt Blauw meerdere malen vragen over de cyberaanval en de gevolgen daarvan. Het marktonderzoeksbureau dringt daarbij aan op een spoedige beantwoording. Pas op 20 maart komt er een update, maar deze bevat geen informatie over de cyberaanval. Meer kon het softwarebedrijf op dat moment niet zeggen over de gebeurtenissen, zo schrijft het in het updatebericht.
Op vrijdag 24 maart verstuurt Nebu een update naar Blauw en andere getroffen klanten. Daarin zegt het softwarebedrijf dat er wachtwoorden zijn gestolen en dat de cyberaanval heeft geleid tot een datalek in de surveys en andere gegevens die in de cloud waren opgeslagen.
Naar aanleiding van dit bericht vroeg de advocaat van het marktonderzoeksbureau om nadere informatie. Op 27 maart vertelde Nebu in een e-mail dat de daders ransomware hadden gebruikt om toegang te krijgen tot de systemen en dat er data was buitgemaakt. In hetzelfde bericht ging het softwarebedrijf kort in op de maatregelen die het bedrijf had genomen.
Tot slot heeft Nebu een intern onderzoek uitgevoerd naar de cyberaanval. Dit rapport heeft het bedrijf dinsdag tijdens het kort geding overhandigd aan Blauw. De rechter vroeg tijdens die zitting of beide partijen met elkaar in gesprek konden gaan. Dat is gebeurd, maar heeft volgens Blauw niet het gewenste resultaat opgeleverd.
Rechter: Blauw heeft recht op alle beschikbare informatie over cyberaanval en datalek
De rechtbank van Rotterdam stelt dat Blauw recht heeft op alle beschikbare informatie over de cyberaanval en het ontstane datalek. Dat is vastgelegd in de Data Processing Agreement (DPA), een verwerkingsovereenkomst die in maart 2018 is ondertekend door de marktonderzoeker en Nebu. Mochten er zich nieuwe feiten of ontwikkelingen voordoen, dan moet het softwarebedrijf deze binnen vier uur na bekendwording aan Blauw worden verstrekt. Verder oordeelt de rechter dat Nebu onafhankelijk forensisch onderzoek moet laten uitvoeren naar de gebeurtenissen.
Om ervoor te zorgen dat de softwareleverancier gehoor geeft aan de vorderingen van de rechtbank, heeft de rechter dwangsommen opgelegd. Als Nebu hier niet aan voldoet, moet het bedrijf een bedrag van 25.000 euro betalen, met een maximum van een half miljoen euro. Dat geldt voor iedere vordering die het softwarebedrijf overtreedt. Tot slot moet Nebu de proceskosten van 2.400 euro vergoeden.
Miljoenen Nederlanders mogelijk de dupe van datalek
Hoeveel partijen gedupeerd zijn door het datalek bij Nebu, is lastig te zeggen. Een woordvoerder van de Autoriteit Persoonsgegevens zei woensdag dat 139 bedrijven en organisaties zich tot nu toe bij de toezichthouder hebben gemeld. Onder hen zitten enkele grote namen als de NS, VodafoneZiggo, Heineken, Hogeschool van Amsterdam (HvA) en zorgverzekeraar CZ. Ook diverse gemeenten, woningcorporaties en pensioenfondsen hebben hun klanten geïnformeerd over het datalek.
Het staat nog niet met zekerheid vast welke informatie er is gestolen. Hoogstwaarschijnlijk gaat het om persoonlijke gegevens als namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata, geslacht en nationaliteit. In sommige gevallen zijn er wellicht financiële gegevens buitgemaakt, zoals inkomens en pensioengegevens. Antwoorden op vragen van online surveys zijn mogelijk ook in handen van de daders beland.
Volgens schattingen zijn zo’n twee miljoen Nederlanders de dupe van het datalek bij de softwareleverancier.
