Nebu-gegevenslek treft Nederlandse MR-bedrijven

Nebu-gegevenslek treft Nederlandse MR-bedrijven

3 april 2023

De in Nederland gevestigde bureaus Blauw en USP zijn getroffen door een beveiligingslek bij klanten van MR-softwareleverancier Nebu, waarbij volgens persberichten mogelijk gegevens zijn betrokken van ongeveer twee miljoen inwoners van het land.

Nebu, met hoofdkantoor in Wormerveer bij Amsterdam, werd in de zomer van 2021 overgenomen door de Canadese specialist in bedrijfssoftwareoplossingen Enghaus Systems. Volgens een rapport www.blauw.com/en/data-inbreuk-software-leverancier MR Agency kreeg op 24 maart een schriftelijke melding over ongeoorloofde toegang tot Nebu’s netwerk op de website van Blauw en bevestigde op 27 maart dat ‘er inderdaad gegevens waren gestolen’. Blauw zei dat de gegevens die gevaar liepen onder meer ‘gegevens waren die nodig zijn om mensen uit te nodigen om deel te nemen aan onderzoek (namen, e-mailadressen en telefoonnummers) en reacties die in onderzoek zijn gegeven’. Het bedrijf heeft ook de Nederlandse Autoriteit Persoonsgegevens op de hoogte gesteld en zegt ‘de situatie ten zeerste te betreuren’ en zal er alles aan doen om klanten op de hoogte te houden van de voortgang van het onderzoek.

Volgens berichten in www.nltimes.nl en andere Nederlandse kranten bevatten de Nebu-lekgegevens ‘op zijn minst wat gevoelige financiële informatie’, waaronder de namen, geslacht, leeftijd en telefoonnummers van gepensioneerden in het PME-fonds – hoewel ‘bankrekeningnummers, huisadressen, burgeridentificatienummers en e-mail’ adressen zijn niet gelekt en betalingsinformatie is niet opgenomen. Volgens het rapport hadden zo’n 780.000 records betrekking op klanten van NS, 700.000 klanten van Vodafone, ruim 100.000 golfers aangesloten bij sportverenigingen van de Nederlandse Golffederatie; 27.000 zijn ondergebracht bij de RVO, onderdeel van het ministerie van Economische Zaken en Klimaat.

Enghouse Systems, dat genoteerd staat aan de Toronto Stock Exchange, lijkt niet publiekelijk te hebben gereageerd op het datalek en heeft volgens rapporten een rechtszaak aangespannen om meer informatie van Blue Nebu te vragen.

Onderzoeksbureau USP zei dat 100.000 tot 150.000 Nederlandse inwoners werden getroffen door de inbreuk, waarbij de gegevens van nog eens 350.000 uit andere landen mogelijk in het gedrang kwamen. USP zei te denken dat vijf tot tien grote Nederlandse marktbureaus door hetzelfde lek zijn getroffen. De USP van zijn kant zei dat het van plan is om met Nebu te blijven werken, waarbij USP-directeur John-Paul Strobe opmerkte: ‘Er is geen garantie dat dit niet met een andere partij zal gebeuren. We moeten voorzichtig zijn en beseffen dat hacken aan de orde van de dag is. We gebruiken al 20 jaar Nebu-software en dit is het eerste probleem’.