Eén datalek en miljoenen slachtoffers: wat kunnen wij leren?

20/04/2023 - Onlangs is er een groot datalek aan het licht gekomen. De lijst met getroffen bedrijven en betrokkenen lijkt met de dag langer te worden. De Autoriteit Persoonsgegevens (AP) heeft inmiddels van maar liefst 139 bedrijven een melding ontvangen dat zij door het datalek zijn geraakt. Het grote datalek is het resultaat van een cyberaanval op softwareleverancier Nebu. Als gevolg daarvan is mogelijk de persoonlijke informatie van miljoenen personen in handen van cybercriminelen terecht gekomen. In het nieuws is al veel over dit datalek bericht. Maar wat kunnen wij eigenlijk leren van dit incident?  

De feiten op een rijtje

De 139 bedrijven die een melding hebben gedaan bij de AP, werken samen met een aantal verschillende marktbureaus, die allemaal gebruikmaken van dezelfde softwareleverancier: Nebu. Het marktbureau dat in de media het vaakst in verband wordt gebracht met het datalek is Blauw Research (hierna: Blauw). Blauw verricht klanttevredenheidsonderzoeken namens verschillende organisaties, waaronder de NS, VodafoneZiggo, zorgverzekeraar CZ en de Rijksdienst voor Ondernemend Nederland.

Gevraagd naar de oorzaak van het datalek, wijzen Blauw en de andere marktbureaus allemaal naar Nebu. Nebu levert softwareoplossingen voor marktonderzoeken aan bedrijven. Op 10 en 11 maart is Nebu het slachtoffer geworden van een cyberaanval. Hierbij hebben de aanvallers gegevens buitgemaakt. Welke gegevens dit precies zijn, is momenteel nog niet bekend. Blauw meent “in principe” de naam, het e-mailadres, klantsoort en enquêteresultaten van de betrokkenen te bewaren. Of deze gegevens ook daadwerkelijk gelekt zijn, moet nog blijken uit het onderzoek dat momenteel wordt gedaan naar het datalek. De NS benadrukt dat het in ieder geval niet gaat om financiële gegevens of wachtwoorden.

Het kort geding

Nadat Nebu Blauw informeerde over het datalek, vroeg Blauw Nebu om meer informatie te verstrekken over de precieze feiten van het lek, hoe het datalek is ontstaan en of het datalek redelijkerwijs voorkomen had kunnen worden. Toen Nebu deze informatie niet verstrekte, spande Blauw bij de rechtbank Rotterdam een kort geding aan tegen Nebu. Blauw vorderde, samengevat, informatie over het datalek en een extern forensisch onderzoek naar de oorzaak van het lek.

In zijn beslissing kijkt de rechtbank onder andere naar de uitleg van de verwerkersovereenkomst die tussen Blauw en Nebu geldt. Hierin is, onder meer, opgenomen dat Blauw onmiddellijk (of in ieder geval binnen 24 uur na het optreden van het incident) in kennis wordt gebracht van elk incident in verband met de verwerking van persoonsgegevens, Nebu volledige medewerking verleent aan Blauw en instructies van Blauw in dit kader opvolgt. Dit zodat Blauw in staat wordt gesteld het incident naar behoren te onderzoeken, een reactie naar de buitenwereld kan formuleren en passende vervolgstappen kan nemen. De opgenomen clausule is gebaseerd op de in artikel 28, lid 3, AVG geformuleerde informatie en bijstand-verplichting van de verwerker.

Volgens de kort geding rechter moet Nebu op “loyale en royale wijze” aan deze verplichtingen voldoen. De rechter wijst de vorderingen van Blauw in de procedure dan ook grotendeels toe. Nebu moet, onder meer, informatie verstrekken over de details van de cyberaanval, hoe het herstel van de systemen is verlopen, van welke klanten persoonsgegevens zijn gelekt, wie de daders van de cyberaanval zijn en de maatregelen die zijn genomen. Ook de eis om een extern forensisch onderzoek naar de oorzaak van het lek te doen, wordt door de rechter toegewezen: binnen vijf werkdagen na de uitspraak moet Nebu een externe partij aan boord brengen om dit onderzoek uit te voeren. Binnen 4 weken moet het rapport worden opgeleverd.

Datalekken bij softwareleveranciers zijn geen verrassing meer

Het datalek bij Nebu past binnen een al eerder door de AP gesignaleerde trend waarin IT-leveranciers, steeds vaker het slachtoffer worden van cyberaanvallen. De trend valt te verklaren: bij IT-leveranciers valt simpelweg veel te halen. Vaak beschikken zij over een verzameling van persoonsgegevens van verschillende organisaties op hun servers. Als gevolg daarvan is de impact van een datalek bij een IT-leverancier zeer groot, zoals het datalek in kwestie laat zien.

Gelet op het bovenstaande, is het voor dergelijke leveranciers ongetwijfeld van belang dat de persoonsgegevens die zij verwerken goed worden beveiligd. Daar zijn zij ook wettelijk toe verplicht. Op grond van artikel 32 AVG moeten zowel verwerkingsverantwoordelijken als verwerkers namelijk passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het maakt in dit verband dus niet uit of een partij als verwerker of verwerkingsverantwoordelijke kwalificeert; de beveiliging moet altijd voldoende zijn.

Wat kunnen organisaties dan concreet doen om de kans op een beveiligingsincident bij een softwareleverancier te beperken en de risico’s te mitigeren?

Nebu is een ISO 27001 gecertificeerd bedrijf dat claimt 25 jaar ervaring te hebben in het bouwen en aanbieden van softwareoplossingen. Daarmee lijkt Nebu op het eerste gezicht een betrouwbare partner met een gedegen beveiliging te zijn. Achteraf blijkt dat Nebu de beveiliging mogelijk toch niet zo goed op orde had. Wat kunnen organisaties, naast het opvragen van beveiligingscertificaten, doen om de kans op een beveiligingsincident bij een software leverancier te beperken?

In een eerder blog geef ik al aan dat certificeringsmechanismen – zoals ISO 27001 - vaak alleen betrekking hebben op de governance van de informatiebeveiliging en weinig zeggen over het werkelijke beveiligingsniveau. Het is dus verstandig voor organisaties om niet alleen vast te leggen in een verwerkersovereenkomst dat een organisatie zich aan bepaalde normen dient te houden, maar ook om te controleren of de verwerker in kwestie  deze normen daadwerkelijk nakomt. Dat kan door zelf een audit uit te (laten) voeren of een recente Third Party Mededeling (TPM) op te vragen bij de leverancier zelf. Een TPM is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening en – beheersing van een organisatie. Daarnaast is het zaak om goede afspraken te maken met de verwerker over het verlenen van bijstand- en het verstrekken van informatie in het geval zich toch een datalek voordoet. Om er zekerder van te zijn dat een verwerker in een dergelijk geval weet hoe te handelen, kunt u bijvoorbeeld een incident response plan opvragen. Mocht de verwerker daarover niet blijken te beschikken, dan is dat meestal een slecht teken.