Het datalek vond plaats bij de leverancier marktonderzoekbureau Blauw.
Uit voorzorg informeerde NS vandaag de reizigers over een mogelijk gevonden datalek bij een van hun leveranciers. Bij het marktonderzoekbureau Blauw waar zij mee samenwerken, is een datalek gevonden. Mogelijk is daarbij een aantal van de persoonsgegevens van reizigers gelekt, zoals naam, e-mailadres en telefoonnummer. NS benadrukt dat het niet om financiële gegevens gaat of eventueel wachtwoorden of gegevens over bedrijven en medewerkers.
Op 24 maart kreeg Blauw schriftelijk bericht dat er sprake was van onbevoegde toegang tot het netwerk van de softwareleverancier. Op 27 maart bevestigde deze leverancier dat er daadwerkelijk data is ontvreemd. Het getroffen onderzoeksbureau werkt onder meer voor Ahold, Ziggo, Philips, Heineken, Fox Sports, Markplaats, KNVB, Baxter en Nissan.
Helaas zijn wij als marktonderzoekbureau geconfronteerd met een datalek bij een leverancier van software die wij gebruiken voor onderzoek. Hierbij hebben derden mogelijk toegang gehad tot data die wij voor opdrachtgevers verzamelen en verwerken en data voor ons eigen tevredenheidsonderzoek. Het gaat dan om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan het onderzoek (namen, emailadressen en telefoonnummers) en de gegeven antwoorden in het onderzoek. Wij doen er de komende tijd alles aan om onze opdrachtgevers zo goed mogelijk te blijven informeren.
Blauw Research bv
Op de dag dat de stichting die claims voor schadevergoedingen indiende het ministerie van Volksgezondheid Welzijn en Sport VWS) en 34 andere instanties (waaronder regionale GGD’s) voor de rechter daagde vanwege een datalek bij de GGD tijdens de coronapandemie, waarschuwt NS haar 780.000 klanten dat er een datalek plaats heeft gevonden bij hun leverancier marktonderzoekbureau Blauw. Dat bureau doet regelmatig onderzoek in opdracht van NS. Reizigers die voor een of meer van deze onderzoeken werden uitgenodigd kunnen te maken krijgen met het datalek. NS betreurt dat gegevens werden gelek en heeft direct maatregelen getroffen om het datalek te dichten en om herhaling te voorkomen. Ook hebben zij melding gedaan bij de Autoriteit Persoonsgegevens.
"Wij vragen u daarom extra alert te zijn op zogenaamde phishing-berichten, zoals een e-mail of Whatsapp-bericht. Phishing-berichten lijken afkomstig te zijn van bekenden of bedrijven, maar worden in werkelijkheid verzonden door mensen die kwaad willen. "
Ivo Steffens - Directeur Commercie
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
phishing
Het doel van een phishing-bericht is om meer gegevens van reizigers buit te maken of om betalingen door hen te laten uitvoeren. In zo’n phishing-bericht kan persoonlijke informatie worden gebruikt. Op die manier komt het bericht geloofwaardiger over.
In 2020 kreeg NS ook te maken met kwaadwillende die toegang kregen tot de accounts. De NS merkte dat onbekenden probeerden in te loggen op de accounts van reizigers. Waarschijnlijk wilden ze kijken of ze bij de NS konden inloggen met gebruikersnamen en wachtwoorden die bij andere sites waren gestolen. Ook toen heeft de NS de inbraak gemeld bij de Autoriteit Persoonsgegevens en heeft aangifte van computervredebreuk gedaan bij de politie.
Prorail
Nu blijkt dat er is ingebroken bij een softwareleverancier die diensten levert aan marktonderzoekers zoals Blauw, is wellicht ook ProRail daardoor mogelijk geraakt. Het gaat dan om 4300 mensen die telefonisch contact hebben gehad met de afdeling Publieksvoorlichting. Alleen hun namen, telefoonnummers en geslacht zijn mogelijk buitgemaakt (dus geen (mail)adressen, financiële gegevens e.d.). Ook zij worden geadviseerd om extra alert te zijn op telefonische oplichting.
Wilt u meer weten over phishing? De Rijksoverheid heeft hiervoor een speciale website: www.veiliginternetten.nl.