Datalek NMBS "door duwen op verkeerde knopje"

BELGA
"Het datalek bij NMBS Europe is wél veroorzaakt door een menselijke fout", zo bevestigt de NMBS na een onderhoud met de Privacycommissie. Een werknemer zou op een verkeerd knopje hebben geduwd. Het bestand met de gegevens was sinds mei beschikbaar op het internet, wat al duizenden klachten opleverde. De Privacycommissie zelf is nog niet overtuigd en kondigt aan te onderzoeken of dat wel klopt.

Na een intern onderzoekt wordt de oorzaak van het datalek toegeschreven aan een werknemer dieop een verkeerde knop heeft geduwd toen hij een bestand wilde leegmaken waarin de gegevens stonden.

"Om dat te doen, moest hij de gegevens even op een onbeveiligde server plaatsen. Uiteindelijk zijn die gegevens per ongeluk op die onveilige server blijven staan", legt woordvoerster Nathalie Pierard uit.

"Zelf nauwkeurig bestuderen"
"De uitleg die de NMBS ons gegeven heeft, klinkt plausibel, maar wij zullen deze versie, en ook het rapport over het lek dat de NMBS door een consultancybedrijf heeft laten uitvoeren nauwkeurig bestuderen, om te checken of deze versie inderdaad klopt", zegt Willem Debeuckelaere, voorzitter van de Privacycommissie.

Het bestand met de gegevens stond sinds mei online en werd in december ontdekt. De fout is gemaakt bij het uitzuiveren (van dubbels onder andere) van de lijsten van de onlinedienst verkoop en van het call center van NMBS-Europe.

In het document stonden de gegevens van 700.000 klanten van NMBS Europe, die tijdelijk van een beveiligde omgeving naar een onbeveiligde omgeving zijn overgebracht. Verschillende mensen stonden meerdere keren in het bestand, waardoor in totaal 1,4 miljoen gegevens. In de onbeveiligde omgeving waren ze via Google toegankelijk.


Het gaat om namen, adressen en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht, en niet om informatie over de betaalwijze of de betaalmiddelen.

"De NMBS is dus niet het slachtoffer van een cyberaanval, en het gaat ook niet om een systeemfout", zegt Willem Debeuckelaere. De gegevens werden wel gekopieerd in een nieuw bestand en verspreid via het internet.

Privacy
Volgens de Privacycommissie is er sprake van een schending van de privacy. De commissie zal daarom haar bevindingen overmaken aan de federale procureur. "Het is aan het gerecht om uit te maken of strafrechtelijke vervolging nodig is, en of gebeurlijke schade moet vergoed worden", aldus nog De Beuckelaere.

NMBS-klacht
De NMBS heeft zelf ook het recht om een klacht in te dienen omdat de gegevens gekopieerd werden door een internetgebruiker en verspreid werden.

"We gaan de mensen contacteren die toegegeven hebben dat ze een kopie hebben ontvangen van het bestand en gaan vervolgens bekijken welke juridische opties we hebben indien die mensen de lijst niet willen verwijderen."

BELGA