Cyberincidenten blijven steeds minder netjes binnen de grenzen van één organisatie. Het datalek bij Nebu is daar een duidelijk voorbeeld van. Wat begon als een beveiligingsincident bij een relatief onbekende softwareleverancier, kreeg al snel een veel bredere impact. Niet omdat het technisch zo uitzonderlijk was, maar omdat de gevolgen zichtbaar werden bij organisaties die dagelijks miljoenen mensen bedienen.
De aandacht voor het incident nam toe toen organisaties als Nederlandse Spoorwegen en VodafoneZiggo, samen met zorg- en pensioenorganisaties, hun klanten en deelnemers moesten informeren over mogelijk gelekte persoonsgegevens. Opvallend daarbij was dat deze organisaties zelf geen aanval hadden waargenomen. Hun systemen functioneerden zoals verwacht, terwijl de impact toch voelbaar was.
Juist dat maakt het Nebu-incident herkenbaar voor veel bestuurders en CISO’s. De kwetsbaarheid zat niet in de eigen IT-omgeving, maar in een schakel verderop in de keten.
Een centrale rol, grotendeels buiten beeld
Nebu ontwikkelt software voor marktonderzoek en klanttevredenheidsonderzoek. Deze software wordt gebruikt door marktonderzoeksbureaus die namens organisaties enquêtes uitvoeren onder klanten, reizigers, verzekerden of deelnemers. Daarbij worden persoonsgegevens verwerkt, zoals namen, e-mailadressen, telefoonnummers en aanvullende gegevens die nodig zijn om resultaten te analyseren.
Voor veel eindorganisaties is Nebu geen partij waarmee direct contact bestaat. De relatie loopt via het onderzoeksbureau dat de opdracht uitvoert. Tegelijkertijd betekent dit dat grote hoeveelheden gegevens samenkomen in één technische omgeving, zonder dat eindorganisaties daar dagelijks zicht op hebben.
Dat is geen uitzonderlijke situatie. In veel digitale ketens zijn er leveranciers die functioneel als ondersteunend worden gezien, maar operationeel een sleutelpositie innemen. Het Nebu-incident maakte die positie ineens zichtbaar.
Hoe het incident zich ontvouwde
In het voorjaar van 2023 werd duidelijk dat onbevoegden toegang hadden gehad tot systemen van Nebu. Via die toegang konden gegevens worden ingezien of buitgemaakt die door klanten in het platform waren opgeslagen. Omdat Nebu zelf niet rechtstreeks communiceert met eindgebruikers, verliep de informatievoorziening via meerdere lagen.
Marktonderzoeksbureaus informeerden hun opdrachtgevers, die op hun beurt hun klanten en deelnemers moesten informeren en meldingen deden bij de Autoriteit Persoonsgegevens. Hierdoor werd de omvang van het incident niet in één keer duidelijk, maar groeide het beeld gaandeweg.
Uiteindelijk bleek dat persoonsgegevens van naar schatting 2,5 miljoen mensen betrokken waren, verspreid over ongeveer 190 organisaties. Voor veel van deze organisaties werd het incident pas concreet op het moment dat zij zelf moesten communiceren en verantwoorden.
De gevolgen voor zichtbare organisaties
Voor organisaties zoals NS en VodafoneZiggo betekende dit dat zij het aanspreekpunt werden voor vragen en zorgen van klanten, terwijl de technische oorzaak buiten hun eigen systemen lag. Toch lag de verantwoordelijkheid voor communicatie, toelichting en interne beoordeling bij hen.
In de publieke beleving maakt dat onderscheid weinig verschil. Burgers en klanten richten zich tot de organisatie waarmee zij een directe relatie hebben. Waar het incident technisch is ontstaan, speelt in die context een ondergeschikte rol.
Dat spanningsveld tussen technische oorzaak en maatschappelijke verantwoordelijkheid kwam bij dit incident duidelijk naar voren.
Wat voor gegevens waren betrokken?
De gegevens die bij het Nebu-incident betrokken waren, bestonden grotendeels uit contactgegevens en onderzoeksdata. Er waren geen aanwijzingen dat wachtwoorden of financiële informatie waren gelekt. Tegelijkertijd kan dit type informatie relevant zijn voor gerichte phishing of misleiding, zeker wanneer het wordt gecombineerd met andere beschikbare datasets.
Naast het directe datarisico werd ook iets anders zichtbaar: het beperkte overzicht vooraf. Veel organisaties hadden geen volledig beeld van welke softwareleveranciers onderdeel waren van hun dataverwerking en hoe deze leveranciers zich tot elkaar verhielden binnen de keten.
Dat maakte het lastig om vooraf in te schatten waar kwetsbaarheden zaten en wat de mogelijke impact zou zijn als één schakel uitviel.
Juridische en organisatorische nasleep
Na het incident volgden onderzoeken door de Autoriteit Persoonsgegevens en ontstonden juridische procedures tussen partijen in de keten. Daarbij ging het onder meer over informatievoorziening, aansprakelijkheid en contractuele afspraken. Marktonderzoeksbureaus gaven aan dat zij niet altijd tijdig of volledig waren geïnformeerd over de aard en omvang van het datalek.
Deze fase van het incident speelde zich grotendeels buiten het zicht van eindgebruikers af, maar had wel invloed op samenwerking en vertrouwen tussen betrokken partijen. Het maakte duidelijk dat de afhandeling van een supply-chain-incident verder reikt dan technische herstelmaatregelen.
Een herkenbaar patroon in digitale ketens
Het Nebu-incident wordt vaak genoemd in gesprekken over supply-chain-cyberrisico’s, juist omdat het zo herkenbaar is. Organisaties maken steeds vaker gebruik van gespecialiseerde leveranciers die op de achtergrond opereren, maar wel een centrale rol spelen in dataverwerking en digitale processen.
Deze afhankelijkheden ontstaan vaak geleidelijk en worden niet altijd expliciet als kritisch gezien. Pas wanneer zich een incident voordoet, wordt zichtbaar hoe verweven de keten is en hoeveel organisaties tegelijk geraakt kunnen worden.
In die zin past het Nebu-incident in een breder patroon dat ook zichtbaar is bij cloudproviders, softwareleveranciers en andere dienstverleners die een vergelijkbare positie innemen binnen digitale ecosystemen.
Zichtbaarheid als vertrekpunt
Wat dit incident vooral laat zien, is hoe belangrijk inzicht is in de manier waarop data en processen door de keten bewegen. Niet alleen bij directe leveranciers, maar ook bij onderliggende software en platforms die een rol spelen in de uitvoering.
Door die verbanden te begrijpen, ontstaat meer context wanneer zich een incident voordoet. Het Nebu-incident maakt daarmee zichtbaar hoe digitale afhankelijkheden in de praktijk functioneren, juist op het moment dat ze onder druk komen te staan.
