|
|
De gevolgen van een datalek bij de Nationale Maatschappij der Belgische Spoorwegen
Nationale Maatschappij der Belgische Spoorwegen
gegevensbescherming
eerbiediging van het privé-leven
persoonlijke gegevens
| 6/3/2013 | Verzending vraag |
| 14/3/2013 | Antwoord |
Herkwalificatie van : vraag om uitleg 5-2885
De Privacycommissie ontving recentelijk een lawine van meer dan 1 700 klachten over een datalek bij de NMBS. De NMBS bevestigde dit. Door een probleem in de NMBS-databank kwamen de persoonsgegevens van bijna anderhalf miljoen klanten onbeschermd op het internet.
Problemen met informatica zijn niet nieuw en blijkbaar van alle tijden, hoewel er ondertussen toch al ruim twee decennia ervaring werd opgebouwd. Daarnaast wordt de levering en het onderhoud van de informatica van de NMBS, zowel hard- als software, uitbesteed aan behoedzaam geselecteerde, erg dure en dus ongetwijfeld hoogst bekwame leveranciers en experts.
Dat maakt een euvel zoals dit datalek van het NMBS-klantensysteem niet alleen erg ernstig maar ook beangstigend en noopt tot vragen over de kwaliteit van de NMBS-informaticasystemen.
Hoe ontstond het datalek, wat ging er heel concreet fout bij de NMBS-informatica? Is er sprake van een menselijke fout, een systeemfout, een onvoorziene omstandigheid? Vindt de minister het aanvaardbaar dat een hoogst geprofessionaliseerde organisatie zoals de NMBS met een dergelijk ernstig euvel wordt geconfronteerd? Bij wie zal de minister de aansprakelijkheid daarvoor leggen? Gaat het om een fout van een externe leverancier of een fout bij het NMBS-personeel? Waar ging de kwaliteitscontrole de mist in?
Veroorzaakte of veroorzaakt het datalek extra kosten of ongemakken aan de NMBS? Zo ja, welke, hoe omvangrijk en wie draait ervoor op? Zo niet, waarom niet?
Veroorzaakte of veroorzaakt het datalek extra kosten of ongemakken aan de NMBS-klanten? Zo ja, welke, hoe omvangrijk en wie draait ervoor op? Zo niet, waarom niet?
Hoe zal dit soort problemen en euvels in de toekomst worden vermeden? Welke concrete maatregelen zijn er ondertussen daartoe genomen?
In antwoord op de vragen van het geachte lid, heb ik de eer de volgende elementen te geven:
Ik betreur vanzelfsprekend dat deze persoonlijke gegevens gelekt werden. Dat dergelijke feiten zich voordoen is natuurlijk erg spijtig en dit mag zich niet herhalen.
Een technische audit die werd uitgevoerd door een externe firma heeft uitgewezen dat een onopzettelijke menselijke fout aan de basis lag van het feit dat een bestand met persoonlijke gegevens van Nationale Maatschappij der Belgische Spoorwegen (NMBS)-klanten ongelukkigerwijze online werd geplaatst. Tijdens het opkuisen van gegevens heeft een medewerker van NMBS Europa uit zijn eigen beweging beslist een bestand met persoonlijke gegevens van de klanten ter beschikking te stellen via een FTP-server (file transfer protocol) die de inhoud op de webdienst plaatste waar hij voor het publiek toegankelijk was.
Volgens het verslag van de NMBS gaat het dus om een geïsoleerde menselijke fout en niet om een technisch noch systeemmankement.
Het incident rond het lek van persoonlijke gegevens werd op 22 december 2012 gecommuniceerd door een klant die contact opnam met het call center van NMBS Europa. Zodra die kennis nam van het incident heeft NMBS Europa onmiddellijk de maatregelen genomen om de bestaande veiligheidsprocedures te versterken.
Het is in dit stadium onmogelijk om de eventuele schade voor de NMBS of haar klanten in te schatten. De NMBS heeft iedereen die in het bezit zou kunnen zijn van dit bestand er onder andere via persberichten en via de sociale media op gewezen dat er geen gebruik van mag worden gemaakt en dat het definitief moet worden gewist. Het gebruik van persoonlijke gegevens door deze personen is immers wettelijk strafbaar. Op datum van 15 januari 2013 beschikte de NMBS over geen enkele aanwijzing dat het bestand ondoordacht zou zijn gebruikt.
Op basis van de vaststelling van de externe audit werden nieuwe maatregelen getroffen of ingepland op het vlak van de procedures en de systemen. Zo werd een verantwoordelijke veiligheidsbeheer van de privégegevens binnen de NMBS aangewezen. Zij zal samen met de informaticadiensten ICTRA en Syntigo werken aan een goede uitvoering van de “security policy” dat ontwikkeld is om de veiligheid van de NMBS-informatie te garanderen en te controleren.