Q&A datalek bij leverancier

Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit bedoeling is van deze organisatie.

Waar is het datalek?
Bij Nebu B.V. Dit is de vragenlijstsoftwareleverancier van Blauw, het marktonderzoeksbureau dat voor ArboNed klanttevredenheidsonderzoeken uitvoert. Ze hebben geen koppelingen met ArboNed of systemen van ArboNed.

Welke data zijn gelekt?
Het gaat mogelijk om persoonsgegevens zoals naam, e-mailadres, telefoonnummer en antwoorden uit het klanttevredenheidsonderzoek. Wij weten helaas niet exact welke deel van deze informatie is gestolen en wat ermee is gebeurd. Zodra wij hier meer duidelijkheid over hebben, informeren we die klanten en collega's die dit betreft.

NB: De uitwisseling van persoonsgegevens met Blauw heeft ArboNed na de melding direct stopgezet. Het lijkt erop dat tot op heden de data nog niet zijn gepubliceerd op het darkweb (dit is een plek op het internet waar illegaal gehandeld wordt), maar dit kan op korte termijn wel gebeuren.

Zijn mijn gegevens ook gestolen?
Klanten en voormalig klanten (contactpersonen verzuim) die hierbij betrokken zijn, hebben op 30 en 31 maart 2023 per e-mail bericht van ons ontvangen vanuit ons e-mailadres security@info.arboned.nl. Heeft u geen e-mail van ons ontvangen, dan zijn uw gegevens hier niet bij betrokken.

Wat doet Blauw voor ArboNed?
Blauw is het marktonderzoekbureau dat klanttevredenheidsonderzoeken uitvoert in opdracht van ArboNed. Dit zijn de onderzoeken over de beleving van de kwaliteit van onze dienstverlening gericht op de werkgevers. De tevredenheidsonderzoeken die wij naar uw medewerkers sturen, lopen niet via Blauw.

Over welke gegevens van klanten beschikt Blauw?
Zij hebben toegang tot persoonsgegevens van onze klanten die nodig zijn om de beleving van de kwaliteit van onze dienstverlening te kunnen beoordelen, zoals namen van werkgever en professional van ArboNed, e-mailadres, telefoonnummer en antwoorden uit het onderzoek.

Heeft Blauw ook toegang tot medische gegevens?
Nee, Blauw heeft géén toegang tot het bedrijfsgeneeskundig dossier van uw medewerkers.

Zijn mijn data nog veilig bij ArboNed?
Jazeker! Er heeft geen datalek bij ArboNed plaatsgevonden, deze data zijn nog steeds veilig. Het betreft hier een extern datalek bij een leverancier voor het klanttevredenheidsonderzoek. Dit bedrijf heeft geen directe koppeling met ArboNed.

Wat moet ik nu doen?
Vanwege dit datalek vragen we collega’s en klanten alert te zijn op phishing-berichten.

Bij phishing proberen cybercriminelen met valse berichten geld, persoonlijke gegevens of wachtwoorden te stelen. Criminelen misleiden u met nep e-mails en QR-codes. De berichten lijken van betrouwbare bekenden en/of organisaties te komen. Hoe herkent u dit? Er wordt een vreemd e-mailadres gebruikt of een adres dat lijkt op een echte bedrijfsnaam. Check daarom altijd de domeinnaam in het betreffende e-mailadres. Bij een betrouwbaar bericht zijn de domeinnaam en het websiteadres vaak geleid. Bijvoorbeeld: www.arboned.nl en info@arboned.nl, bij een vals bericht kan een e-mailadres bijvoorbeeld info@arboned1.nl zijn. Twijfel meteen als de letters uit de domeinnaam cijfers zijn.

Hoe weet ik zeker dat de berichten afkomstig van ArboNed geen phishing-berichten zijn?
De vragenlijsten die we inzetten voor de verzuimbegeleiding worden vanuit ArboNed zelf beveiligd verstuurd. Deze kunt u of uw medewerker dus veilig invullen. Klanten die twijfelen over berichten van ArboNed kunnen dit checken bij hun vaste contactpersoon.

NB: Voorlopig hebben wij de tevredenheidsonderzoeken vanuit ArboNed voor zowel werkgevers (het klanttevredenheidsonderzoek) als werknemers (het werknemerstevredenheidsonderzoek) stilgelegd. Het werknemersonderzoek wordt overigens niet uitgevoerd door Blauw.

Hoe informeert ArboNed haar klanten hierover?
Uit voorzorg informeren wij onze klanten hierover via een bericht op onze website. Op donderdag 30 maart hebben wij tevens een mail gestuurd vanuit het e-mailadres security@info.arboned.nl, naar de betrokken (voormalig) klanten van ArboNed. Ook alle (voormalig) contactpersonen verzuim hebben op 31 maart bericht van ArboNed ontvangen. Wij onderzoeken op dit moment om welke gegevens het exact gaat. Als wij hier meer duidelijkheid over hebben, informeren we de betrokken klanten en collega’s waar mogelijk ook persoonlijk en meer specifiek via e-mail.

Welke stappen onderneemt ArboNed richting Blauw?
Er zijn gegevens van onze klanten betrokken bij het datalek bij de softwareleverancier van marktonderzoeksbureau Blauw. Dat vinden wij uiteraard erg vervelend. We hebben Blauw opdracht gegeven om uit te zoeken hoe dit heeft kunnen gebeuren. Blauw heeft direct maatregelen getroffen om het lek te dichten en om herhaling te voorkomen. Ook hebben we melding gedaan bij de Autoriteit Persoonsgegevens. NB: De uitwisseling van persoonsgegevens met Blauw heeft ArboNed na de melding direct stopgezet.

Wat gebeurt er nu met het klanttevredenheidsonderzoek en het werknemerstevredenheidsonderzoek?
Voorlopig hebben wij het klanttevredenheidsonderzoek dat voor ArboNed uitgevoerd wordt door Blauw stilgelegd, tot er meer bekend is en we duidelijkheid hebben over hoe we hiermee verder kunnen gaan. Het werknemerstevredenheidsonderzoek wordt niet uitgevoerd door Blauw. Om onduidelijkheid hierover te voorkomen, hebben wij ook het werknemerstevredenheidsonderzoek tot nader order stilgelegd.

Worden andere onderzoeken van ArboNed zoals vragenlijsten bij verzuim en het Preventief medisch onderzoek (PMO) nu dan nog wel uitgevoerd?
De vragenlijst bij verzuim en overige onderzoeken van ArboNed worden niet door Blauw uitgevoerd en gaan niet over de kwaliteit van de dienstverlening (waardoor verwarring kan ontstaan of dit in verband staat met het klanttevredenheidsonderzoek dat wel uitgevoerd wordt door Blauw). Er is daarom geen reden om deze onderzoeken nu stil te leggen

Moet ik zelf ook nog een melding hiervan maken bij de Autoriteit Persoonsgegevens (AP)?
De AVG schrijft voor dat een datalek binnen 72 uur moet worden gemeld door een verwerkingsverantwoordelijke. ArboNed is verwerkingsverantwoordelijke en heeft bij de AP binnen 72 uur een pro forma melding gemaakt van een datalek. Als er meer informatie bekend is, zal ArboNed de melding aanvullen. Het is aan u zelf om te beoordelen of u verwerkingsverantwoordelijke bent en of u hiervan een melding dient te maken bij de AP.

Heeft ArboNed toestemming van mij nodig om onze gegevens aan derden door te spelen?
Als organisatie moet je een rechtmatige grondslag voor de verwerking van persoonsgegevens hebben. De grondslag voor verwerking van persoonsgegevens in het kader van een klanttevredenheidsonderzoek is artikel 6 aanhef en sub f AVG ("de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke"). Het gerechtvaardigd belang is onderzoek om de dienstverlening aan de klant te kunnen verbeteren. Daar er sprake is van een wettelijke grondslag ‘gerechtvaardigd belang’, is geen toestemming vereist. In ons privacyreglement staat omschreven welke gegevens wij delen met leveranciers. Deze kunt u vinden op onze website.

Waar kan ik terecht als ik nog vragen heb hierover?
Heeft u nog vragen die niet met deze Q&A beantwoord worden, mail dan naar security@arboned.nl.