NMBS heeft een groter probleem dan het denkt

De gegevens van 1,5 miljoen NMBS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken.

Dat dit zomaar kon gebeuren is al bedroevend. Maar de manier waarop de NMBS met deze situatie omgaat is nóg bedroevender.

De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen.

Ingenieur Frederic Jacobs kwam ook in bezit van de lijst en begon als reactie met de website SNCB Leak Check waarmee klanten van de NMBS kunnen controleren of ze getroffen zijn door het datalek. Een initiatief dat ik toejuich. Het kwaad is toch al geschied. Als de NMBS zelf geen moeite doet om de slachtoffers op de hoogte te brengen, dan moeten de klanten elkaar maar helpen. Na het invullen van je naam kun je 1) zien of je al dan niet getroffen bent en 2) welke gegevens er dan precies gelekt zijn (adres, telefoonnummer,…). Echt privacygevoelige info wordt niet getoond: je kunt nooit daadwerkelijk een adres of nummer zien. Ik sta alvast op de lijst.

De reactie van de NMBS op dat initiatief, onder meer op De Standaard Online, spreekt boekdelen.

“We nemen daar akte van, maar wijzen erop dat elke verspreiding van privégegevens illegaal is. We zijn nog volop bezig met het onderzoeken van onze juridische opties.”

Dat NMBS op een goedbedoeld burgerinitiatief onmiddellijk aanvallend en met zoveel bravoure reageert, tart werkelijk elke verbeelding. Een bedrijf dat dagelijks duizenden verkopen verricht, door zijn eigen onkunde ruim een anderhalf miljoen klantengegevens te grabbel gooit en dan nog met zo’n grote mond vol arrogantie durft dreigen met juridische stappen? Dat kan alleen een overheidsbedrijf zijn. Hilarisch ook dat het nog even bevestigt dat wat het zelf eerder gedaan heeft, volledig illegaal is.

Ook de internetgebruiker die de oorspronkelijke lijst op het internet plaatste werd meteen persoonlijk geviseerd door het juridisch team van de NMBS. Ook al was het niet zijn slimste zet (het was eigenlijk ronduit dom), de ontdekker van die lijst wou wel degelijk met goede bedoelingen het gebrek aan beveiliging aanklagen.

Zucht. Het verbaast mij dat NMBS nog geen juridische stappen tegen Google heeft genomen.

Het wordt hoog tijd dat de klanten van de NMBS zelf hun juridische opties onderzoeken. De NMBS is de enige schuldige in deze zaak en blijft zich om één of andere bizarre reden in een slachtofferrol wentelen. Vreemd dat er nog geen golf van verontwaardiging is uitgebroken onder het klantenbestand. Maar dat is ook niet zo verwonderlijk: de regering is met vakantie, de PR-machine van de NMBS was meester in het minimaliseren van de feiten en de pers bleef ook nog eens opvallend mild voor de NMBS (komáán, gasten…).

Dat die lijsten nu verkocht zullen worden aan spammers voor grof geld is de evidentie zelve. Als er al geld voor gevraagd wordt. De lijst zweeft hoe dan ook ergens rond op internet en is door iedereen vrij te downloaden. Aangezien een klant zijn treinbiljetten laat doorsturen naar een bestaand adres dat actief gebruikt wordt, kan de spammer ervan uitgaan dat het anderhalf miljoen adressen zijn geld waard zijn. No way dat NMBS die lijsten ooit nog volledig van het internet kan “halen”, hoe hard het zijn “juridische opties ook onderzoekt”.

NMBS, get your shit together. Jullie hebben dringend een les in nederigheid nodig. Verontschuldig je persoonlijk bij elke getroffen klant (zijn e-mailadres heb je toch al, LOL). Zeg hem dat jij gefaald hebt en dat hun persoonsgegevens door jouw schuld geruime tijd vrij toegankelijk waren en dat nog steeds zijn door een lijst die nu op internet verspreid wordt. Vertel ons hoe dit is kunnen gebeuren en wat je onderneemt om dergelijke feiten in de toekomst te voorkomen. Bied een compensatie aan. Het is werkelijk een schande dat de getroffen klanten nog niet eens persoonlijk op de hoogte zijn gebracht. Je zou denken dat ze daar recht op hebben.

Van een overheidsbedrijf zou je in 2013 volledige transparantie en eerlijkheid moeten kunnen verwachten. De NMBS liegt schaamteloos en doet aan systematische ontkenning en minimalisering van het grootste Belgische privacylek in jaren. Dat hoort zo hard niet. Het zou een fout signaal zijn als we hier te licht over gaan.

Wat kun jij doen?
Leg een klacht neer bij de Privacycommissie via het contactformulier. (Wie maakt een standaardklachtenbrief?) De commissie kan niet anders dan hier een zaak van maken en bikkelhard zijn in zijn oordeel. Ik hoop stiekem ook dat het tot een rechtszaak komt, al was het maar als precedent voor andere grote bedrijven.

Update: Frederic Jacobs heeft zijn Leak Checker offline gehaald omdat de Privacycommissie zijn initiatief niet ondersteunt. Dat maakt de nood dat NMBS zélf de getroffen klanten persoonlijk inlicht natuurlijk alleen maar groter.