Volgens de Privacycommissie heeft de NMBS de privacy van zijn klanten geschonden bij het incident waarbij klantengegevens op internet zijn verschenen. De commissie gaat nu onderzoeken of het lek een gevolg is van een menselijke fout.

De Privacycommissie had vandaag een onderhoud met de NMBS over het datalek waardoor persoonsgegevens van 1,5 miljoen klanten vrij op het internet te vinden waren. De commissie vroeg de spoormaatschappij om uitleg. 

De Privacycommissie vreest immers dat de gelekte persoonsgegevens nu door privébedrijven gebruikt kan worden voor zogenaamde 'direct marketing', zonder dat de gedupeerde klanten daarvoor hun toestemming hebben gegeven.

'Weldegelijk schending van de privacy'

'Er zijn twee lijsten van klanten van NMBS Europe samengebracht', zegt de voorzitter van de Privacycommissie Willem Debeuckelaere uit op Radio 1. 'Die zijn niet via het interne systeem opgeslagen maar wel via het systeem van de website.'

Volgens de Privacycommissie is er weldegelijk sprake van een schending van de privacy. De commissie zal daarom haar bevindingen overmaken aan de federale procureur. 'Het is aan het gerecht om uit te maken of strafrechtelijke vervolging nodig is, en of gebeurlijke schade moet vergoed worden', aldus nog De Beuckelaere.

'De uitleg die de NMBS ons gegeven heeft, klinkt plausibel, maar wij zullen deze versie, en ook het rapport over het lek dat de NMBS door een consultancybedrijf heeft laten uitvoeren nauwkeurig bestuderen, om te checken of deze versie inderdaad klopt', zegt Debeuckelaere. 

'Geen cyberaanval, geen systeemfout'

De fout zou gemaakt zijn bij het uitzuiveren, bijvoorbeeld van dubbels, van de lijsten van de online verkoopsdienst en van het callcenter van NMBS-Europe. Dit gebeurde in het najaar van vorig jaar. Bij dit proces werden gegevens van 1,5 miljoen klanten tijdelijk overgebracht van een beveiligde naar een onbeveiligde omgeving. 

In deze onbeveiligde omgeving waren de data vrij toegankelijk via Google. 'De NMBS is dus niet het slachtoffer van een cyberaanval, en het gaat ook niet om een systeemfout', aldus de commissievoorzitter.

Geen info over betaalmiddelen

Bij het datalek van de NMBS gaat het om namen, adressen en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht. Het gaat niet om informatie over de betaalwijze of de betaalmiddelen.

Al meer dan 1.700 gedupeerde klanten hebben een klacht ingediend bij de Privacycommissie en via een rechtszaak kunnen ze ook een schadevergoeding eisen.