Het is nog onduidelijk hoeveel klanten, bedrijven en organisaties in Nederland zijn getroffen door het datalek bij Nebu. Binnen de Rijksoverheid zijn voor zover bekend zestien organisaties geraakt. Een aantal daarvan maken gebruik van meerdere bureaus voor marktonderzoek.
Dat antwoorden minister Weerwind (Rechtsbescherming) en staatssecretaris van Huffelen (BZK) op Kamervragen van het CDA over het datalek. De geraakte rijksorganisaties zijn de ministeries van EZK en OCW, TNO, de Rijksdienst voor Ondernemend Nederland, het College ter beoordeling van Geneesmiddelen, het Centraal Informatiepunt Beroepen Gezondheidszorg, het RIVM, het Sociaal en Cultureel Planbureau, de Koninklijke Bibliotheek, de Huurcommissie, de Dienst Publieke Communicatie en de Raad voor Rechtsbijstand.
Betrokkenen binnen de Rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer en (telefonische) enquêteresultaten/inhoud onderzoek. Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens.
De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, e-mailadres en de resultaten van een onderzoek.
Aansprakelijk
Het is nog niet duidelijk wie aansprakelijk is voor het datalek bij Nebu. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er feitelijk is gebeurd. De rollen van verwerkingsverantwoordelijke en verwerker zijn omschreven in de AVG, maar partijen kunnen in een (verwerkers)overeenkomst nadere of andere afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek. Partijen die betrokken zijn bij een datalek kunnen zich eventueel wenden tot de civiele rechter om de aansprakelijkheid en de omvang daarvan te laten vaststellen.