SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
6 mars 2013 6 maart 2013
________________
Question écrite n° 5-8409 Schriftelijke vraag nr. 5-8409

de Bert Anciaux (sp.a)

van Bert Anciaux (sp.a)

au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes

aan de minister van Overheidsbedrijven en Ontwikkelingssamenwerking, belast met Grote Steden
________________
Les conséquences d'une fuite de données à la Société nationale des chemins de fer belges De gevolgen van een datalek bij de Nationale Maatschappij der Belgische Spoorwegen 
________________
Société nationale des chemins de fer belges
protection des données
protection de la vie privée
données personnelles
Nationale Maatschappij der Belgische Spoorwegen
gegevensbescherming
eerbiediging van het privé-leven
persoonlijke gegevens
________ ________
6/3/2013 Verzending vraag
14/3/2013 Antwoord
6/3/2013 Verzending vraag
14/3/2013 Antwoord
________ ________
Requalification de : demande d'explications 5-2885 Requalification de : demande d'explications 5-2885
________ ________
Question n° 5-8409 du 6 mars 2013 : (Question posée en néerlandais) Vraag nr. 5-8409 d.d. 6 maart 2013 : (Vraag gesteld in het Nederlands)

La Commission vie privée a récemment reçu une avalanche de plaintes, plus de 1 700, à propos d'une fuite de données à la SNCB. Cette dernière a confirmé les faits. À la suite d'un problème dans ses banques de données, les données personnelles de près d'un million et demi de ses clients se sont retrouvées sans protection sur internet.

Les problèmes informatiques ne datent pas d'hier et sont manifestement une constante, malgré l'expérience accumulée en la matière en un peu plus de deux décennies. En outre, la fourniture et l'entretien des systèmes informatiques de la SNCB, tant du point de vue des logiciels que du matériel, sont confiés en sous-traitance à des entreprises et des experts sélectionnés avec circonspection, très onéreux et par conséquent, n'en doutons pas, hautement compétents.

Une bévue comme cette fuite de données de clients de la SNCB n'en est que plus grave, mais aussi inquiétante, et suscite inévitablement des questions sur la qualité des systèmes informatiques de la SNCB.

Comment est survenue la fuite de données ? Qu'est-ce qui, très concrètement, n'a pas fonctionné dans les systèmes informatiques de la SNCB ? S'agit-il d'une erreur humaine, d'une erreur de système, d'une circonstance imprévue ? Le ministre trouve-t-il acceptable qu'une organisation hautement professionnelle comme la SNCB soit confrontée à une bévue d'une telle gravité ? À qui va-t-il en imputer la responsabilité ? S'agit-il d'une erreur d'un sous-traitant ou du personnel de la SNCB ? Où est survenue la défaillance du contrôle de qualité ?

La fuite de données occasionne-t-elle ou a-t-elle occasionné des coûts ou désagréments supplémentaires à la SNCB ? Dans l'affirmative, quels sont-ils, quelle est leur ampleur et qui les supporte ? Dans la négative, pourquoi n'est-ce pas le cas ?

La fuite de données occasionne-t-elle ou a-t-elle occasionné des coûts ou désagréments supplémentaires aux clients de la SNCB ? Dans l'affirmative, quels sont-ils, quelle est leur ampleur et qui les supporte ? Dans la négative, pourquoi n'est-ce pas le cas ?

Comment évitera-t-on à l'avenir ce genre de problème et de bévue ? Dans l'intervalle, quelles mesures concrètes ont-elles été prises dans ce sens ?

 

De Privacycommissie ontving recentelijk een lawine van meer dan 1 700 klachten over een datalek bij de NMBS. De NMBS bevestigde dit. Door een probleem in de NMBS-databank kwamen de persoonsgegevens van bijna anderhalf miljoen klanten onbeschermd op het internet.

Problemen met informatica zijn niet nieuw en blijkbaar van alle tijden, hoewel er ondertussen toch al ruim twee decennia ervaring werd opgebouwd. Daarnaast wordt de levering en het onderhoud van de informatica van de NMBS, zowel hard- als software, uitbesteed aan behoedzaam geselecteerde, erg dure en dus ongetwijfeld hoogst bekwame leveranciers en experts.

Dat maakt een euvel zoals dit datalek van het NMBS-klantensysteem niet alleen erg ernstig maar ook beangstigend en noopt tot vragen over de kwaliteit van de NMBS-informaticasystemen.

Hoe ontstond het datalek, wat ging er heel concreet fout bij de NMBS-informatica? Is er sprake van een menselijke fout, een systeemfout, een onvoorziene omstandigheid? Vindt de minister het aanvaardbaar dat een hoogst geprofessionaliseerde organisatie zoals de NMBS met een dergelijk ernstig euvel wordt geconfronteerd? Bij wie zal de minister de aansprakelijkheid daarvoor leggen? Gaat het om een fout van een externe leverancier of een fout bij het NMBS-personeel? Waar ging de kwaliteitscontrole de mist in?

Veroorzaakte of veroorzaakt het datalek extra kosten of ongemakken aan de NMBS? Zo ja, welke, hoe omvangrijk en wie draait ervoor op? Zo niet, waarom niet?

Veroorzaakte of veroorzaakt het datalek extra kosten of ongemakken aan de NMBS-klanten? Zo ja, welke, hoe omvangrijk en wie draait ervoor op? Zo niet, waarom niet?

Hoe zal dit soort problemen en euvels in de toekomst worden vermeden? Welke concrete maatregelen zijn er ondertussen daartoe genomen?

 
Réponse reçue le 14 mars 2013 : Antwoord ontvangen op 14 maart 2013 :

En réponse aux questions de l'honorable membre, j'ai l'honneur de lui communiquer les éléments suivants:

Je déplore bien entendu cette fuite de données personnelles. Il est évident que de tels faits sont extrêmement regrettables et qu’ils ne peuvent se reproduire.

Un audit technique réalisé par une entreprise externe a démontré qu’une erreur humaine commise par inadvertance est à la base du fait qu'un fichier de données personnelles des clients de la Société nationale des chemins de fer belges (SNCB) a malencontreusement été mis en ligne. Dans le cadre d’un nettoyage des données, un collaborateur de SNCB Europe a décidé de sa propre initiative de mettre un fichier de données personnelles des clients à disposition via un serveur FTP (file transfer protocol) qui a placé son contenu sur le service web, lequel est accessible au public.

Il s’agit donc, selon le rapport de la SNCB, d’une erreur humaine isolée et pas d’une défaillance technique ni systématique.

L’incident relatif à la fuite de données a été communiqué le 22 décembre 2012 par un client qui a pris contact avec le call center de SNCB Europe. Dès connaissance de l’incident, SNCB Europe a immédiatement pris des mesures pour renforcer les procédures de sécurité existantes.

Il est à ce stade impossible d’estimer les dommages éventuels pour la SNCB ou pour ses clients. La SNCB a attiré l’attention de toute personne qui pourrait être en possession de ce fichier, par l'intermédiaire de communiqués de presse et dans les médias sociaux, qu’aucune utilisation ne peut en être faite et que ce fichier doit être effacé définitivement. L'utilisation des données personnelles par ces personnes est en effet punissable par la loi. A la date du 15 janvier 2013, la SNCB ne disposait d’aucune indication selon laquelle le fichier a été utilisé à mauvais escient.

Sur la base des constatations de l'audit externe, de nouvelles mesures ont été prises ou planifiées quant aux procédures et aux systèmes. Un responsable de la gestion de la protection des données relatives à la vie privée au sein de la SNCB a ainsi été désigné. Elle travaillera, en collaboration avec les entités informatiques ICTRA et Syntigo pour assurer la bonne exécution de la « security policy » développée pour garantir et contrôler la sécurité des informations de la SNCB.

In antwoord op de vragen van het geachte lid, heb ik de eer de volgende elementen te geven:

Ik betreur vanzelfsprekend dat deze persoonlijke gegevens gelekt werden. Dat dergelijke feiten zich voordoen is natuurlijk erg spijtig en dit mag zich niet herhalen.

Een technische audit die werd uitgevoerd door een externe firma heeft uitgewezen dat een onopzettelijke menselijke fout aan de basis lag van het feit dat een bestand met persoonlijke gegevens van Nationale Maatschappij der Belgische Spoorwegen (NMBS)-klanten ongelukkigerwijze online werd geplaatst. Tijdens het opkuisen van gegevens heeft een medewerker van NMBS Europa uit zijn eigen beweging beslist een bestand met persoonlijke gegevens van de klanten ter beschikking te stellen via een FTP-server (file transfer protocol) die de inhoud op de webdienst plaatste waar hij voor het publiek toegankelijk was.

Volgens het verslag van de NMBS gaat het dus om een geïsoleerde menselijke fout en niet om een technisch noch systeemmankement.

Het incident rond het lek van persoonlijke gegevens werd op 22 december 2012 gecommuniceerd door een klant die contact opnam met het call center van NMBS Europa. Zodra die kennis nam van het incident heeft NMBS Europa onmiddellijk de maatregelen genomen om de bestaande veiligheidsprocedures te versterken.

Het is in dit stadium onmogelijk om de eventuele schade voor de NMBS of haar klanten in te schatten. De NMBS heeft iedereen die in het bezit zou kunnen zijn van dit bestand er onder andere via persberichten en via de sociale media op gewezen dat er geen gebruik van mag worden gemaakt en dat het definitief moet worden gewist. Het gebruik van persoonlijke gegevens door deze personen is immers wettelijk strafbaar. Op datum van 15 januari 2013 beschikte de NMBS over geen enkele aanwijzing dat het bestand ondoordacht zou zijn gebruikt.

Op basis van de vaststelling van de externe audit werden nieuwe maatregelen getroffen of ingepland op het vlak van de procedures en de systemen. Zo werd een verantwoordelijke veiligheidsbeheer van de privégegevens binnen de NMBS aangewezen. Zij zal samen met de informaticadiensten ICTRA en Syntigo werken aan een goede uitvoering van de “security policy” dat ontwikkeld is om de veiligheid van de NMBS-informatie te garanderen en te controleren.