In het geval van een datalek is verwerker verplicht om mee te werken aan het verstrekken van informatie.
maandag 17 april 2023
Begin april heeft de voorzieningenrechter in Rotterdam[1] zich uitgelaten over een geschil tussen Blauw en ICT-dienstverlener Nebu over een datalek. Blauw maakt als marktonderzoeker gebruik van de diensten en software van Nebu. Nebu verwerkt daarbij persoonsgegevens als bedoeld in de AVG. Door een cyberaanval bij Nebu zijn persoonsgegevens ontvreemd. Nebu informeerde daarop haar klanten, waaronder Blauw. De verstrekte informatie was voor Blauw echter niet genoeg. Aanvullende vragen van Blauw werden niet door Nebu beantwoord. Blauw startte daarop een kortgedingprocedure.
Verwerkersovereenkomst
Blauw en Nebu hebben in deze casus voor de verwerking van de persoonsgegevens een verwerkersovereenkomst gesloten. Hierbij trad Blauw op als de verwerkingsverantwoordelijke en Nebu als de verwerker. Op grond van artikel 28 van de AVG zijn partijen verplicht om een verwerkersovereenkomst te sluiten wanneer een organisatie een andere partij inschakelt om persoonsgegevens te verwerken. De AVG verplicht partijen om een aantal onderwerpen in de overeenkomst vast te leggen. Eén van de verplichte onderwerpen is hoe partijen omgaan met datalekken.
In artikel 5.1 van de verwerkersovereenkomst waren partijen overeengekomen dat Nebu Blauw direct zou informeren over ‘elk incident’ met betrekking tot het verwerken van persoonsgegevens en dat Nebu alle instructies van Blauw zou opvolgen. Blauw zou daarmee in staat gesteld moeten worden om het incident te onderzoeken.
Oordeel voorzieningenrechter
In het kort geding ging het onder andere over de vraag hoe groot het de informatieverplichting voor Nebu was en hoe ruim het instructierecht van Blauw moest worden uitgelegd.
De voorzieningenrechter was van mening dat – mede gelet op de doelstelling van een verwerkersovereenkomst – een ruime uitleg van de informatieverplichting voor de hand ligt. Het instructierecht was bedoeld om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Op het instructierecht van Blauw bestaan volgens de voorzieningenrechter wel twee uitzonderingen:
- Nebu hoeft niet aan een instructie te voldoen als redelijkerwijs niet valt in te zien dat dit nodig is voor de doelstelling van de verwerkersovereenkomst; of wanneer
- Blauw onredelijke eisen of – bijvoorbeeld – onredelijke termijnen stelt.
Het oordeel van de rechtbank leidde ertoe dat de vorderingen van Blauw grotendeels worden toegewezen. Zo werd Nebu verplicht om:
- Blauw te informeren over de feiten en omstandigheden van de cyberaanval en de ondernomen herstelacties;
- informatie te verschaffen m de reikwijdte van het incident te kunnen controleren;
- Blauw te informeren over de daders van de cyberaanval;
- Blauw in de gelegenheid te stellen om te kunnen controleren dat haar data nu veilig is;
- aan Blauw de interne rapportage en informatie die daaraan ten grondslag ligt te verstrekken;
- bepaalde informatie te bewaren en toekomstige vragen van Blauw beantwoorden.
Blauw vorderde daarnaast dat Nebu verplicht zou worden om binnen vier uur alle nieuwe informatie met Blauw te delen. Dit ging de voorzieningenrechter te ver. Behoudens als het gaat om (i) een nieuwe cyberaanval, (ii) informatie waaruit blijkt of gegevens van Blauw al dan niet zijn ontvreemd bij de cyberaanval en (iii) informatie over de identiteit van de daders, achtte de voorzieningenrechter een dagelijkse update meer dan voldoende.
Naast de bovenstaande verplichtingen verplichtte de voorzieningenrechter Nebu ook om een extern onderzoek te laten plaatsvinden. De reden hiervoor was dat het Nebu binnen enkele weken nog niet was gelukt om te achterhalen of data van Blauw was ontvreemd. Deze omstandigheid, ook gelet op het grote aantal persoonsgegevens waar het in deze kwestie om ging en de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, was het inschakelen van een extern onderzoeker te rechtvaardigen.
Tot slot
Het is vrijwel met zekerheid te zeggen dat de kwestie tussen Blauw en Nebu nog lang niet is afgerond. Blauw zal alle informatie die zij verkrijgt beoordelen en mogelijk gebruiken om Nebu aansprakelijk te stellen. Blauw zal ongetwijfeld stellen dat Nebu tekort geschoten is in de verplichting om de persoonsgegevens passend te beveiligen. Of dit terecht is hangt onder meer af van de afspraken over de beveiliging en de feiten van de cyberaanval. Het feit dat er een datalek heeft plaatsgevonden brengt niet automatisch met zich mee dat de verwerker in kwestie tekort is geschoten.
Uit het vonnis kunnen verwerkers in ieder geval afleiden dat het verstandig is om direct zelf een onafhankelijk extern onderzoek te laten uitvoeren. Zo houden verwerkers zelf de regie in handen. Verder bevestigt het vonnis dat het van belang is om duidelijke en goede afspraken te maken in een verwerkersovereenkomst.
Bij vragen over het bovenstaande of hulp bij het opstellen van een verwerkersovereenkomst, dan kunt u contact opnemen met Marc Delissen of Robbert Delissen
[1] Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931