ICT-dienstverlener moet uitgebreid informatie verschaffen over datalek
Op 6 april jl. heeft de rechtbank Rotterdam, in kort geding, een ICT-dienstverlener veroordeeld tot het verschaffen van aanvullende informatie over een datalek. Tussen partijen is in geschil tot hoever het instructierecht van een verwerkingsverantwoordelijke werkt. De rechtbank past een ruime uitleg toe.
Geschatte leestijd: 4 minuten
Nadere informatie van verwerker na ontvreemding van data
De uitspraak van de rechtbank Rotterdam ziet op een geschil tussen marktonderzoeker Blauw en haar ICT-dienstverlener Nebu. Bij de ICT-dienstverlener Nebu vond een cyberaanval plaats. Hierbij is er data ontvreemd, onder meer van Blauw. Nebu heeft hierover Blauw en een aantal van haar andere klanten hierover geïnformeerd. Blauw vordert in kort geding nadere informatie van Nebu over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Ook vraagt Blauw om een onafhankelijk forensisch onderzoek.
Hoever werkt het instructierecht bij een verwerkersovereenkomst
Nebu is een ICT-bedrijf. Zij ontwikkelt onder meer software voor marktonderzoeksbureaus. Blauw maakt gebruik van de diensten en software van Nebu. Nebu verwerkt daarbij persoonsgegevens. Nebu en Blauw hebben daartoe een verwerkingsovereenkomst met elkaar afgesloten in de zin van art 28 lid 3 AVG. Nebu informeert Blauw over het incident. Blauw verlangt echter nadere informatie. Tussen partijen is in geschil tot hoever het instructierecht van Blauw werkt.
“Naar het voorlopig oordeel van de voorzieningenrechter moet het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim worden uitgelegd. Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen. Nebu beschikt als gevolg van de samenwerking met Blauw over persoonsgegevens van een groot aantal mensen (‘een substantieel deel van de Nederlandse bevolking’, zoals Blauw onbetwist stelt). De gevolgen van een (mogelijk) datalek van die gegevens kunnen groot zijn. Daarmee verhoudt zich niet dat het instructierecht beperkt wordt uitgelegd.”
Overweging 5.3
Rechtbank wijst de vorderingen grotendeels toe
De rechtbank wijst de vordering tot verstrekking van informatie voor een groot gedeelte toe. Nebu dient (kort samengevat) binnen twee werkdagen de volgende informatie aan te leveren:
(1) Beschikbare informatie over de cyberaanval, (2) de beschikbare informatie over de herstelacties, (3) de beschikbare informatie om de omvang van het incident te kunnen vaststellen, (4) de beschikbare informatie over de daders, (5) de beschikbare informatie over de getroffen maatregelen, (6) de bevindingen uit een intern onderzoek.
Daarnaast wordt Blauw op nog een aantal andere punten in het gelijk gesteld. De rechtbank veroordeelt Nebu onder andere tot het uitvoeren van een onafhankelijk forensisch onderzoek. Binnen vijf werkdagen na betekening van het vonnis dient Nebu een externe partij opdracht te geven om een onafhankelijk forensisch onderzoek uit te voeren naar de oorzaak (root cause) van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval.
Hierbij merkt de voorzieningenrechter overigens op dat Blauw prudent met de verstrekte informatie dient om te gaan. Er kan namelijk sprake zijn van bedrijfsgevoelige informatie.
Meewerken aan je eigen veroordeling?
Het is niet ondenkbeeldig dat de informatie die Nebu als verwerker aan Blauw moet aanleveren, in een later stadium tegen Nebu zelf wordt gebruikt. Dit lijkt misschien wat krom maar het is wel wat er van een verwerker mag worden verwacht. Dat er zich een cyberincident voordoet wil overigens nog niet zeggen dat een verwerker toerekenbaar tekort is geschoten. Dat hangt onder meer af van de feitelijke omstandigheden en wat er tussen partijen is afgesproken.
We gaan hier de komende tijd vast meer over horen.
Meer weten?
Heb je vragen over het privacyrecht, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.