De kwestie
De uitspraak ziet op een geschil marktonderzoeker Blauw en ICT-dienstverlener Nebu. Blauw maakt gebruik van de diensten van Nebu. Bij Nebu vond een cyberaanval plaats, waarbij data is ontvreemd. Nebu heeft hierover haar klanten (beperkt) geïnformeerd; Blauw verlangt echter meer informatie. Daarop heeft Blauw een kort geding procedure gestart.
Nakoming verwerkersovereenkomst
Blauw en Nebu hebben een verwerkersovereenkomst (data processing agreement, DPA) gesloten. Een dergelijke overeenkomst is op grond van artikel 28 AVG verplicht bij (vrij vertaald) het uitbesteden van de verwerking van persoonsgegevens.
Op grond van de DPA is Nebu verplicht om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens. Partijen twisten over de vraag hoe ruim dit instructierecht moet worden uitgelegd.
De rechtbank overweegt dat een ruime uitleg voor de hand ligt, ook gelet op de doelstelling van een verwerkersovereenkomst. Alle instructies moeten worden opgevolgd, tenzij die redelijkerwijs geen verband houden met die doelstellingen of apert onredelijk zijn.
Te verstrekken informatie
De rechtbank wijst de vordering tot verstrekking van informatie dan ook grotendeels toe. Dit betreft achtereenvolgens:
- informatie over wat er is gebeurd bij de cyberaanval;
- informatie over de ondernomen herstelacties;
- informatie om de reikwijdte van het incident te kunnen controleren;
- informatie over de daders van de cyberaanval;
- informatie om te kunnen controleren dat data nu veilig zijn;
- de interne rapportage en informatie die daaraan ten grondslag ligt.
Niet snel genoeg onafhankelijk onderzoek gestart
Opmerkelijk is dat de rechtbank expliciet overweegt dat er geen onafhankelijk forensisch onderzoek heeft plaatsgevonden. Dat gegeven maakt het volgens de rechtbank eerder redelijk dat Blauw de informatie wil hebben dan wanneer dit onderzoek wel direct zou zijn gestart. De rechtbank tekent hierbij aan dat de rechtbank verwacht dat op prudente wijze met de verkregen informatie zal worden omgesprongen.
Plicht tot blijven updaten afgezwakt
Blauw had ook gevorderd dat Nebu (i) nieuwe informatie over het cyberincident steeds binnen vier uur zou moesten verstrekken en (ii) twee keer per dag een update moet sturen. De rechtbank overweegt dat dit al met overmatig voorkomt. Het gaat immers om een incident van enkele weken terug en de dienstverlening van Nebu ligt al stil. Alleen als er echt iets nieuws te melden is, zal Nebu dat moeten doen.
Verplicht extern onderzoek
Blauw had ook gevraagd dat Nebu zou worden veroordeeld een extern onderzoek te laten plaatsvinden. Nebu had zich hiertegen verzet.
De voorzieningenrechter overweegt dat een relevant gegeven is dat het Nebu na weken nog niet gelukt is om zelf een helder beeld te krijgen van welke data nu precies is geëxfiltreerd. Gelet daarop is het redelijk en ook een redelijke contractuitleg om ook het aanwijzen van een externe deskundige onder het instructierecht te scharen.
Blauw heeft vervolgens ook recht op een (afgeschermd) rapport van die deskundige.
Verplicht bewaren informatie
Nebu wordt ook bevolen om bepaalde informatie te bewaren. Overigens had ze ter zitting al beloofd dit te gaan doen. Vanwege die belofte wordt geen dwangsom opgelegd.
Plicht tot beantwoorden toekomstige vragen
Verder had Blauw gevraagd om Nebu te veroordelen om ook bij toekomstige kwesties medewerking te verlenen en vragen te beantwoorden. Nebu stelt dat die vordering wel heel ruim is. Daar krijgt ze deels gelijk in van de rechtbank. Uiteindelijk wordt de vordering wat afgezwakt en in tijd beperkt toegewezen.
Slotopmerkingen
Over deze kwestie is het laatste woord nog niet gezegd.
Blauw krijgt nu allerlei informatie van Nebu. Die informatie wordt ongetwijfeld later tegen diezelfde verwerker gebruikt. Betoogd zal ongetwijfeld worden dat Nebu tekort is geschoten in de op hem rustende plicht tot beveiliging. Dat de verwerker zijn eigen informatie tegengeworpen krijgt voelt wellicht zuurt, maar lijkt me eigen aan de rol van verwerker.
Dat de rechtbank opmerkt dat er prudent met de informatie moet worden omgesprongen heb ik ook gezien; in de kern kennen we echter niet tot nauwelijks het leerstuk van onrechtmatig bewijs. Vergelijk in dat kader ook het recht op rekening en verantwoording dat een opdrachtnemer kan inroepen (artikel 7:403 BW). Dat artikel is - als je alle handboeken en zo er op naleest - juist geïntroduceerd o.m. om de opdrachtgever te compenseren voor zijn informatieachterstand die er bestaat bij het uit handen geven van werkzaamheden aan een opdrachtnemer.
Of de verwerker tekort is geschoten zal overigens afhangen van (i) wat er is afgesproken over beveiliging en (ii) wat er nu feitelijk is gebeurd. Dat een datalek optreedt wil niet per definitie zeggen dat er iets is misgegaan; passende beveiliging is geen perfecte beveiliging.
Verwerkers doen er blijkens deze uitspraak in ieder geval goed aan direct zelf onafhankelijk forensisch onderzoek te laten starten bij een cyberincident. Zo blijven ze zelf nog enigszins "in control". Het lijkt er op - zo expliciet staat het niet in de uitspraak - dat de gedachte is dat hangende een dergelijk onderzoek, de klant minder (of minder spoedeisend) belang heeft bij informatie over het datalek, althans dat het redelijk is om te verlangen dat iedereen even wacht tot de onafhankelijk onderzoek klaar is.
Omgekeerd zal de kwestie de vraag oproepen of de verwerkingsverantwoordelijke (de uitbestedende partij) wel de juiste afspraken heeft gemaakt en daar voldoende op heeft toegezien.
Laat de kwestie in zoverre vooral ook een bredere "wake up call" zijn voor alle partijen die verwerkingen van persoonsgegevens uitbesteden of waaraan verwerkingen worden uitbesteed. Onderschat de risico's daarvan niet en maak (dus) passende contractuele afspraken.
Gerelateerd
Privacy
