Datalek? Verwerker moet met de billen bloot
Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in 2018 is de verwerkersovereenkomst niet meer weg te denken uit het juridische straatbeeld. In zo’n overeenkomst legt u als verwerkingsverantwoordelijke vast onder welke voorwaarden een verwerker voor u aan het werk gaat om bepaalde (persoons)gegevens te verwerken.
Meestal staat in de verwerkersovereenkomst dat de verwerker een datalek binnen 24 uur moet melden bij zijn opdrachtgever. De opdrachtgever heeft daar een groot belang bij, want die heeft uiteindelijk de verplichting om (mogelijke) datalekken bij de Autoriteit Persoonsgegevens te melden, en natuurlijk ook om betrokkenen te informeren (“let op, uw gegevens liggen op straat”).
Praktijkvoorbeeld: datalek / hack Nebu
Een recent incident werd breed uitgemeten in de media, en leidde ook tot een vonnis van de voorzieningenrechter van de rechtbank Rotterdam van 6 april 2023. Het ging om een incident bij ICT-dienstverlener Nebu, bij wie een cyberaanval had plaatsgevonden. Hackers hebben daarbij data ontvreemd. Blauw – een marktonderzoekbureau – maakte gebruik van de dienstverlening van Nebu bij het verrichten van marktonderzoek voor partijen als de Nederlandse Spoorwegen (NS) en VodafoneZiggo. Onder anderen de NS heeft als gevolg van dit incident een groot aantal klanten moeten waarschuwen dat hun persoonsgegevens mogelijk waren buitgemaakt.
In de verwerkersovereenkomst tussen Nebu en Blauw was opgenomen dat:
Nebu onmiddellijk na een incident, maar in ieder geval binnen 24 uur, Blauw op de hoogte zou stellen dat een incident had plaatsgevonden;
Nebu volledige medewerking moet verlenen aan Blauw bij het onderzoeken van het incident;
Nebu instructies van Blauw moet opvolgen.
Blauw vond dat Nebu niet voldoende meewerkte, en startte een kort geding. De voorzieningenrechter oordeelde dat het instructierecht van Blauw ruim moet worden uitgelegd. Het gaat immers om gegevens van een grote groep mensen en de gevolgen van een datalek kunnen groot zijn. Een beperkt instructierecht past daar niet bij. Verder dient Nebu veel meer informatie te verstrekken aan Blauw dan zij tot dat moment gedaan had. Met die informatie kan Blauw beoordelen of haar data nu veilig zijn, welke gegevens er nu precies gelekt zijn en wat er bekend is van de daders. Dat klemt temeer omdat Nebu ten tijde van de zitting nog geen onafhankelijk onderzoek had laten opstarten naar het datalek. Volgens de rechter is het daarmee eerder redelijk dat Blauw deze informatie wil hebben dan wanneer Nebu direct een onafhankelijke derde aan het werk had gezet.
Is dit nu een hele bijzondere uitspraak?
Dat valt wel mee. Eigenlijk zegt de rechter niet meer dan “u moet doen wat u belooft”. Sluit u een overeenkomst waarin staat dat als bij u een datalek plaatsvindt u mee zult werken aan onderzoek naar dat lek maar doet u dat vervolgens niet, dan krijgt u een tik op de vingers van de rechter en moet u alsnog meewerken.
Gevolgen van dit lek
Wat is er nu precies gelekt? Bij de NS ging het om e-mailadressen, telefoonnummers en namen. Dat zijn natuurlijk geen supergeheime gegevens. Niemand zal zijn naam gaan wijzigen omdat die nu ineens “op straat” ligt. Er is ook geen afbreukrisico; de buren zullen u als gevolg van dit datalek niet met de nek gaan aankijken omdat nu bekend is geworden dat u wel eens met de trein reist.
Als uw neefje een app op zijn telefoon installeert die toegang vraagt (en krijgt) tot zijn adresboek, liggen uw gegevens ook bij de app-bouwer. Uw neefje kunt u niet aanspreken uit hoofde van de AVG, maar uw gegevens komen op die manier wél in China of in de VS terecht.
In dit geval zijn er geen paspoortgegevens, creditcardnummers of BSN’s gelekt, dus voor de betrokkenen is het ondernemen van directe actie niet noodzakelijk. De betrokkenen horen al jarenlang “pas op voor phishing e-mails en telefonische oplichterij” en dat zal niet veranderen door dit datalek.
Kortom, vooralsnog verwacht ik dat de schade wel mee zal vallen. Het is natuurlijk vervelend dat dit is gebeurd, maar meer dan dat lijkt er niet aan de hand te zijn.