Uit de AVG volgt niet (concreet) hoeveel informatie dan moet worden verstrekt en op welk moment. Een recent vonnis in de zaak tussen Blauw en IT-leverancier Nebu laat zien dat verwerkers in bepaalde situaties verplicht kunnen zijn tot het geven van veel meer informatie dan uit de AVG lijkt te volgen.
Blauw is een marktonderzoeker die enquêtes uitzet bij klanten van diverse bedrijven zoals NS en VodafoneZiggo. Kort gezegd kwam het erop neer dat er een cyberaanval had plaatsgevonden bij IT-leverancier Nebu, waarbij persoonsgegevens werden buitgemaakt van miljoenen mensen. Nebu heeft redelijk snel haar klanten hiervan op de hoogte gebracht (waaronder Blauw).
Maar het bedrijf bleef in het vervolg vaag over de exacte toedracht, de gevolgen en genomen maatregelen. Ondanks meerdere verzoeken van Blauw verstrekte Nebu weinig tot geen informatie. Pas twee weken later bevestigde Nebu dat ook daadwerkelijk data (waaronder persoonsgegevens) waren gestolen. Het is gissen waarom Nebu zich – zwak uitgedrukt – niet echt coöperatief opstelde, maar PR & liability issues kunnen een rol hebben gespeeld (mogelijk onder invloed van het Canadese moederbedrijf Enghouse).
Deze zaak laat zien dat IT-dienstverleners er verstandig aan doen om als ‘verwerkers’ goede (contractuele) afspraken te maken
Kaarten op tafel
Veel wijzer is Blauw kennelijk niet geworden, nu zij uiteindelijk in kort geding vorderde dat Nebu zou worden bevolen om haar alle informatie te verstrekken. En met succes. De rechter wees de eisen van Blauw bijna integraal toe, zodat Nebu alsnog alle kaarten op tafel moet leggen.
Waarom wordt Nebu verplicht om alle informatie over de hack te verstrekken? De Voorzieningenrechter stelt vast dat tussen partijen een verwerkersovereenkomst is gesloten op grond waarvan Nebu verplicht is om bij een incident volledig mee te werken en instructies van Blauw op te volgen. Uit dat contract volgt ook dat die medewerking nodig is om Blauw in staat te stellen zelf nader onderzoek te doen naar het incident, haar reactie daarop te bepalen en waar nodig passende vervolgstappen te kunnen nemen.
Ruime opvatting van het recht
Dit instructierecht moet volgens de Voorzieningenrechter ruim worden opgevat. Het gaat namelijk om de gegevens van een substantieel deel van de Nederlandse bevolking waarover Nebu de beschikking heeft. De gevolgen van een mogelijk datalek kunnen erg groot zijn. Bovendien heeft Nebu geen onafhankelijk onderzoek laten verrichten (laat staan gestart!), wat een extra reden was voor de Voorzieningenrechter om Nebu te verplichten nagenoeg alle door Blauw verlangde informatie te verstrekken.
Deze zaak laat zien dat IT-dienstverleners (waaronder msp’s) er verstandig aan doen om als ‘verwerkers’ goede (contractuele) afspraken te maken met hun klanten over de omvang van de bijstand die moet worden verleend bij datalekken. In welke gevallen moet er informatie worden verstrekt, in welke mate (hoeveelheid en type data) en binnen welke termijn(en)? Over deze onderwerpen moet duidelijkheid bestaan.