fApril doet wat hij wil, zo ook de verwerker bij een datalek?

Eind vorige maand kwam groot in het nieuws: door een datalek zijn honderdduizenden persoonsgegevens van klanten van VodafoneZiggo en NS op straat komen te liggen. Het lek is niet ontstaan bij deze partijen zelf, maar bij het marktonderzoeksbureau Blauw dat werd ingezet door deze partijen. Blauw voert klanttevredenheidsonderzoeken uit en maakt daarbij gebruik van de software van Nebu. Nebu werd begin maart getroffen door een cyberaanval, waarbij – zo bleek later – data is ontvreemd door de aanvallers, waaronder ook wachtwoorden. Nu Blauw rondom het datalek niet de medewerking en informatie kreeg vanuit Nebu waar het om vroeg, is Blauw een kort geding gestart tegen Nebu. Lees in dit artikel meer over de reikwijdte van het instructierecht van Blauw en de medewerkingsplicht van Nebu.

De verwerkersrol

Nebu ontwikkelt onder meer software voor marktonderzoeksbureaus om de (digitale) vragenlijsten uit te zetten. De persoonsgegevens die Nebu daarbij verzamelt en gebruikt, verwerkt zij namens en onder de instructies van de partij die haar software inzet. Daarmee is Nebu een verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). De partij die de instructies geeft, wordt de verwerkingsverantwoordelijke genoemd. Dat was in deze casus het marktonderzoeksbureau Blauw. De verwerkingsverantwoordelijke – de naam doet het al vermoeden – is verantwoordelijk voor onder meer de bescherming van de persoonsgegevens. De verwerker is alleen een partij die wordt ingeschakeld als “hulpje” om de persoonsgegevens bijvoorbeeld te verzamelen, op te slaan of te kunnen gebruiken door de verwerkingsverantwoordelijke. Om te zorgen dat ook de verwerker namens de verantwoordelijke juist met de persoonsgegevens omgaat, moeten deze twee partijen een verwerkersovereenkomst sluiten. In de verwerkersovereenkomst worden onder meer afspraken vastgelegd over de rolverdeling, de beveiliging van persoonsgegevens, de meldplicht bij een datalek en de medewerkingsverplichtingen van de verwerker. De verwerkingsverantwoordelijke is namelijk bij de uitvoering van de op haar rustende verplichtingen uit AVG soms afhankelijk van de hulp van de verwerker. Denk hierbij aan de uitoefening van bijvoorbeeld het inzagerecht van een individu of de meldplicht van een datalek bij de Autoriteit Persoonsgegevens binnen (in beginsel) 72 uur. Partijen doen er bij deze medewerkingsverplichtingen goed aan om duidelijk te omschrijven op welke manier de verwerker aan deze verplichtingen uitvoering moet geven. Dit gebeurt echter in de praktijk vaak met vrij algemene bewoordingen, waardoor de vraag in dit kort geding op kwam in hoeverre het instructierecht van de verwerkingsverantwoordelijke reikt en de medewerkingsverplichting van verwerker.

De verwerkersovereenkomst

Blauw en Nebu hadden een verwerkersovereenkomst gesloten met daarin de volgende bepaling: “[Nebu] immediately notifies [Blauw] of any incident in relation to the processing of personal data. In the event of an incident, [Nebu] will fully cooperate with [Blauw] and follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, [Nebu] will notify [Blauw] at least within 24 hours after an incident occurring.” Op 10 en 11 maart 2023 vond de cyberaanval plaats op de servers van Nebu. Dat dit kwalificeerde als een meldingswaardig incident stond tussen partijen vast. In de dagen na het incident heeft Blauw echter meermaals, maar tevergeefs verzocht om informatie over (de omvang en de gevolgen van) het datalek. Nebu heeft steeds alleen aangegeven dát een cyberaanval had plaatsgevonden, maar zonder verdere informatie hierover. Op 27 maart volgde er een update vanuit Nebu, waaruit bleek dat er data was gestolen door de aanvallers en waarbij Nebu kort de genomen maatregelen benoemde. Dit was niet genoeg voor Blauw en Blauw is vervolgens het kort geding gestart waarbij zij onder meer nadere informatie vordert van Nebu over de aanval, de gevolgen ervan en de getroffen maatregelen. Daarnaast vordert Blauw een onafhankelijk forensisch onderzoek.

De beoordeling

De voorzieningenrechter oordeelt dat het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim moet worden opgevat. Uit de tekst van de verwerkersovereenkomst volgt immers dat Blauw in staat moet worden gesteld om een incident op behoorlijke wijze te onderzoeken, haar reactie daarop te kunnen formuleren en gepaste stappen te kunnen nemen. Daaraan moet Nebu meewerken op loyale en royale wijze. Bovendien beschikt Nebu als verwerker van Blauw over persoonsgegevens van een substantieel deel van de Nederlandse bevolking, waardoor de gevolgen van een (mogelijk) datalek groot kunnen zijn en daarmee verhoudt zich niet dat het instructierecht beperkt moet worden uitgelegd. De voorzieningenrechter is dan ook van oordeel dat de instructies van Blauw door Nebu moeten worden opgevolgd, tenzij het redelijkerwijs niet nodig is voor de doestelling van de verwerkersovereenkomst of als Blauw onredelijke eisen stelt, zoals erg korte (reactie)termijnen. Concreet betekent dit dat de vorderingen van Blauw grotendeels worden toegewezen, deels in afgezwakte vorm. Nebu dient onder meer alle beschikbare en nieuwe informatie te verstrekken met betrekking tot de cyberaanval, over het herstellen van de systemen, over de aanvallers, over de door Nebu getroffen maatregelen naar aanleiding van het incident, en meer. De voorzieningenrechter heeft daarbij ook meegewogen dat tot dusver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of is gestart door Nebu. Dit maakt het eerder redelijk dat Blauw informatie wil hebben, dan in de situatie waarin Nebu zelf direct een onafhankelijk onderzoek was gestart. De voorzieningenrechter acht het in deze zaak ook redelijk dat de benoeming van een forensisch onderzoeker nu onder het instructierecht van Blauw valt, waarbij Blauw aanspraak maakt op het forensisch rapport. Als verwerker is het dan ook altijd verstandig om zelf direct een dergelijk onderzoek te starten.

Afsluiting

De titel “April doet wat hij wil, zo ook de verwerker bij een datalek?” gaat dus niet op. Het instructierecht van de verwerkingsverantwoordelijke reikt ver bij een datalek en de medewerking die de verwerker daarbij dient te verlenen ook. De verwerkingsverantwoordelijke is immers vaak afhankelijk van de informatie waarover de verwerker beschikt. Het is wel aan te raden deze plichten goed en duidelijk op voorhand te omschrijven in de verwerkersovereenkomst. Deze uitspraak neemt uiteraard niet weg dat een verwerker zelf ook tijd moet krijgen om te kunnen onderzoeken of een inbreuk in verband met persoonsgegevens (‘datalek’) heeft plaatsgevonden. De verwerker kan in dat kader echter zelf ook eerder bepaalde stappen ondernemen, zoals het instellen van een onafhankelijk forensisch onderzoek. Heeft u vragen over de formulering van bepalingen in uw (verwerkers)overeenkomst of de reikwijdte van het instructierecht en de medewerkingsverplichting? Neem dan gerust contact met ons op.