Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?
De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.
Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde:
Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline.
Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.
De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit:
Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan.
“U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?
De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.
In principe kan dat: art. 5:20 Awb stelt dat
Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
“Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde:
Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider.
De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.
Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken:
„Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.”
Arnoud