Softwareleverancier Nebu moet marktonderzoeker Blauw informatie verstrekken over de inbraak op de eigen systemen en de diefstal van data die daarbij plaatsvond. Dat meldde Security.nl gisteren. Dit is het oordeel van de rechtbank Rotterdam in het spoedkortgeding over dat enorme datalek met miljoenen slachtoffers, waarbij het onderzoeksbureau Blauw onduidelijk was wat er nu precies gelekt was en hoe.
Nebu is in dit verband een SaaS-dienstverlener, die een platform aanbiedt waarop partijen als Blauw marktonderzoeken kunnen uitvoeren. Blauw doet dat dan weer in opdracht van partijen zoals de NS, VodafoneZiggo, zorgverzekeraar CZ of de Rijksdienst voor Ondernemend Nederland. De rechtbank laat in het midden of Blauw dan verwerker is of niet (want niet relevant nu), maar is het met Blauw eens dat Nebu in ieder geval een verwerker is. En dan moet er dus een verwerkersovereenkomst zijn, of zoals de rechtbank het juridisch correct noemt een verwerkingsovereenkomst. Daarin staat deze vrij standaard bepaling:
[Nebu] immediately notifies [Blauw] of any incident in relation to the processing of personal data. In the event of an incident, [Nebu] will fully cooperate with [Blauw] and follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, [Nebu] will notify [Blauw] at least within 24 hours after an incident occurring.
Deze clausule is een vrij standaard herformulering van de verplichtingen van de verwerker uit artikel 28 lid 3 AVG, meer specifiek subleden f en h die over de bijstands- en informatieplichten gaan. Echter, nadat het datalek openbaar werd, bleek er niet bijster veel informatie te worden gedeeld door Nebu:
Op 13 maart 2023 meldde Nebu aan Blauw en andere klanten van Nebu dat er sprake is van een storing in haar dienstverlening waardoor haar diensten offline gehaald zijn. Ook stuurde zij die dag meerdere updates. Daarin werd nog niet gemeld dat er sprake was van een cyberaanval of een (mogelijk) datalek.
Op 14 maart 2023, 23:13 uur, heeft Nebu Blauw en andere klanten van Nebu bericht dat op vrijdag 10 maart 2023 een cyberaanval heeft plaatsgevonden op de productieomgeving van Nebu in Nederland en dat de diensten daardoor niet beschikbaar waren. Nebu kondigde daarbij een forensisch onderzoek aan.
Nebu zond op 20 maart 2023 een update aan Blauw en andere klanten van Nebu over de herstart van haar RDP (remote desktop protocol) dienstverlening. De update bevat geen informatie over de cyberaanval. Op 21 maart 2023 schreef Nebu aan Blauw dat zij op dit moment geen andere informatie had om te verstrekken dan de informatie uit de update.
Dit is nogal mager inderdaad, zeker als je dat ziet in het licht van de enorme omvang van het datalek zoals die inmiddels openbaar is geworden. De rechter is er dan ook snel klaar mee:
Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen.
De exacte juridische kwalificatie van “loyale en royale wijze” van nakoming van een verbintenis is wellicht een novum, maar de strekking is duidelijk: je had je niet zo in stilzwijgen mogen hullen en volstaan met generieke uitspraken dat er iets mis is gegaan. Je telefoonnummer van je site halen is ook niet handig voor de beeldvorming, maar belangrijker was niet laten zien dat je meteen serieus op onderzoek uitging.
Bij het voorgaande heeft de voorzieningenrechter meegewogen dat er tot dus ver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of zelfs maar is gestart. Dit maakt het eerder redelijk dat Blauw informatie wil hebben dan in de situatie dat Nebu direct een onafhankelijk onderzoek had gelast. Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg. De voorzieningenrechter gaat er overigens vanuit dat Blauw op prudente manier zal omgaan met de informatie die zij als gevolg van dit vonnis zal verkrijgen.
Dat van die onderzoeker is opmerkelijk. Inderdaad zijn we al een paar weken sinds de ontdekking van het datalek, en kennelijk is er bij Nebu niets gebeurd qua diepgravend onderzoek. In die situatie ziet de rechter het als een redelijke instructie van Blauw aan Nebu dat die laatste een onderzoek laat uitvoeren:
Nebu heeft ter zitting verklaard dat zij nog niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd. Dit betekent dat het Nebu in een termijn van enkele weken niet is gelukt om dit zelf te achterhalen. Onder deze omstandigheid, gelet ook op het grote aantal persoonsgegevens waar het in deze kwestie om gaat en in het licht van de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, schaart de voorzieningenrechter de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de DPA.
Nebu krijgt vijf werkdagen (het is Paasweekend, jaja) om een extern forensisch bedrijf te contracteren en binnen vier weken een rapport te laten leveren. De overige gevraagde informatie die Blauw wil hebben moet ook worden verstrekt, mits dat beperkt blijft tot informatie die voor Blauw zelf relevant is en geen juridisch advies aan Nebu betreft.
De gevolgen van dit specifieke lek zullen nog wel even doorlopen. Maar de uitspraak laat mooi zien dat de brede bewoordingen van de AVG en de verwerkersovereenkomst dus inderdaad zo breed toegepast kunnen worden. Vaak wordt daar niet bij stilgestaan omdat men ‘gewoon’ de wet over denkt te schrijven.
Arnoud