Op 16 juli 2020 zijn TU Delft en Universiteit Utrecht geïnformeerd dat er tussen 7 februari en 20 mei een beveiligingsincident bij hun Amerikaanse CRM-leverancier heeft plaatsgevonden. Dit heeft geleid tot een datalek van persoonsgegevens van hun Alumni. Beide universiteiten hebben binnen 72 uur melding gedaan bij de Autoriteit Persoonsgegevens (AP) en daarna meteen de betrokkenen geïnformeerd.
Deze casus is vanuit diverse invalshoeken interessant. Mogen universiteiten bijvoorbeeld nog wel gebruik maken van Amerikaanse verwerkers, of is de beveiliging bij Blackbaud als databedrijf afdoende?
De universiteit is verwerkingsverantwoordelijke en heeft voor de verwerking van de persoonsgegevens een derde ingeschakeld: Blackbaud. Blackbaud is in deze de verwerker. Vanuit de Algemene verordening gegevensbescherming (AVG) wordt gesteld dat in zo’n situatie er een verwerkersovereenkomst wordt opgesteld, waarin de universiteiten expliciet vastleggen welke data mag worden verwerkt, welke bewaartermijnen moeten worden gehanteerd en welke beveiligingsmaatregelen moeten worden getroffen. In de verschillende artikelen over dit incident wordt nergens gesproken over een verwerkersovereenkomst. Nu is het uiteraard niet zo dat een verwerkersovereenkomst de hack had kunnen voorkomen, maar in geval van daadwerkelijke schade maakt zo’n overeenkomst wel helder wie er in gebreke is gebleven en wie voor de schade moet opdraaien.
Het lijkt erop dat de privacyrisico’s ten gevolge van de hack beperkt zijn, maar dat is nog niet zeker. Enerzijds bestaat het risico dat hackers meer data in handen hebben verkregen, anderzijds zijn betrokkenen relatief laat geïnformeerd over het feit dat hun data is gelekt. Blackbaud heeft de universiteiten pas 7 weken na ontdekking specifiek geïnformeerd. Gevolg hiervan is dat de universiteiten ook pas laat de betrokkenen hebben kunnen informeren. Ook hier komt het belang van een juiste verwerkersovereenkomst naar voren, want daarin is - als het goed is - ook de termijn van informeren vastgesteld.
Universiteiten overwegen stappen tegen Blackbaud, de mate waarin dit succes kan hebben zal grotendeels worden bepaald door de inhoud van een onderliggende (verwerkers)overeenkomst.
Als Nederlandse toezichthouder kan AP niet zelfstandig een onderzoek bij Blackbaud starten, maar zou wel bij de universiteiten onderzoek kunnen doen door onder andere het register van verwerkingsactiviteiten en de verwerkersovereenkomst met Blackbaud op te vragen. TU Delft en Universiteit Utrecht moeten aan kunnen tonen dat zij in dit geval geen steken hebben laten vallen.
Resume: de AVG is bedoeld om persoonsgegevens van individuen beter te beschermen. Met het kunnen aantonen dat aan de wettelijke verplichtingen wordt voldaan (o.a. dataminimalisatie, contracten) worden de risico’s voor universiteiten en de betrokken alumni verder verkleind. Ook dan kan Blackbaud nog gehackt worden, maar dan heb je als universiteit in ieder geval gedaan wat je kon.
Dit is een mooie wake-up call om ook binnen je eigen organisatie te verifiëren dat de juiste verwerkingsovereenkomsten zijn afgesloten.
Meer artikelen van PrivacyTeam
