Het datalek bij softwareleverancier Nebu houdt de gemoederen al geruime tijd bezig. En terecht. Het gaat immers niet om niks. De privacy-waakhond meldde een paar dagen geleden dat al 139 bedrijven zich hebben gemeld. En het aantal personen wiens gegevens mogelijk gelekt zijn, loopt al in de vele miljoenen. En mij is ook al ter ore gekomen dat Stichting SOMI (die een massaschadeclaim tegen TikTok heeft lopen) de zaak in onderzoek heeft. Het is dus wachten op claims.
Recent is het kort geding vonnis (1) tussen marktonderzoeksbureau Blauw en haar softwareleverancier Nebu gepubliceerd. Het kan u niet ontgaan zijn in de media: Blauw zag zich genoodzaakt via de rechter af te dwingen dat Nebu meer openheid van zaken geeft omtrent de hack. De uitspraak van de rechter verklaart mijn titel: Nebu loopt een stevig ‘blauwtje’ op. Meest saillant in dit verband is - zo blijkt uit het vonnis – dat Nebu überhaupt nog geen onafhankelijk forensisch onderzoek is gestart, ondanks een expliciete toezegging daartoe bij de eerste melding van de hack aan Blauw. Ik heb dit bij BNR “pijnlijk” genoemd (2).
Ook blijkt uit het vonnis dat er wel degelijk sprake is van diefstal. Het vonnis vermeldt letterlijk “in een e-mail van 27 maart 2023 bevestigde Nebu aan Blauw dat er sprake was van een ransomware-software en dat er data was geëxfiltreerd (lees: gestolen) door de aanvallers.”
Blauw heeft een waslijst aan eisen ingediend, die neerkomen op: (i) ik wil informatie, en (ii) ik wil dat er een forensisch onderzoek wordt gedaan naar de rootcause. De rechter geeft in het vonnis met zoveel woorden aan dat Blauw inderdaad wel heel veel vraagt, maar toont ook begrip voor het argument van Blauw dat ze nu eigenlijk niks weet: “De voorzieningenrechter volgt Blauw echter in haar redenering dat zij genoodzaakt was haar vorderingen op deze manier te formuleren omdat zij voorafgaand aan dit kort geding beperkte informatie van Nebu had gekregen.”
Blauw beroept zich qua grondslag op de gemaakte afspraken met Nebu. Het vonnis vermeldt dat tussen partijen een verwerkersovereenkomst is gesloten. Dat is meteen het eerste interessante punt in deze zaak. Want het sluiten van een “verwerkersovereenkomst” suggereert dat Blauw de verwerkingsverantwoordelijke is, en Nebu de verwerker. Blauw zelf, en overigens ook concullega’s van mij, heeft in de media gesteld een verwerker te zijn. Want, zo wordt geredeneerd, Blauw handelt in opdracht van haar klanten – een deel van die inmiddels 139 gedupeerde bedrijven. En dit verklaart vervolgens ook waarom de AP inmiddels al 139 meldingen heeft gekregen: het is immers de verantwoordelijke die die melding moet maken, dus de klanten van Blauw.
Maar is Blauw inderdaad slechts verwerker? Het vonnis lijkt dus te suggereren van niet, want anders zou er gestaan moeten hebben een “subverwerkersovereenkomst”. En ik twijfel zelf ook. Blauw vertoont in de media gedrag van een verantwoordelijke. Meest illustratieve voorbeeld: een uiting dat Blauw de relatie met Nebu gewoon wenst door te zetten, ondanks het potentieel grootste datalek in Nederland ooit. Als verwerker, gaat Blauw daar natuurlijk helemaal niet over.
Als Blauw als verantwoordelijke kan worden gezien, dan had Blauw zelf bijvoorbeeld melding moeten doen van het lek bij de Autoriteit Persoonsgegevens. En heeft dit natuurlijk nog veel meer gevolgen voor de positie van Blauw. Wat te denken van aansprakelijkheid bijvoorbeeld?
Uit het vonnis blijkt dat de uitleg van de verwerkersafspraken partijen verdeeld houdt, en aldus de omvang van de verplichtingen van Nebu jegens Blauw. Blauw verdedigt een ruime uitleg (vandaar die waslijst aan vorderingen), en Nebu een beperkte. De overeenkomst bevat de volgende afspraak:
“In the event of an incident, [Nebu] will (…) follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident (…). [Nebu] has procedures and protocols in place that enable him to give [Blauw] an immediate response to an incident, and to effectively work with [Blauw] in order to investigate the incident, to respond to it and to deal with it. On [Blauw]'s first request, [Nebu] will provide [Blauw] with copies of such procedures and protocols.”
De rechter gaat in casu mee met Blauw. De rechter oordeelt dat hier van belang is dat (i) Nebu - als gevolg van de samenwerking met Blauw - over persoonsgegevens van ‘een substantieel deel van de Nederlandse bevolking’ beschikt, en (ii) de gevolgen groot kunnen zijn. ‘Daarmee verhoudt zich niet dat het instructierecht beperkt wordt uitgelegd’, aldus de voorzieningenrechter.
De rechter wijst de vorderingen van Blauw grotendeels toe. En ik moet eerlijk zeggen: de rechter gaat hierin gebalanceerd en genuanceerd te werk, door onder andere verschillende termijnen te stellen en bewust wel of geen dwangsom op te leggen. En de bevelen liegen er niet om. Zo heeft Blauw recht om te weten (i) wat er is gebeurd tijdens de cyberaanval (ii) en hoe en met welke methoden het systeem is hersteld, (iii) van welke klanten persoonsgegevens zijn gelekt, (iv) en wie de daders van de cyberaanval zijn. Ook dient Nebu de interne rapportages te verstrekken. Voorts dient Nebu aan Blauw nieuwe informatie te verstrekken over (i) een nieuwe cyberaanval bij Nebu, (ii) informatie waaruit blijkt of gegevens van Blauw en haar klanten al dan niet zijn ontvreemd bij de eerdere cyberaanval, en (iii) informatie over de identiteit van de daders van die aanval. Tenslotte veroordeelt de rechter Nebu op het punt van informatieverstrekking, om Blauw dagelijks om 18:00 uur Nederlandse tijd schriftelijk een update te verstrekken over: (i) alle voor Blauw relevante ontwikkelingen met betrekking tot het beveiligingsincident, en (ii) het naar de oorzaak en de (mogelijke) gevolgen van het incident verrichte forensisch onderzoek.
Ook gaat de rechter mee in het gevraagde forensisch onderzoek naar de oorzaak. De rechter vindt hier van belang dat Nebu niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd. Hieruit leidt de rechter af dat het Nebu, in een termijn van enkele weken, kennelijk niet is gelukt om dit zelf te achterhalen. De rechter overweegt vervolgens: “Onder deze omstandigheid, gelet ook op het grote aantal persoonsgegevens waar het in deze kwestie om gaat en in het licht van de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, schaart de voorzieningenrechter de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de DPA.” Tevens dient het rapport van de onderzoeker, zodra het gereed is, aan Blauw te worden verstrekt.
Met dit vonnis in de hand, heeft Blauw een stevige stok achter de deur om Nebu te dwingen (meer) openheid van zaken te geven. En dan zal duidelijk worden hoe Nebu heeft gehandeld. Anders gezegd: of Nebu hier een verwijt treft. Het heeft er wel alle schijn naar. Techzine (3) publiceerde op 31 maart letterlijk dat Nebu “het niet zo heel nauw heeft genomen met de security hygiëne”, op basis van - onder meer - inzage in het ISO 27001-certificaat van Nebu. Als Techzine het hier bij het juiste einde heeft, loopt Blauw trouwens zelf ook een stevig blauwtje, durf ik wel te voorspellen.
Wordt ongetwijfeld vervolgd. Nebu heeft in dit verband al door laten schemeren hoogstwaarschijnlijk in hoger beroep te gaan (4).
Menno Weij geeft samen met Polo van der Putt (Vondst advocaten) de cursus IT-contracten opstellen en beoordelen: the do’s en dont’s. Nieuwsgierig? Bekijk hier meer >
1) https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBROT:2023:2931
2) https://www.bnr.nl/gemist?date=06-04-2023&time=16-09-45
3) https://www.techzine.nl/nieuws/privacy-compliance/520777/blauw-zorgt-voor-groot-nederlands-datalek-maar-wie-is-de-schuldige/
4) https://www.vpngids.nl/nieuws/blauw-nebu-mogelijk-in-hoger-beroep-tegen-vonnis/
