De rechtbank Rotterdam buigt zich in deze zaak over de vraag of softwareleverancier Nebu jegens marktonderzoeksbureau Blauw tekort is geschoten na een cyberincident waarbij mogelijk persoonsgegevens van eindklanten zijn geraakt. Blauw sloeg grote hoeveelheden onderzoeksdata op bij Nebu, waaronder NAW-gegevens en in sommige gevallen zelfs medische gegevens. In maart 2023 wist een aanvaller via een brute force attack toegang te krijgen tot de systemen van Nebu en vervolgens tot de cloudomgeving, waardoor mogelijk ook data van Blauw werd getroffen.
De kern van het geschil is tweeledig. Ten eerste: welke contractuele normen golden tussen partijen? De rechtbank oordeelt voorlopig dat niet de standaard-DPA van Nebu, maar de in 2018 afzonderlijk ondertekende verwerkersovereenkomst van Blauw van toepassing bleef. Deze overeenkomst bleef gelden zolang Nebu persoonsgegevens voor Blauw verwerkte, en was niet rechtsgeldig beëindigd.
Ten tweede staat de AVG-vraag centraal: had Nebu als dienstverlener/subverwerker passende technische en organisatorische maatregelen genomen? Blauw verwijt Nebu vooral dat vóór het incident geen standaard Multi-Factor Authentication (MFA) was ingevoerd. MFA is een beveiligingsmethode waarbij gebruikers zich met meerdere factoren moeten identificeren, bijvoorbeeld een wachtwoord én een code via een app of sms. Dit verkleint aanzienlijk de kans op ongeautoriseerde toegang. Volgens Blauw was MFA in 2023 al ‘common practice’ en had dit, mogelijk samen met betere datascheiding tussen klanten, het incident kunnen voorkomen of beperken.
Nebu bestrijdt dat MFA destijds al de norm was en wijst erop dat ook zonder MFA veel systemen veilig functioneerden. Daarnaast stelt Nebu dat haar multi-tenant cloudomgeving gebruikelijk was en dat klanten geen toegang hadden tot elkaars data.
Verder verwijt Blauw Nebu dat zij na ontdekking van het incident niet onmiddellijk en volledig heeft geïnformeerd, terwijl de verwerkersovereenkomst juist een snelle melding voorschreef. Nebu stelt daartegenover dat zij steeds de beschikbare informatie heeft gedeeld en prioriteit gaf aan het beperken van schade.
De rechtbank acht de technische en sectorale context doorslaggevend en gelast daarom een deskundigenonderzoek. Daarbij staan vragen centraal als: wat gold begin 2023 als gangbare beveiliging (zoals MFA en datascheiding)? Had het incident voorkomen of beperkt kunnen worden? En voldeed de timing en inhoud van de melding aan wat van een zorgvuldig handelend verwerker verwacht mag worden?
Deze uitspraak onderstreept dat aansprakelijkheid na datalekken sterk afhankelijk is van wat in de praktijk als ‘passend’ wordt gezien. Juist voor organisaties die werken met cloudleveranciers en verwerkers biedt dit belangrijke lessen over beveiligingsnormen, contractuele afspraken en incidentrespons.
