06 apr Blauw-uitspraak: Hoe ver reikt het instructierecht onder AVG?
Op de vraag hoe ver het instructierecht reikt heeft de kortgedingrechter antwoord gegeven in de zaak van Blauw Research tegen het ICT-bedrijf Nebu.
Wat speelt er?
Blauw is een marktonderzoeker die gebruik maakt van de ICT-dienstverlening van Nebu. Op 10 en 11 maart 2023 vond er een cyberaanval plaats op de servers van Nebu. Daarbij is data ontvreemd door de aanvallers. Dit heeft inmiddels ertoe geleid dat verschillende bedrijven, waaronder de NS en VodafoneZiggo, een groot aantal klanten hebben gewaarschuwd dat er persoonsgegevens (mogelijk) op straat zijn komen te liggen.
In dit kort geding vordert Blauw nadere informatie van Nebu over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Ook vraagt zij om een onafhankelijk forensisch onderzoek. Nebu betwist niet dat zij informatie moet verschaffen aan Blauw, maar heeft bezwaren tegen (de omvang van) de gevraagde maatregelen.
Ruime of beperkte instructierecht
Op grond van de verwerkingsovereenkomst is het ICT-bedrijf (Nebu) verplicht om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens en om de instructies van Blauw in een dergelijk geval op te volgen.
In geschil was tot hoever het instructierecht onder de verwerkersovereenkomst reikt. Naar het voorlopig oordeel van de voorzieningenrechter moet het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim worden uitgelegd. Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van de verwerkersovereenkomst, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen. Nebu beschikt als gevolg van de samenwerking met Blauw over persoonsgegevens van een groot aantal mensen (‘een substantieel deel van de Nederlandse bevolking’, zoals Blauw onbetwist stelt). De gevolgen van een (mogelijk) datalek van die gegevens kunnen groot zijn. Daarmee verhoudt zich niet dat het instructierecht beperkt wordt uitgelegd.
Rechter over wat onder het instructierecht valt
Rechter komt tot de conclusie dat bij dit soort (omvangrijke) beveiligingsincidenten de verantwoordelijke recht heeft op de hieronder genoemde informatie en medewerkingen. ICT-dienstverleners, zijnde (sub)verwerkers, kunnen onderstaande lijst(en) gebruiken om te toetsen of ze alsdan kunnen voldoen aan vorderingen bij een beveiligingsincident. Ben je als (sub)verwerker in staat om snel en gemakkelijk de verantwoordelijke van informatie te voorzien en de nodige medewerking te verlenen, oftewel zijn er voldoende technische en organisatorische maatregelen genomen om snel te kunnen opvolgen.
Rechter concludeert dat ingevolge het instructierecht de verantwoordelijke recht heeft op:
- Informatie over wat er is gebeurd.
- Informatie over hoe en met welke methoden het systeem is hersteld. Van belang om te weten of data nu veilig is.
- Alle beschikbare informatie over (het onderzoek naar) de data exfiltratie, met inbegrip van de indicatoren die wijzen op data-exfiltratie, de analyse van die indicatoren en welke data van Blauw en/of haar klanten is ge-exfiltreerd. Nodig om te controleren of er persoonsgegevens van klanten van Blauw zijn gelekt.
- Wie de daders van de cyberaanval zijn. Nodig om een inschatting te maken van het risico van het datalek.
- Informatie over de door Nebu getroffen en voorgenomen technische en organisatorische maatregelen naar aanleiding van het incident, met inbegrip van interne en externe aanbevelingen daarover en de status van opvolging daarvan.
- Interne rapportage inclusief de data en gegevens die ten grondslag liggen aan de bevindingen in het rapport. (Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg.)
- Alle gegevens, informatie en documentatie die nu beschikbaar zijn of op een later moment beschikbaar komen, beschikbaar te houden.
- Het verlenen van alle benodigde medewerking met betrekking tot het incident en om alle eventuele vragen van Blauw te beantwoorden.
Onredelijke vordering
Volgens de rechter is de volgende vordering van Blauw onredelijk en zwakt de vordering af.
De (onredelijke) vorderingen van Blauw komen er op neer dat Nebu steeds onverwijld en in ieder geval binnen vier uur na bekendwording nieuwe informatie over het incident aan Blauw moet verstrekken en daarnaast twee keer per dag een update moet sturen.
De rechter zegt hierover dat dat gegeven de huidige stand van zaken – de cyberaanval was enkele weken geleden en de dienstverlening van Nebu aan Blauw ligt stil – komt dit overmatig voor, behalve als het gaat om (i) een nieuwe cyberaanval, (ii) informatie waaruit blijkt of gegevens van Blauw al dan niet zijn ontvreemd bij de cyberaanval en (iii) informatie over de identiteit van de daders. Voor de overige informatie over de cyberaanval acht de voorzieningenrechter een dagelijkse update om 18:00 uur Nederlandse tijd redelijk.
Onafhankelijk forensisch onderzoek
Blauw vordert daarnaast dat een externe partij onafhankelijk onderzoek doet naar de oorzaak van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval.
Rechter oordeelt daarover:
- Het is niet onredelijk dat een externe partij onafhankelijk onderzoek doet naar de oorzaak van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval, temeer nu Nebu heeft ter verklaard dat zij nog niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd.
- De voorzieningenrechter schaart de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de verwerkingsovereenkomst. Dat Blauw onder de verwerkingsovereenkomst ervoor kan kiezen zelf een audit te laten doen bij Nebu, doet hieraan niet af.
- Blauw kan geen aanspraak maken op afgifte van een rapport waarin informatie is opgenomen die Blauw niet aangaat, dus als het gaat over andere klanten van Nebu. Nebu kan het rapport op dat punt onleesbaar maken. Dat geldt ook voor de namen van werknemers van Nebu of andere betrokkenen.
Voor ICT-dienstverleners, zijnde (sub)verwerker, is de les die hier getrokken kan worden: hoe minder je zelf kunt onderzoeken en achterhalen of daarin vertraagd acteert, hoe gerechtvaardigder het is dat de verantwoordelijke hier het heft in eigen handen neemt en een (forensisch) onderzoek laat instellen door een onafhankelijk extern bureau. Ook hier geldt hoe meer je vooraf hebt ingeregeld om adequaat en effectief een beveiligingsincident in kaart te kunnen brengen en beoordelen, des te sneller kun je voldoen aan het instructierecht dat een verantwoordelijke heeft.
Conclusies: instructierecht is context-afhankelijk
Deze kortgeding-uitspraak geeft een mooi overzicht hoe het instructierecht bij een beveiligingsincident in gevuld wordt. Op basis van deze Blauw-uitspraak kunnen -voor nu- de volgende conclusies getrokken worden over hoe ver het instructierecht in een een verwerkersovereenkomst reikt:
- Voor de reikwijdte van het instructierecht is het kennelijk ook van belang hoe het instructierecht in de verwerkersovereenkomst is geformuleerd en welke kennelijke doelen het instructierecht dient. (De vraag rijst hier of je het instructierecht ingevolge de AVG contractueel kunt beperken door de strekking daarvan in de verwerkersovereenkomst te vernauwen door het instructierecht toe te spitsen tot vooraf geformuleerde te bereiken doelen.)
- Een beperkte uitleg verhoudt zich niet tot de kennelijke bedoeling van het instructierecht zoals geformuleerd in de verwerkersovereenkomst. De rechter oordeelt dat het instructierecht sowieso ruim uitgelegd moet worden. Hoe ruim dat hangt af van de omstandigheden van het geval.
- De aard, ernst en grootte van het beveiligingsincident zijn aldus medebepalende hoe ver het instructierecht reikt.
- Verwerker moet op een loyale en royale wijze meewerken aan een onderzoek opdat op een behoorlijke wijze onderzoek gedaan kan worden. Het past de (sub)verwerker niet om tegen te werken om te weigeren. De rechter zegt wel dat de vorderingen redelijk moeten zijn, dan doelt hij vooral op de termijnen waarbinnen informatie en medewerking verleend moet worden.
- Benoeming van een forensisch onderzoeker wordt geschaard onder het instructierecht. Het instructierecht ziet dus niet alleen op verstrekken van informatie maar ook op instructies waaraan je medewerking moeten verlenen en bepaalde onderzoekshandelingen moet dulden. ook hier geldt zolang het redelijke instructies zijn en de belangen van (sub)verwerker schaadt.
- Een onafhankelijk onderzoek laten uitvoeren door een externe partij naar de oorzaak van het incident is niet onredelijk als verwerker het incident niet zelf goed weet te onderzoeken en niet gemakkelijk weet te achterhalen wat er precies gebeurd en derhalve niet de benodigde informatie op tijd kan verstrekken.
- Het auditrecht en instructierecht zijn niet inwisselbaar, en kan dus niet het forensisch onderzoek vervangen. Bij een incident met een dergelijke omvang kun je dus niet wijzen naar het auditrecht. Een snel onafhankelijk onderzoek is alsdan geboden.
- De tijdspanne waarin verwerker nieuwe informatie bekend moet maken aan verantwoordelijke mag – in ogenschouw nemend de alsdan stand van zaken – niet overmatig zijn.
Uitspraak hier te lezen: https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBROT:2023:2931