Zeker 2 miljoen Nederlandse klantgegevens blijken betrokken bij een groot Nederlands datalek, las ik bij de NOS. Meerdere marktonderzoekers hebben aan de NOS bevestigd slachtoffer te zijn, en wijzen naar softwareleverancier Nebu. Marktonderzoeker Blauw heeft samen met collega’s al een civiele procedure aangekondigd om Nebu te dwingen meer informatie te verstrekken. Het riep onder meer de vraag op: hoe zit dat met aansprakelijkheid onder de AVG bij zo’n datalek?
Dinsdag wordt er gedagvaard, zo te lezen:
Volgens [Blauw-topman Jos] Vink wil Blauw van Nebu weten welke persoonsgegevens precies zijn weggehaald bij Blauw en hoe het heeft kunnen gebeuren. Als de softwareleverancier voor dinsdag duidelijkheid verschaft, trekt Blauw het kort geding volgens Vink in. “Sinds het datalek is het contact matig en krijgen we niemand te spreken”, zegt hij. Blauw heeft ook een advocaat genomen voor juridisch advies over wat het marktbureau het beste kan doen en hoe het klanten zo goed mogelijk kan informeren.Een datalek van deze omvang is natuurlijk een AVG-probleem, en het verbaast dan ook niet dat de AP een onderzoek is gestart. Dat zal primair gericht zijn tegen de verwerkingsverantwoordelijken, dus de bedrijven die de marktonderzoeksbureaus inschakelden, zoals de NS, VodafoneZiggo, zorgverzekeraar CZ, de Vrienden van Amstel Live, de Rijksdienst voor Ondernemend Nederland en woningcorporatie Stadgenoot. Maar zowel een verantwoordelijke als een verwerker zijn apart aan te spreken door de AP voor het niet hebben van een adequate beveiliging (art. 32 AVG). De vraag is dus nogal prangend wat er precies gebeurd is, hoe kon de data worden buitgemaakt en had dat redelijkerwijs voorkomen kunnen worden?
Blauw is een marktonderzoeksbureau, dat gebruik maakt van de softwaredienst van Nebu, een ISO27001 gecertificeerd bedrijf dat “[offers] 25 years of experience in building and delivering software solutions for Market Research.” Maar toch ging dat niet helemaal zoals verwacht kennelijk. De collega’s bij marktbureau USP weten meer:
[Directeur Jan Paul Schop van marktonderzoeker USP] zegt dat USP voorlopig blijft samenwerken met Nebu. “We werken al meer dan 15 jaar met Nebu samen en we hebben niet eerder problemen op dit vlak gehad. Feitelijk is Nebu zelf niet gehacked, maar is de moedermaatschappij in Canada gehacked. Via dat kanaal is men bij Nebu binnengekomen”, aldus Schop.Onder de AVG kan een verwerkingsverantwoordelijke een verwerker aanspreken voor de gevolgen van een inadequate beveiliging (art. 82 AVG). Bij een softwareleverancier kun je niets verhalen, tenzij je dat contractueel zo geregeld hebt. Het is dus even de vraag wat Nebu precies is: leveren die alleen software, of zit er ook dienstverlening bij waarbij persoonsgegevens de database van Nebu in lopen? Want dan zou Nebu een subverwerker zijn, en daarvoor geldt dan dezelfde regel.
Arnoud
Het lijkt mij dat de marktonderzoekers zelf hadden moeten zorgdragen voor een slimme anonimisering, zodat bijv namen en e-überhaupt niet uitgewisseld haffen hoeven worden, maar benodigde variabelen voor het onderzoek er wel uitgehaald konden worden?
De tijd van het gebruik van één e-mailadres en één telefoonnummer is voorbij. Het gaat niet meer, net zoals je niet één wachtwoord moet gebruiken. Voor elk contact moet je een uniek adres en nummer gebruiken. Maar de e-mail en telefoonprotocollen zijn hopeloos ouderwets wat dat betreft.
De EU zou met enige urgentie moeten toewerken naar dwingende regelgeving waardoor het effect van een datalek wordt beperkt. Als dat niet gebeurt, dan is het een kwestie van tijd totdat ieders informatie overal ligt. En krijg dan de geest nog maar eens in de fles.
Dus de klant (verantwoordelijke) neemt een dienst af bij een marktonderzoeksbureau (verwerker) en die maakt voor het uitvoeren van het onderzoek gebruik van tooling van een software-leverancier. Hoe zou die leverancier géén subverwerker (en wel derde) kunnen zijn?
Als de leverancier alleen de tooling levert en niet zelf verwerkingshandelingen uitvoert. Bij SaaS is de leverancier inderdaad verwerker, maar als hij een selfhosted oplossing levert, dan niet. Of als alle data lokaal bij dee klant staat en de tool daarop opereert.
Alsof een ISO 27001 certificering ook maar enige garantie is, je bepaalt zelf je voorwaarden (mooi voor marketing). Hoe meer er uitbesteed wordt des te groter de kans op grote impact bij een datalek.
Is dat dan strafbare afdreiging (in de volksmond: chantage), of het grondrecht van toegang tot de rechter?
Nah, dat gaat me wat ver. Blauw wil informatie, meent daar recht op te hebben en gaat dus bij de rechter eisen dat ze die informatie krijgt. Dat je dan zegt “geef het vrijwillig en dan trek ik het KG in” is volgens mij vrij normaal. Als ik een kast bij jou koop, kan ik bij de rechter levering afdwingen maar als je ‘m vrijwillig geeft dan zal ik het kort geding intrekken. Dat komt niet in de buurt bij afdreiging.
Is het vermelden van “voorkom incassokosten, betaal op tijd” op een factuur of “als u niet betaalt zijn wij genoodzaakt juridische stappen te ondernemen” op een herinnering dan ook afdreiging? Het is toch niet meer dan het aangeven van consequenties als niet aan het verzoek voldaan wordt.
Afdreiging gaat om ‘bedreiging met smaad, smaadschrift of openbaring van een geheim’ (art. 318 Sr), hoe zie je dat hier precies in?
Ja. En in 318 Sr staat ook nog: “het oogmerk om zich of een ander wederrechtelijk te bevoordelen”. Dat wederrechtelijke is er ook niet, in tegendeel, ze willen het juist en alleen omdat ze menen dat het rechtmatig is, en willen dat zo nodig proberen door de rechter te laten bevestigen.
Maar ik vroeg het me toch even af. De antwoorden scherpen de geest.
De interpretatie zou dan zijn dat de rechtsgang openbaar is (en/of een en ander indirect in de pers komt) en dat het geëiste dan een “geheim” is dat daarmee aan derden geopenbaard wordt, ook al is dat maar een kleine groep. “Geef me alle informatie of ik klaag je voor 10 miljoen aan met de stelling dat je beveiliging totáál belabberd was met als (al dan niet verzonnen) voorbeeld A, B en C”. Ook een onwaar geheim onthullen kan afdreiging opleveren onder 318 Sr.
Blijft vreemd dat de verwerkingsverantwoordelijke niet zou weten welke gegevens zijn gedeeld en dat het marktonderzoeksbureau dat de gegevens verwerkt niet zou weten welke gegevens verwerkt worden.
De infrastructuurdienst hoeft als enige niet te weten welke gegevens voor wie verwerkt worden. Backups en andere techniek. Is een backup kwijt dan wtenen ze alleen dat van die backup maar niet wat er op stond. Zelfde verhaal als telecom providers.
@Arnoud: Bij veel van de grote datalekken van de afgelopen tijd bleek er ergens een enorme blunder gemaakt te zijn. Admin-accounts die toegankelijk zijn met eenvoudige wachtwoorden, systemen die jaren achter lopen met patches, wachtwoordloze database-dumps in een open cloud storage etc etc. Het is dan vrij eenvoudig: Dat is onzorgvuldig handelen, en niet adequate beveiliging.
Maar stel nu eens dat de beveiliging bij alle betrokken bedrijven (in dot voorbeeld dan bij Vodafone, en bij Blauw, en bij Nebu, en bij dat Canadees moederbedrijf) echt tip-top in orde is, er is geen enkele fout gemaakt, alles was meer dan op orde en zeer zorgvuldig, maar de hackers hebben gebruik weten te maken van een zero-day om toch gegevens te stelen. Een onrealistisch scenario, dat geef ik toe, maar toch: wie is er dan aansprakelijk voor eventuele schade?
In het onrealistische scenario dat alle beveiliging adequaat is (art. 32 AVG) en er desondanks een datalek plaatsvond, is er geen aansprakelijkheid. Er is dan immers geen norm geschonden, niets onrechtmatigs gedaan zeg maar. En zonder onrechtmatigheid komen we niet bij schadevergoeding.
Het is dan natuurlijk vervelend dat die gegevens op straat liggen, maar waarom moet zeg Vodafone bloeden voor het feit dat zeer geavanceerde state sponsored cyberhackteams een adreslijst weten te stelen met een zeroday die werkelijk niemand had zien aankomen? Het is het niet helemaal maar je zou het overmacht kunnen noemen, iets dat kan gebeuren zonder dat iemand er wat aan kan doen.
Als je in die situatie dan zegt, de verantwoordelijke moet toch betalen, dan zeg je in feite, je moet betalen als je security niet perfect is. En dat gaat juridisch niet, want perfectie is onhaalbaar.