Softwareleverancier Nebu moet marktonderzoeker Blauw informatie verstrekken over de inbraak op de eigen systemen en de diefstal van data die daarbij plaatsvond. Dat meldde Security.nl gisteren. Dit is het oordeel van de rechtbank Rotterdam in het spoedkortgeding over dat enorme datalek met miljoenen slachtoffers, waarbij het onderzoeksbureau Blauw onduidelijk was wat er nu precies gelekt was en hoe.
Nebu is in dit verband een SaaS-dienstverlener, die een platform aanbiedt waarop partijen als Blauw marktonderzoeken kunnen uitvoeren. Blauw doet dat dan weer in opdracht van partijen zoals de NS, VodafoneZiggo, zorgverzekeraar CZ of de Rijksdienst voor Ondernemend Nederland. De rechtbank laat in het midden of Blauw dan verwerker is of niet (want niet relevant nu), maar is het met Blauw eens dat Nebu in ieder geval een verwerker is. En dan moet er dus een verwerkersovereenkomst zijn, of zoals de rechtbank het juridisch correct noemt een verwerkingsovereenkomst. Daarin staat deze vrij standaard bepaling:
[Nebu] immediately notifies [Blauw] of any incident in relation to the processing of personal data. In the event of an incident, [Nebu] will fully cooperate with [Blauw] and follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, [Nebu] will notify [Blauw] at least within 24 hours after an incident occurring.Deze clausule is een vrij standaard herformulering van de verplichtingen van de verwerker uit artikel 28 lid 3 AVG, meer specifiek subleden f en h die over de bijstands- en informatieplichten gaan. Echter, nadat het datalek openbaar werd, bleek er niet bijster veel informatie te worden gedeeld door Nebu:
Op 13 maart 2023 meldde Nebu aan Blauw en andere klanten van Nebu dat er sprake is van een storing in haar dienstverlening waardoor haar diensten offline gehaald zijn. Ook stuurde zij die dag meerdere updates. Daarin werd nog niet gemeld dat er sprake was van een cyberaanval of een (mogelijk) datalek.Dit is nogal mager inderdaad, zeker als je dat ziet in het licht van de enorme omvang van het datalek zoals die inmiddels openbaar is geworden. De rechter is er dan ook snel klaar mee:Op 14 maart 2023, 23:13 uur, heeft Nebu Blauw en andere klanten van Nebu bericht dat op vrijdag 10 maart 2023 een cyberaanval heeft plaatsgevonden op de productieomgeving van Nebu in Nederland en dat de diensten daardoor niet beschikbaar waren. Nebu kondigde daarbij een forensisch onderzoek aan.
Nebu zond op 20 maart 2023 een update aan Blauw en andere klanten van Nebu over de herstart van haar RDP (remote desktop protocol) dienstverlening. De update bevat geen informatie over de cyberaanval. Op 21 maart 2023 schreef Nebu aan Blauw dat zij op dit moment geen andere informatie had om te verstrekken dan de informatie uit de update.
Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen.De exacte juridische kwalificatie van “loyale en royale wijze” van nakoming van een verbintenis is wellicht een novum, maar de strekking is duidelijk: je had je niet zo in stilzwijgen mogen hullen en volstaan met generieke uitspraken dat er iets mis is gegaan. Je telefoonnummer van je site halen is ook niet handig voor de beeldvorming, maar belangrijker was niet laten zien dat je meteen serieus op onderzoek uitging.
Bij het voorgaande heeft de voorzieningenrechter meegewogen dat er tot dus ver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of zelfs maar is gestart. Dit maakt het eerder redelijk dat Blauw informatie wil hebben dan in de situatie dat Nebu direct een onafhankelijk onderzoek had gelast. Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg. De voorzieningenrechter gaat er overigens vanuit dat Blauw op prudente manier zal omgaan met de informatie die zij als gevolg van dit vonnis zal verkrijgen.Dat van die onderzoeker is opmerkelijk. Inderdaad zijn we al een paar weken sinds de ontdekking van het datalek, en kennelijk is er bij Nebu niets gebeurd qua diepgravend onderzoek. In die situatie ziet de rechter het als een redelijke instructie van Blauw aan Nebu dat die laatste een onderzoek laat uitvoeren:
Nebu heeft ter zitting verklaard dat zij nog niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd. Dit betekent dat het Nebu in een termijn van enkele weken niet is gelukt om dit zelf te achterhalen. Onder deze omstandigheid, gelet ook op het grote aantal persoonsgegevens waar het in deze kwestie om gaat en in het licht van de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, schaart de voorzieningenrechter de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de DPA.Nebu krijgt vijf werkdagen (het is Paasweekend, jaja) om een extern forensisch bedrijf te contracteren en binnen vier weken een rapport te laten leveren. De overige gevraagde informatie die Blauw wil hebben moet ook worden verstrekt, mits dat beperkt blijft tot informatie die voor Blauw zelf relevant is en geen juridisch advies aan Nebu betreft.
De gevolgen van dit specifieke lek zullen nog wel even doorlopen. Maar de uitspraak laat mooi zien dat de brede bewoordingen van de AVG en de verwerkersovereenkomst dus inderdaad zo breed toegepast kunnen worden. Vaak wordt daar niet bij stilgestaan omdat men ‘gewoon’ de wet over denkt te schrijven.
Arnoud
Gaat om juridisch advies dat Nebu zelf ingewonnen heeft. Standaard reflex van juristen is te adviseren om geen enkele (inhoudelijke) informatie te verstrekken.
Dat vermoed ik ook. En omdat de AVG zegt dat je álle informatie moet verstrekken waar je verantwoordelijke om vraagt, zou je dan dus ook dat advies moeten geven. Dat leidt dan tot aansprakelijkheid want dat advies kwam neer op welbewust en opzettelijk de wet overtreden. (Ja, advocaten kunnen aanraden de wet te overtreden als dat in belang van hun cliënt is.) Maar dan heb je weer het beroepsgeheim tussen advocaat en cliënt dat zegt dat zulke adviezen geheim zijn. Dus ik snap de uitzondering wel.
Heeft er iemand al eens bij stilgestaan dat dit best waar zou kunnen zijn? Dat Nebu bijvoorbeeld wel weet dat er ingebroken is, en misschien ook wel dat er data gelekt is, maar, ondanks onderzoek, niet weet hoeveel/welke data en of deze data te linken is aan Blauw?
Ze kunnen toch moeilijk tegen Blauw zeggen: de data van Mw Jansen, kerkplein 1, is gestolen, en dan zegt Blauw, die persoon kennen we niet. Dan hebben ze nog een tweede datalek.
Dat zou heel goed waar kunnen zijn, maar dat onthult dan dat Nebu klantdata mengt en geen adequate logging, scheiding van gegevens en dat soort dingen heeft. “Sorry, bij ons is het écht een enorme puinhoop dus helaas we kunnen niets zeggen” is zeg maar niet de bedoeling onder de AVG.
Het is niet altijd even makkelijk om zonder gedetailleerde logging te bepalen welke informatie er door aanvallers buitgemaakt is. Nu moet je bedenken dat professionele hackers de neiging hebben om beveiligingssystemen, waaronder de logging uit te schakelen.
Dat Nebu heeft kunnen detecteren dat hackers zijn binnengedrongen en systemen aangepast hebben is goed voorstelbaar. Dat deze hackers daarna maatregelen genomen hebben om hun activiteiten te verbergen net zo goed. Wat ik mis is actie van Nebu waar het gaat om het inschakelen van professionals om te assisteren bij het onderzoek naar deze hack. Ook de manier waarop Nebu haar klanten geïnformeerd heeft laat aanzienlijk te wensen over.