Het datalek bij saas-leverancier Nebu als gevolg van een cyberaanval op zijn servers leidt tot felle discussies over de vraag waar slachtoffers van wie persoonsgegevens op straat liggen, voor een schadevergoeding kunnen aankloppen. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), gooide vanwege deze kwestie de knuppel in het hoenderhok.
In een gesprek gisteren met EenVandaag wees Wolfsen op de mogelijkheid om bedrijven waar gegevens zijn gestolen en die data bij it-dienstverleners laten verwerken, aansprakelijk te stellen. ‘Heb je schade opgelopen, verhaal die dan,’ luidde de oproep van de AP-voorzitter. Wolfsen: ‘Veel bedrijven hebben de veiligheid van hun systemen zelf wel op orde, maar als ze een ander bedrijf inhuren voor bijvoorbeeld een klanttevredenheidsonderzoek, gaat het nog weleens mis.’
Volgens privacy-expert Menno Weij impliceert de AP-voorzitter met zijn oproep dat klanten van Nebu een overtreding hebben begaan. Floor Terra, senior advisor bij de Privacy Company, vraagt zich af of Wolfsens stellingname bedoeld is als een waarschuwing tegen het uitbesteden van it. ‘Moet iedereen maar weer zelf hosten?’ De AP-voorzitter suggereert volgens beide critici dat het inhuren van Nebu door marktonderzoekers als Blauw Research mogelijk onrechtmatig en onzorgvuldig was.
Floor Terra vindt dat Wolfsen een foute inschatting maakt. Volgens hem trekt Wolfsen met zijn oproep verantwoordelijken die het slachtoffer zijn geworden van een hacker gelijk met verantwoordelijken die de AVG overtreden. Terra vindt het kwalijk dat Wolfsen de slachtoffers van de datalek opjut om de marktonderzoekers die even goed slachtoffer zijn, voor de rechter te dagen. Volgens hem geeft Wolfsen betrokkenen valse hoop. Want dit soort zaken brengen hoge juridische kosten met zich mee, de bewijslast is pittig en de schadevergoedingen zijn doorgaans bescheiden. Bovendien vindt Terra het verkeerd als Wolfsen een claimcultuur gaat bevorderen terwijl de rechtbanken overvoerd zijn met werk. De AP kan beter zichtbaar handhaven op niet gemelde datalekken.
Meldplicht
Daarentegen zou de AP volgens Terra prioriteit moeten geven aan het naleven van de meldplicht. Terra: ‘In plaats daarvan laat de AP keer op keer zien vooral meer druk te willen leggen bij degenen die relatief transparant zijn. Dat is een schadelijke houding voor de toezichthouder én de compliance.’
Terra wijst erop dat Blauw Research transparant was over de inbreuk. Vorige week donderdag bepaalde de rechter dat Nebu Blauw Research volledig moet informeren over de datalek en zijn contracten moet naleven. Maar nog altijd is niet duidelijk of en welke data van opdrachtgevers zoals NS en VodafoneZiggo zijn gelekt. Blauw zag bijna alle vorderingen door de rechter toegewezen.
Volgens het vonnis moet Nebu binnen twee werkdagen alle beschikbare informatie verstrekken over de cyberaanval, het herstellen van de systemen, de data-exfiltratie, de aanvallers en de maatregelen na het incident. Bovendien moet Nebu twee maanden lang dagelijks een update geven. Verder bepaalde de rechter dat Nebu een externe partij een onafhankelijk forensisch onderzoek moet laten doen naar de oorzaak van de hack, de mate waarin data zijn gelekt en de getroffen maatregelen. Voor elke dag dat Nebu niet aan deze verplichtingen voldoet, moet de saas-leverancier aan Blauw 25.000 euro betalen.