In een verwerkersovereenkomst worden normaliter afspraken gemaakt omtrent de verwerking van persoonsgegevens voor verwerkingsverantwoordelijken door de verwerker. In de verwerkersovereenkomst staan onder andere afspraken over het beheer en de bescherming van persoonsgegevens. Wat nu als de verwerker wordt getroffen door een cyberaanval en als gevolg hiervan sprake is van een datalek? Is een verwerker verplicht om de verwerkingsverantwoordelijke hierover te informeren? Deze vraag stond centraal in het onderhavige kort geding. Lees hieronder meer.
De casus
De partijen in deze zaak zijn Blauw Research B.V. (hierna: Blauw), een marktonderzoeksbureau, en Nebu, een ICT-bedrijf. Blauw liet verschillende persoonsgegevens, zoals resultaten van marktonderzoeken, verwerken door Nebu. Nebu werd vervolgens slachtoffer van een cyberaanval waarbij de aanvallers diverse persoonsgegevens hebben kunnen inzien. Blauw eiste informatie van Nebu over de cyberaanval om erachter te komen welke persoonsgegevens precies inzichtelijk zijn geweest voor de aanvallers. Nebu weigerde echter om deze informatie aan Blauw te verstrekken. Nebu wilde namelijk geen bedrijfsgevoelige informatie prijsgeven. Blauw stapte als gevolg hiervan naar de rechter om deze informatie alsnog te krijgen.
Oordeel rechter
De rechtbank oordeelde dat Blauw op grond van de gesloten verwerkersovereenkomst recht heeft op de gevraagde informatie. Blauw heeft namelijk een rechtmatig belang om de situatie goed te kunnen onderzoeken en zo nodig passende maatregelen te nemen. Wel hield de rechtbank rekening met de bezwaren van Nebu dat de gevraagde informatie van Blauw te omvangrijk is.
Het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, moeten volgens de rechter op basis van de verwerkersovereenkomst ruim worden uitgelegd. Dit betekent dat Nebu niet verplicht is om alle informatie van het datalek te verstrekken, maar alleen die informatie die noodzakelijk is voor Blauw om haar rechtmatige belang te kunnen behartigen. Nebu moet dus duidelijk aangeven welke informatie zij niet kan of wil verstrekken en dit motiveren.
Les voor praktijk
Deze kwestie benadrukt het belang van de informatieplicht van de verwerker in het geval van een datalek. Verwerkingsverantwoordelijken moeten erop kunnen vertrouwen dat hun verwerker hen tijdig informeert bij een datalek.
Deze zaak laat echter ook zien dat de verwerker niet verplicht is om alle informatie omtrent het lek te verstrekken. Er moet rekening worden gehouden met de belangen van beide partijen. Dit betekent dat de verwerkingsverantwoordelijke niet onbeperkt recht heeft op alle informatie, maar alleen op die informatie die noodzakelijk is voor haar rechtmatig belang en verplichtingen.
De verwerker kan bijvoorbeeld het type persoonsgegevens (zonder verdere gevoelige bedrijfsinformatie) vermelden dat betrokken is geweest bij een datalek. Dit stelt de verwerkingsverantwoordelijke in staat om gepaste maatregelen te nemen en om de risico's/schade voor de betrokkenen te beperken.
Heeft u vragen over informatieplichten voor verwerkers bij datalekken? Neem dan gerust contact met ons op.