Gepubliceerd op woensdag 19 april 2023
IT 4254
Rechtbank Rotterdam ||
4 apr 2023
Rechtbank Rotterdam 4 apr 2023, IT 4254; ECLI:NL:RBROT:2023:2931 (Blauw tegen Nebu), https://itenrecht.nl/artikelen/gedaagde-heeft-informatieplicht-over-cyberaanval

Gedaagde heeft informatieplicht over cyberaanval

Rb. Rotterdam 4 april 2023, IT 4254; ECLI:NL:RBROT:2023:2931 (Blauw tegen Nebu) Civiel recht. De partijen in deze zaak zijn Blauw Research B.V., een marktonderzoeksbureau, en Nebu, een ICT-bedrijf. Op 10 en 11 maart vond er een cyberaanval plaats op de servers van Nebu, waarbij data is ontvreemd door de aanvallers. Omdat Nebu diensten en software levert aan Blauw, eist Blauw dat Nebu meer informatie verstrekt over de cyberaanval.

Op basis van de Data Processing Agreement (DPA) tussen Nebu en Blauw, is Nebu verplicht om Blauw direct op de hoogte te stellen van incidenten met betrekking tot de verwerking van persoonsgegevens. Blauw vordert daarom in het kort geding informatie over de cyberaanval, de gevolgen ervan en de maatregelen die Nebu heeft genomen.

De rechtbank oordeelt dat Blauw recht heeft op de gevraagde informatie op grond van hun overeenkomst. Blauw heeft een rechtmatig belang om de situatie goed te kunnen onderzoeken en zo nodig passende maatregelen te nemen. De rechtbank houdt echter ook rekening met de bezwaren van Nebu. Het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, moeten volgens de rechter ruim worden uitgelegd op basis van de DPA.

5.2. Op grond van artikel 5.1 van de DPA is Nebu verplicht om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens en om de instructies van Blauw in een dergelijk geval op te volgen. Het is niet in geschil dat de cyberaanval van maart 2023 onder de reikwijdte van dit artikel valt. Tussen partijen is wel in geschil tot hoever het instructierecht van Blauw onder artikel 5.1 van de DPA reikt. Blauw staat een ruime uitleg van deze bepaling voor, Nebu bepleit een (iets) beperktere uitleg.

5.3. Naar het voorlopig oordeel van de voorzieningenrechter moet het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim worden uitgelegd. Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen. Nebu beschikt als gevolg van de samenwerking met Blauw over persoonsgegevens van een groot aantal mensen (‘een substantieel deel van de Nederlandse bevolking’, zoals Blauw onbetwist stelt). De gevolgen van een (mogelijk) datalek van die gegevens kunnen groot zijn. Daarmee verhoudt zich niet dat het instructierecht beperkt wordt uitgelegd.