29 jan 2025
Rechtbank schakelt deskundige in bij datalekgeschil
Rb. Rotterdam 29 januari 2025, IT 4780; ECLI:NL:RBROT:2025:1497 (Blauw tegen Nebu) Blauw is een marktonderzoeksbureau. Nebu is een softwareontwikkelingsbedrijf gericht op het faciliteren van het doen van marktonderzoeken en data collection. Blauw maakt sinds 2013 gebruik van de diensten van Nebu. In 2018 hebben partijen een door Blauw opgestelde Data Processing Agreement ondertekend. In de periode van vrijdag 10 tot en met zaterdag 11 maart 2023 heeft zich bij Nebu een veiligheidsincident voorgedaan. Bij dat incident zijn mogelijk data van Blauw betrokken geraakt die zij bij Nebu had opgeslagen. Blauw stelt dat Nebu tekortgeschoten is in het treffen van voldoende beveiligingsmaatregelen, zoals Multi-Factor Authenticatie (MFA) en datascheiding, en dat Nebu na het incident niet adequaat heeft gecommuniceerd. Blauw vordert onder andere een verklaring voor recht dat Nebu aansprakelijk is voor de geleden schade en een schadevergoeding van € 505.803,15. Daarnaast vordert Blauw dat de overeenkomst met Nebu rechtsgeldig is ontbonden wegens wanprestatie. Nebu betwist de vorderingen en stelt dat zij adequaat heeft gehandeld en dat de beveiligingsmaatregelen ten tijde van het incident conform de gangbare normen waren.
De rechtbank stelt vast dat partijen uiteenlopende visies hebben op de gangbaarheid van MFA en de gebruikelijke wijze van datascheiding in de periode voorafgaand aan het incident. Ook hun standpunten over het effect dat MFA, al dan niet in combinatie met scheiding van data van klanten, in dit geval had gehad lopen zeer uiteen. Voor het verkrijgen van die duidelijkheid over deze kwestie is voorlichting door een onafhankelijke deskundige nodig. De rechtbank is voornemens 5 vragen te stellen aan een deskundige met specialistische kennis op het gebied van beveiliging van persoonsgegevens in de zakelijke sfeer.
4.31. De rechtbank is van oordeel dat kan worden volstaan met de benoeming van één deskundige. Het zal daarbij in beginsel dienen te gaan om een deskundige met specialistische kennis op het gebied van beveiliging van persoonsgegevens in de zakelijke sfeer. De rechtbank is, tegen de achtergrond van hetgeen hiervoor is overwogen, voornemens de volgende vragen aan de deskundige voor te leggen:
1. Wat was begin 2023 voor een zorgvuldig handelend dienstverlener/(sub)verwerker in de zin van de AVG op de Nederlandse markt, gebruikelijk in de branche als het gaat om de beveiliging van persoonsgegevens, in het bijzonder ten aanzien van datascheiding en MFA, dan wel een combinatie van beide? Maakt het daarbij verschil dat het gaat om een klant van de (sub)verwerker die marktonderzoek doet waarbij veel persoonsgegevens van natuurlijke personen (waaronder medische gegevens) worden opgeslagen en verwerkt? In hoeverre was sprake van een ‘common practice’?
2. a. Als in dit geval zowel MFA als datascheiding conform het in vraag 1 bedoelde gebruik als maatregel zou zijn ingesteld, wat was dan de kans dat het incident als beschreven in 2.8 had plaatsgevonden? Waren de gevolgen van het incident voor de persoonsgegevens waarvan Blauw verwerker was in dat geval anders geweest dan zij in de feitelijk opgetreden situatie zijn geweest? Zo ja, in welk opzicht?
b. Hoe luidt uw antwoord op deze vraag als alleen MFA of alleen datascheiding conform de norm van vraag 1 zou zijn ingesteld? Graag uw antwoorden toelichten.3. Was het, gezien de stand van de techniek en de gebruiken in de markt begin 2023, mogelijk geweest om het incident eerder te ontdekken dan op 11 maart 2023 om 8:30 uur? Was een eerdere melding van dat incident aan Blauw dan op 11 maart 2023 om 10:51 uur mogelijk en zinvol geweest? Kon er op 11 maart 2023 om 10:51 uur meer en anders aan Blauw worden bericht dan Nebu toen heeft gedaan (zie voor de inhoud van de melding 2.9). Zo nee, waarom niet? Zo ja, wat dan? Graag uw antwoord toelichten.
4. Was het op 24 maart 2023 na intern onderzoek vaststellen dat sprake was van een incident dat had geleid tot een inbreuk in verband met persoonsgegevens, voor een zorgvuldig handelend dienstverlener naar de situatie van begin 2023, vaststelling binnen een redelijke termijn? Graag uw antwoord toelichten.
5. Zijn er nog andere punten die u naar voren wilt brengen waarvan de rechtbank volgens u kennis dient te nemen?
