-

Hack of datalek? Het IT-bedrijf dat je data beheert en jijzelf zijn beide aanspreekbaar

Het stijgende aantal meldingen van cyberaanvallen baart de Autoriteit Persoonsgegevens zorgen. De afhandeling laat vaak nog te wensen over. Let op: als je je gegevens door een IT-bedrijf laat beheren en dáár vindt een hack plaats, dan ben je zelf desalniettemin aanspreekbaar door slachtoffers.

De Autoriteit Persoonsgegevens maakt zich zorgen over de blijvende stijging van het aantal gemelde cyberaanvallen. Dat schrijft zij in haar Datalekkenrapportage 2021 (pdf). Met name IT-leveranciers blijken kwetsbaar. De AP schat het aantal betrokkenen waarvan persoonsgegevens zijn gelekt in die branche op 7 miljoen.

Dit komt uiteraard doordat bedrijfsprocessen tegenwoordig sterk afhankelijk zijn van digitale processen. Organisaties en bedrijven (AVG: “verwerkingsverantwoordelijken”) besteden hun IT-diensten vaak uit aan een IT-leverancier (AVG: “verwerker”). Denk bijvoorbeeld aan het leveren van softwareapplicaties en de daarvoor noodzakelijke datahosting.

Gestructureerde opslag

Daar komt bij dat de AVG zowel verwerkingsverantwoordelijken, als verwerkers vergaande verplichtingen oplegt bij het gebruik van persoonsgegevens. Het gevolg daarvan is weer dat de opslag van persoonsgegevens heel gestructureerd plaatsvindt. Het opslaan en het bundelen van persoonsgegevens in grote databestanden is eerder regel dan uitzondering. De AVG-verplichting dat organisaties op de hoogte dienen te zijn van hun datastromen en, op individueel niveau, van welke persoonsgegevens zij van hun klanten bewaren, is daar debet aan.

Cyberincidenten hebben daardoor al snel een grote impact op de bedrijfsvoering van organisaties. Door het hacken van die grote, veelal goed doorzoekbare databestanden, worden bedrijfsprocessen ernstig belemmerd en soms zelfs stilgelegd. Grote hoeveelheden persoonsgegevens kunnen daardoor op straat komen te liggen.

Slachtoffers informeren

De AP ziet dat de prioriteit bij getroffen organisaties vaak ligt bij het herstellen van de processen. Wellicht met de gedachte: vroeger lagen de persoonsgegevens met het telefoonboek ook gewoon op straat en daar was niet eens een hack voor nodig. Toch vindt de AP het van belang dat een organisatie de “slachtoffers” (zoals de AP ze graag noemt) van een cyberincident zo snel mogelijk informeert. Dit om de slachtoffers in staat te stellen zichzelf tegen de gevolgen van een datalek te beschermen.

Wanneer inloggegevens bij een hack zijn buit gemaakt, is dit ook zeker noodzakelijk, ook al is het gebruik van de term “slachtoffers” in dat geval nog altijd wat overtrokken: slachtoffer wordt je pas als je met de buitgemaakte persoonsgegevens schade wordt toegebracht. Wellicht komt dit door het feit dat in de rechtspraak al herhaaldelijk is bepaald dat reeds het verlies van controle over je persoonsgegevens recht kan geven op schadevergoeding.

AVG-verplichtingen bij datalek

De informatieverplichtingen die bij een zogeheten datalek gelden zijn als volgt: allereerst is het van belang dat de meldplicht bij een datalek in eerste instantie rust bij de verwerkingsverantwoordelijke, dus ook als de verwerkingsverantwoordelijke gebruik maakt van de diensten van een IT-bedrijf en de hack bij het IT-bedrijf heeft plaatsgevonden.

De AVG verplicht de IT-leverancier als verwerker wel om de verwerkingsverantwoordelijke zo snel mogelijke te informeren over een datalek. Ook is de IT-leverancier verplicht om de verwerkingsverantwoordelijke te helpen bij een datalek. Het is daarom belangrijk dat een IT-leverancier de verwerkingsverantwoordelijke adequaat, transparant en volledig op de hoogte stelt van het datalek en met name de oorzaak (root cause) ervan. Verwerkingsverantwoordelijken moeten namelijk op basis van die informatie de afweging maken of zij het datalek moeten melden bij de toezichthouder en/of de betrokkenen. Ook moet zij in staat worden gesteld te bepalen welke maatregelen zij zelf nemen om het datalek te beëindigen en/of negatieve gevolgen ervan te beperken.

Niet adequaat en transparant

De AP constateert in haar rapport dat IT-leveranciers vaak niet adequaat en transparant communiceren naar verwerkingsverantwoordelijken. De oorzaken verschillen volgens de AP. Soms willen IT-leveranciers wachten tot een uitgebreid onderzoek naar het datalek is afgerond. Ook zijn ze bang voor reputatieschade en onrust bij hun klanten. De AP geeft echter aan dat dit voor haar geen goede redenen zijn. Zij stelt: “IT-leveranciers spelen een belangrijke rol in de meldplicht aan de slachtoffers en de meldplicht aan de AP door de verwerkingsverantwoordelijke. Wanneer IT-leveranciers de verwerkingsverantwoordelijken niet direct en volledig informeren, kan dat ertoe leiden dat IT-leveranciers de AVG overtreden.”

Les vanuit de praktijk

Werkt de verwerker niet mee of geeft zij niet volledig openheid van zaken, dan is het zaak voor de verwerkingsverantwoordelijke (dat ben je als e-commercebedrijf dus vaak zelf) om de touwtjes in handen te nemen en dien je zelf bij de IT-leverancier een onderzoek naar het datalek in te stellen. Als de IT-leverancier de verwerkingsverantwoordelijke voor dit doel de toegang tot haar systemen weigert, dan kan dit in een kortgedingprocedure worden afgedwongen.

Over de auteur: Sil Kingma is advocaat bij Cordemeyer & Slager Advocaten.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

2 Reacties

Peter Kulche

Interessante link in je artikel, naar vonnis schadevergoeding. Bedankt!

Sil Kingma - Cordemeyer & Slager Advocaten

Graag gedaan Peter. Alvast een mooi weekend.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond