Datalek te laat gemeld

Op 10 en 11 maart 2023 vindt er een groot datalek plaats bij Nebu, waarbij veel verschillende bedrijven (waaronder de NS) die zaken doen met Nebu werden geraakt.

Nebu is een ICT dienstverlener, die software levert waarmee marktonderzoeken kunnen worden gedaan. In deze marktonderzoeken zijn persoonsgegevens opgenomen. Blauw is een marktonderzoeksbureau, die de software van Nebu afneemt.

Nebu kiest ervoor om het datalek van 10 en 11 maart (nog)niet te melden aan haar klanten, waaronder aan Blauw. Zij geeft aan haar klanten aan dat er sprake is van een storing in haar dienstverlening en daarom alle diensten offline worden gehaald.

Pas op 14 maart 2023 geeft Nebu aan dat er een cyberaanval heeft plaatsgevonden in haar productieomgeving en kondigt zij forensisch onderzoek aan.

Nebu verstrekt de informatie over de cyberaanval echter zeer beperkt en gefragmenteerd. De correspondentie tussen Blauw en Nebu laat het volgend beeld zien:

• 15 maart 2023: diverse vragen van advocaten van Blauw
• 20 maart 2023: kondigt Nebu een herstart aan, maar geeft geen informatie over de cyberaanval
• 24 maart 2023: melding van Nebu dat er wachtwoorden ontvreemd waren en dat de cyberaanval heeft geleid tot (zoals zij dat cryptisch omschrijft) een “ data breach of surveys and data stored in the cloud databases”
• 25 en 26 maart 2023: volgt weer een verzoek om nadere info door advocaten van Blauw
• 27 maart 2023: Nebu bevestigt pas aan Blauw dat er een ransomware aanval plaats heeft gevonden en dat er data was gestolen door de aanvallers. Derden kregen toegang tot de servers van Nebu en informatie kon worden gedownload.

Blauw en Nebu hebben een overeenkomst gesloten. In deze overeenkomst heeft Blauw met Nebu expliciet afgesproken dat zij meteen bericht krijgt van een beveiligingsincident (datalek) en dat zij nauw zullen samenwerken om het datalek te onderzoeken.

Aangezien Nebu niet, althans niet voldoende meewerkt, vordert Blauw in kort geding alle informatie en medewerking van Nebu onder verbeurte van zware dwangsommen.

De rechter in kort geding bepaalt dat de bepaling in de overeenkomst tussen Nebu en Blauw ruim dient te worden uitgelegd met dien verstande dat Nebu niet verplicht kan worden om gevoelige bedrijfsinformatie te verstrekken.

Vervolgens wijst de rechter de vorderingen van Blauw grotendeels toe en veroordeelt Nebu om aan Blauw alle relevante informatie te verstrekken. Nebu wordt door de rechter ook bevolen om een onafhankelijk forensisch onderzoek te laten uitvoeren.

Tips:

1. Zorg ervoor dat je een (verwerkers)overeenkomst hebt, welke op jouw situatie is toegesneden en ook in jouw belang is;
2. Weet welke verplichtingen je als verwerkingsverantwoordelijke of als verwerker (subverwerker) hebt en handel ook daarnaar.

Zie ook onze toolbox op het download platform. 

Heb je vragen over dit onderwerp of een gerelateerd onderwerp? Neem dan contact op via 088-1331133 of stuur een mail naar service@deraadgevers.nl