Vorig jaar werd een hostingprovider getroffen door een cyberaanval. De provider meldt het datalek tijdig bij de Autoriteit Persoonsgegevens (AP) en schakelt een derde partij in voor nader onderzoek. So far, so good. Als de AP echter het onderzoeksrapport opvraagt, komt er onvoldoende reactie van de hostingprovider. Daarom klopt de toezichthouder aan bij het securitybedrijf dat het onderzoek uitvoerde en legt zelfs een last onder dwangsom op. Dat mag zomaar niet, aldus de rechtbank…
Datalek bij hostingprovider
In de zomer van 2023 wordt een hostingprovider getroffen door een cyberaanval. Dit datalek meldt de provider bij de Autoriteit Persoonsgegevens (AP). Daarbij wordt vermeldt dat er een derde partij is ingeschakeld om onderzoek te doen naar het incident.
De derde partij betreft een securitybedrijf, dat organisaties bijstaat die slachteroffer zijn van onder meer cyberaanvallen.
De toezichthouder geeft de hostingprovider te kennen het onderzoeksrapport over de cyberaanval te willen ontvangen. De hostingprovider wil echter niet het volledige rapport overleggen, maar de AP eist een kopie van het volledige rapport. Uiteindelijk ontvangt de AP een brief die opgesteld is door het securitybedrijf en een appendix.
De AP dreigt vervolgens met een last onder dwangsom aan het adres van de hostingprovider in de hoop alle opgevraagde documentatie te ontvangen. De provider beweert echter dat de AP met de brief en de appendix het volledige rapport ontvangen heeft.
Dat gelooft de AP niet….
Dwangsom opgelegd aan derde partij
De toezichthouder besluit vervolgens om het onderzoeksrapport op te vragen bij het door de hostingprovider ingeschakelde securitybedrijf. Dit bedrijf geeft bij de AP aan fundamentele bezwaren te hebben tegen het overleggen van informatie van de hostingprovider, maar staat open voor een gesprek.
Uiteindelijk vindt dit gesprek nooit plaats, maar besluit de AP wel een last onder dwangsom op te leggen aan deze derde partij om het rapport alsnog in handen te krijgen. Daarop stapt het securitybedrijf naar de rechter.
Rechtbank fluit toezichthouder terug
De rechter bepaalt dat de Autoriteit Persoonsgegevens op grond van de AVG de bevoegdheid heeft om inlichtingen te vorderen en dat het securitybedrijf in beginsel daaraan medewerking moet verlenen.
De AVG legt echter ook het evenredigheidsbeginsel voor aan de toezichthouder. Dit houdt in:
‘dat een toezichthouder van zijn bevoegdheden slechts gebruik maakt voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.’
Voor het uitoefenen van de bevoegdheid moet de toezichthouder zich in eerste instantie wenden tot de zogenaamde normadressaat, in dit geval de hostingprovider. De rechter vindt het dan ook vreemd dat de Autoriteit Persoonsgegevens een last onder dwangsom oplegt aan de derde partij, maar niet aan de hostingprovider.
Het datalek is vastgesteld bij de hostingprovider en die zou de opgevraagde informatie dan ook ter beschikking moeten stellen. De rechter vindt dat de AP eerst alle mogelijke moeite moet doen om de informatie op te vragen bij de hostingprovider, alvorens zich te richten tot een derde partij.
Daarom wordt het securitybedrijf in het gelijk gesteld.
Blijft op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen in ICT-recht? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mail.