De Nederlandse (semi-)overheid heeft veel data gegeven aan een kleine bv die in handen is van een grote buitenlandse multinational. Veel van die data werden gestolen. Nu komt de nasleep. Want hoe zit het met de bestuurlijke verantwoordelijkheid en de schadeclaims van meer dan honderd miljoen euro? Deel 7 van de serie over informatiebeveiliging in de zorg.
Een kleine bv, Clinical Diagnostics Nederland, werd slachtoffer van een ransomware-aanval. De persoons- en onderzoeksgegevens van zo’n miljoen Nederlanders werden gestolen. Het losgeld is betaald, maar de messen worden al geslepen voor de volgende ronde: de schadeclaims, die kunnen oplopen tot 125 miljoen euro. Het bv-tje is namelijk één van de 950 laboratoria wereldwijd van het beursgenoteerde Eurofins. En het kreeg al die data van Nederlandse (semi-)overheidsorganisaties. Wie is er dan eigenlijk aansprakelijk (te stellen) en wie draait er voor die schadeclaims op? Computable vroeg het aan Stephan Mulders, advocaat bij Blenheim en gespecialiseerd in het Privacyrecht.
Alle focus is nu op dat lab, een kleine Nederlandse bv, maar het is een dochteronderneming van de grote multinational Eurofins. Wie is dan de eindverantwoordelijke voor een schadeclaim?
‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar. Het ligt eraan wie verwerkingsverantwoordelijke of verwerker is. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking bepaalt. Dat zou normaal gesproken het lab zelf zijn, omdat die bepaalt hoe de gegevens worden verwerkt. Soms worden die beslissingen hoger in de organisatie genomen, bijvoorbeeld door het hoofdkwartier.
De NIS2 verordening kent aanvullende bestuurdersaansprakelijkheid indien onvoldoende beveiligingsmaatregelen genomen zijn. Het is echter onbekend hoe de NIS2 zich verhoudt tot het AVG-schadebegrip. Het bestuur kan ook volgens het normale recht aansprakelijk zijn als sprake is van wanbeleid. Dat is echter wel een hoge norm.’
Het lab gaf zelf aan niet gecertificeerd te zijn voor NEN7510 en NEN7512, de wettelijke normen voor informatiebeveiliging in de zorg. In hoeverre maakt dat het Bevolkingsonderzoek mede-aansprakelijk?
‘Zorgaanbieders zijn inderdaad wettelijk verplicht om zich aan deze NEN-normen te houden. Ze hoeven niet per se gecertificeerd te zijn, maar moeten zich wel aan de normen houden. De overtreding van deze Nederlandse wet is niet per se een overtreding van de AVG. De AVG vereist namelijk enkel dat er passende beveiligingsmaatregelen genomen worden. Het ligt voor de hand daarbij aan te sluiten bij de algemeen aanvaarde NEN-normen, maar dat hoeft niet. Soms heb je extra beveiligingsmaatregelen nodig, soms kom je met minder weg. Of het Bevolkingsonderzoek mede-aansprakelijk is voor de gebrekkige beveiligingsmaatregelen hangt af van twee factoren.
In de eerste plaats in hoeverre het Bevolkingsonderzoek (gezamenlijk) verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens door het lab. Zoals al aangegeven is het lab normaal gesproken alleen verwerkingsverantwoordelijke, maar het kan in specifieke gevallen anders zijn. Als het Bevolkingsonderzoek (gezamenlijk) verwerkingsverantwoordelijke is, dan is zij hoofdelijk aansprakelijk.
En in de tweede plaats, als je gegevens overdraagt moet je ook enigszins rekening houden met de gevolgen van die overdracht. Als je dus weet dat iemand de gegevens niet goed beveiligt, en je draagt de gegevens toch over, dan kun je daarvoor aansprakelijk zijn. Een dergelijke claim is wél veel lastiger dan directe aansprakelijkheid.’
Hoe en voor hoeveel zijn de bestuurders van het lab, moeder Eurofins, en het Bevolkingsonderzoek aansprakelijk?
‘Normaal gesproken is alleen het lab aansprakelijk. Er zijn wel uitzonderingen waarin andere partijen aansprakelijk kunnen worden gesteld. Zo’n claim is echter veel lastiger dan een normale claim. Rechtspersonen en beperkte aansprakelijkheid bestaan namelijk niet voor niets, en dat wordt niet makkelijk doorbroken.
Het moederbedrijf kan aansprakelijk worden gesteld indien het (gezamenlijk) verwerkingsverantwoordelijke is.
De bestuurders en feitelijk leidinggevenden kunnen aansprakelijk zijn op grond van bestuurdersaansprakelijkheid of de NIS2. Dan moet je dus aantonen dat er onvoldoende beveiligingsmaatregelen zijn genomen, of dat er wanbeleid is gevoerd. Meestal zijn die bestuurders verzekerd voor dergelijke claims, tot op zekere hoogte.’
Het lab had in principe alleen de bsn’s nodig om testresultaten te koppelen aan personen. Toch kreeg het van bijvoorbeeld het Bevolkingsonderzoek alle gegevens daarachter. Hoe zit het als men (ongevraagd?) veel meer vertrouwelijke gegevens doorgeeft dan noodzakelijk?
‘Het Bevolkingsonderzoek is in principe verwerkingsverantwoordelijke voor de overdracht van de gegevens. Als diej dus meer gegevens overdraagt dan nodig, dan kan dat een onrechtmatige verwerking van persoonsgegevens vormen.
Om schadevergoeding te kunnen vorderen moet er echter een causaal verband bestaan tussen de overmatige overdracht (onrechtmatige verwerking) en de ontstane schade (het datalek). Een dergelijk causaal verband wordt lastiger aan te tonen als de verwerking en de schade verder uit elkaar liggen, omdat de schade ook redelijkerwijs toe te rekenen moet zijn aan de onrechtmatige verwerking. In dit geval zou je als advocaat van de duivel kunnen betogen dat het op voorhand niet voorzienbaar was dat de overmatige overdracht zou leiden tot een datalek. Daar kun je weer tegen in brengen dat het Bevolkingsonderzoek had kunnen weten dat het lab niet NEN-gecertificeerd is.
Overigens kan het zijn dat er een goede reden was om meer gegevens dan het bsn over te dragen. Het criterium voor ‘noodzakelijk’ is namelijk dat het beoogde resultaat niet redelijkerwijs met minder bezwarende middelen kan worden bereikt. Als het Bevolkingsonderzoek dus een goede reden had om deze gegevens mee te sturen, bijvoorbeeld omdat het lab de uitslagen direct aan de betrokkene stuurt, dan mochten die gegevens gewoon verzonden worden.’
Het lijkt erop dat het lab de gegevens niet eens versleuteld had, wat weer doet vermoeden dat de brongegevens die het ontving van bijvoorbeeld het Bevolkingsonderzoek dat ook niet waren. Hoe kan zoiets aangetoond worden?
‘In principe moet de verwerkingsverantwoordelijke (het lab en/of het Bevolkingsonderzoek) aantonen dat er voldoende beveiligingsmaatregelen zijn genomen. Een eiser heeft daarnaast diverse mogelijkheden om bewijs te vergaren. Zo gaan diverse inspecties (AP, IGJ) de kwestie onderzoeken, die rapporten kunnen via een WOO-verzoek openbaar worden gemaakt. Verder kan de rechter op verzoek een deskundige aanwijzen die dit onderzoekt. En getuigen kunnen worden gehoord. In principe moet iedereen die wordt opgeroepen, getuigen. Dus ook de ciso van het lab kan als getuige worden opgeroepen. Die kan vast antwoord geven op die vragen.’
De andere delen van deze serie zijn hier te vinden.
Is de labhackschade te verhalen?
Het mogelijk grootste datalek ooit in Nederland maakt veel los. Persoons- en medische gegevens van zo’n miljoen Nederlanders werden gestolen. De reacties op sociale media waren fel, mede door de zakelijke toon van de brief waarmee slachtoffers werden geïnformeerd. Als de schuldvraag is beantwoord zal de schadevraag volgen. Hoewel de impact groot lijkt, is het juridisch vaak lastig om schade na een inbreuk op de Algemene verordening gegevensbescherming (AVG) te bewijzen. Het traditionele schadebegrip sluit slecht aan bij de digitale realiteit.
De inbreuk
Een datalek is op zichzelf geen overtreding van de AVG. Artikel 32 AVG verplicht verwerkingsverantwoordelijken tot het nemen van ‘passende maatregelen’ om persoonsgegevens te beveiligen, niet tot het volledig uitsluiten van incidenten. Wat passend is, wordt bepaald via een risicoanalyse, waarbij kosten en uitvoerbaarheid worden meegewogen.
Omdat het laboratorium zeer gevoelige gegevens verwerkte, mocht een hoog beveiligingsniveau worden verwacht. Toch kan zelfs dan een datalek optreden. Volgens het arrest C‑340/21 moet de verwerkingsverantwoordelijke aantonen dat destijds een zorgvuldige risicoafweging is gemaakt en passende maatregelen zijn genomen. Het datalek kan een aanwijzing zijn van onvoldoende beveiliging, maar is geen sluitend bewijs. Voor dit betoog wordt aangenomen dat de beveiliging tekortschiet en er dus sprake is van een inbreuk op de AVG.
Schade naar Nederlands recht
Op grond van C‑300/21 moet schade worden aangetoond. In dit geval zijn zeer gevoelige persoonsgegevens buitgemaakt, waaronder bsn’s en medische uitslagen, naast contactgegevens. Er is circa 300 GB aan data gestolen, een klein deel (100 MB) is op het darkweb verschenen. Wat er met de rest is gebeurd, is onbekend.
Onder Nederlands aansprakelijkheidsrecht moet schade in causaal verband staan met de overtreding. Dat verband is moeilijk te bewijzen, omdat persoonsgegevens jarenlang bruikbaar blijven en vaak niet is vast te stellen welke gegevens zijn misbruikt. Identiteitsfraude kan jaren later plaatsvinden. Persoonlijkheidsschade wordt door de Hoge Raad alleen erkend in uitzonderlijk ernstige gevallen (onder andere de Groninger Nieuwjaarsrellen en Baby Kelly).
Europees recht: ruimer schadebegrip
Het Hof van Justitie heeft bepaald dat ‘schade’ autonoom moet worden uitgelegd (C‑300/21), los van nationaal recht. Daarbij kunnen ook minder tastbare vormen van schade worden vergoed, zoals:
– Privacyschade: gevoelige informatie is bij onbevoegden terechtgekomen, wat de persoonlijke levenssfeer raakt (C‑746/18).
– Angstschade: gegronde vrees voor toekomstig misbruik (C‑340/21, C‑687/21).
– Verlies van controle: het onvermogen om te bepalen wat er met de eigen gegevens gebeurt (C‑456/22, T‑354/22).
In overweging 75 AVG worden expliciet vormen van schade genoemd, zoals verlies van gegevens onder beroepsgeheim, identiteitsdiefstal (C‑182/22) en verlies van controle (C‑456/22).
Traditionele regels versus digitale realiteit
‘Het klassieke aansprakelijkheidsrecht schiet tekort bij datalekken. Digitale gegevens zijn eenvoudig te kopiëren, onbeperkt houdbaar en vaak onzichtbaar in gebruik. Daardoor zijn risico’s en nadelen moeilijk te vangen in het traditionele schadebegrip,’ legt Stephan Mulders, advocaat bij Blenheim, uit.
‘Een breder Europees schadebegrip kan dit gat dichten. Het voorkomt dat negatieve gevolgen volledig bij de betrokkene terechtkomen, terwijl organisaties de baten van gegevensverwerking incasseren. Door potentiële schadevergoedingen mee te nemen in hun afwegingen, zullen verwerkingsverantwoordelijken kritischer kijken naar het verzamelen van gevoelige gegevens en eerder investeren in beveiliging.’
‘Zo kan een ruimer schadebegrip niet alleen zorgen voor betere compensatie, maar ook als preventieve prikkel dienen om datalekken te voorkomen.’
