Rechter: AP moet informatie ophalen bij bron datalek, niet bij IT-dienstverlener

In kort geding (1) heeft cybersecuritybedrijf Northwave een overwinning behaald tegen de Autoriteit Persoonsgegevens (AP). De voorzieningenrechter heeft geoordeeld dat de AP niet gerechtigd was om Northwave te vorderen inlichtingen te verstrekken met betrekking tot een datalekonderzoek van één van hun cliënten, een hostingprovider die slachtoffer was van een cyberaanval afgelopen zomer. De rechter schorste de opgelegde last onder dwangsom aan Northwave tot twee weken na de beslissing op bezwaar, in afwachting van verdere beoordeling.

Deze zaak draaide om de principiële vraag of de AP in staat is om informatie te eisen van een derde partij, zoals Northwave, die niet direct onderwerp is van het onderzoek maar wel diensten verleent aan de onderzochte entiteit. Het incident in kwestie vond plaats vorig jaar, toen de hostingprovider Northwave inschakelde om te reageren op en herstellen van een cyberaanval.

De AP, op zoek naar meer informatie over het incident, was niet tevreden met de reacties van de hostingprovider en besloot Northwave te benaderen met een vordering voor het verstrekken van inlichtingen, ondanks dat Northwave niet de primaire focus van het onderzoek was. Dit besluit stuitte op weerstand van Northwave.

Cees Plaizier, advocaat van Northwave, lichtte de beslissing van de rechter toe op LinkedIn (1): “De voorzieningenrechter was duidelijk in zijn oordeel dat de Autoriteit Persoonsgegevens zich eerst tot de hostingprovider had moeten wenden, zoals ook wordt aangegeven in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Het feit dat de AP niet eerst alle mogelijke middelen heeft ingezet om de informatie van de hostingprovider te verkrijgen, zoals een last onder dwangsom of een onderzoek ter plaatse, is volgens de rechter onverklaarbaar.”

Plaizier benadrukte verder het belang van deze uitspraak voor de cybersecuritybranche: “Cybersecuritybedrijven zoals Northwave spelen een cruciale rol in de strijd tegen cybercriminaliteit in Nederland. Het is van vitaal belang dat deze organisaties hun werk kunnen doen zonder onnodige inmenging van toezichthouders. Deze beslissing ondersteunt de positie dat toezichthouders zich moeten richten op de entiteiten die onder hun directe toezicht staan, en niet op de dienstverleners die hen bijstaan.”

De uitspraak van de voorzieningenrechter heeft een voorlopig karakter en is niet bindend voor eventuele latere procedures. Echter, het zet een duidelijk precedent over hoe de AP zijn toezichthoudende bevoegdheden moet uitoefenen, met name in de context van cyberveiligheidsincidenten en datalekken.

(1) https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBMNE:2024:1804

(2) https://www.linkedin.com/feed/update/urn:li:activity:7183068391102947328/