Rechtbank Rotterdam (Rb. Rotterdam) slår fast att ett personuppgiftsbiträde som drabbas av en cyberattack måste lämna all information till den personuppgiftsansvarige för att denne ska kunna utreda attacken, uppdatera den personuppgiftsansvarige om läget minst dagligen och informera den personuppgiftsansvarige när ny information finns tillgänglig.
Av domen framgår att marknadsundersökningsföretaget Blauw Research B.V. (den personuppgiftsansvarige) tecknat ett personuppgiftsbiträdesavtal med programvaruleverantören Nebu B.V. (personuppgiftsbiträdet). Den 10-11 mars 2023 drabbades personuppgiftsbiträdet av en cyberattack genom vilken tredje part fick obehörig tillgång till företagets servrar och uppgifter extraherades. Personuppgiftsbiträdet informerade den personuppgiftsansvarige om detta två dagar efter att attacken ägde rum. Den personuppgiftsansvarige begärde mer information och personuppgiftsbiträdet bekräftade att uppgifter (lösenord) stulits och att personuppgifter (lagrade i molndatabaser och enkäter) läckt ut. Efter att upprepade gånger ha begärt information efter att den personuppgiftsansvarige inte varit nöjd med personuppgiftsbiträdets svar, vände sig den personuppgiftsansvarige till Rb. Rotterdam.
Under förfarandet förklarade den personuppgiftsansvarige att företaget ansåg att personuppgiftsbiträdet enligt personuppgiftsbiträdesavtalet alltid måste tillhandahålla information om säkerhetsincidenter och dataintrång. Den personuppgiftsansvarige hävdade också att den information som lämnats efter cyberattacken inte var tillräcklig för att uppfylla kraven i avtalet. Personuppgiftsbiträdet invände mot detta påstående.
Till följd av detta yrkade den personuppgiftsansvarige på att ålägga personuppgiftsbiträdet att tillhandahålla information om i) detaljerna kring cyberattacken, ii) hur och med vilka metoder systemet återställdes efter attacken, iii) en översikt över vilka kunders personuppgifter som läckt ut, iv) vilka som utfört attacken, v) vilka förebyggande och reaktiva tekniska och organisatoriska åtgärder som vidtagits, och vi) intern rapportering inom personuppgiftsbiträdets organisation om den cyberattack som har ägt rum.
Den personuppgiftsansvarige yrkade även att personuppgiftsbiträdet i framtiden, inom fyra timmar efter det att ny information finns tillgänglig, överföra denna information till den personuppgiftsansvarige och skicka en uppdatering av läget två gånger om dagen (kl. 14:00 och kl. 19:00). Vidare yrkade den personuppgiftsansvarige att personuppgiftsbiträdet utser en extern revisor för att ta reda på orsaken till incidenten, och tillhandahålla all nödvändig hjälp och besvara alla frågor från den personuppgiftsansvarige. Vid bristande efterlevnad begärde den personuppgiftsansvarige ett vite på 25 000 euro per dag med ett maximalt belopp på 500 000 euro. Personuppgiftsbiträdet ansåg att detta belopp var orimligt.
Rb. Rotterdam slog fast att personuppgiftsbiträdet måste tillhandahålla all begärd information för att den personuppgiftsansvarige ska kunna utreda cyberincidenten på ett korrekt sätt. När det gäller kravet på att informera den personuppgiftsansvarige om ny information inom fyra timmar konstaterade Rb. Rotterdam att detta kommer att gälla endast när i) en ny cyberattack inträffar, ii) ny information visar att den personuppgiftsansvariges personuppgifter har äventyrats, eller iii) information om förövarna är känd. I alla andra fall verkade en uppdatering två gånger om dagen vara överdriven och Rb. Rotterdam ansåg att en daglig uppdatering kl. 18.00 var tillräckligt.
När det gäller personuppgiftsbiträdets skyldighet att utse en extern revisor bekräftade Rb. Rotterdam att den personuppgiftsansvarige inom ramen för sin rätt att ge personuppgiftsbiträdet instruktioner kan utse en extern revisor för att kontrollera om personuppgifterna behandlas på ett säkert sätt.
Slutligen ansåg Rb. Rotterdam att beloppet 25 000 euro per dag inte var orimligt och lade till det i domen.