Uitspraak
RECHTBANK MIDDEN-NEDERLAND
Zittingsplaats Utrecht
Bestuursrecht
zaaknummer: UTR 24/885
uitspraak van de voorzieningenrechter van 26 maart 2024 in de zaak tussen
Northwave Nederland B.V., uit Utrecht, verzoekster
(gemachtigde: mrs. L.P.W. Mensink en C. Plaizier),
en
Autoriteit Persoonsgegevens, de AP
(gemachtigde: mrs. E. Nijhof en W. van Steenbergen).
Procesverloop
In het primaire besluit van 24 februari 2024 (bestreden besluit) heeft de AP aan verzoekster een last onder dwangsom opgelegd.
Verzoekster heeft tegen dit besluit bezwaar gemaakt. Tevens heeft zij de voorzieningenrechter verzocht om een voorlopige voorziening te treffen inhoudende dat de aan haar opgelegde last wordt geschorst tot twee weken na de beslissing op bezwaar.
De AP heeft op het verzoek gereageerd met een verweerschrift.
De voorzieningenrechter heeft het verzoek op 12 maart 2024 op zitting behandeld. Hieraan hebben deelgenomen: namens verzoekster [A] , [B] en [C] en de gemachtigden van verzoekster en de gemachtigden van de AP en [D] .
Totstandkoming van het besluit
1. Verzoekster is een bedrijf dat publieke en private organisaties helpt die slachtoffer zijn van georganiseerde cybercriminaliteit, meestal in de vorm van ransomware.
1.1.
Op 25 augustus 2023 ontvangt de AP een melding van een grote hostingprovider over een datalek. De hostingprovider deelt de AP mee dat zij verzoekster heeft ingeschakeld om onderzoek te doen naar het incident. AP heeft de hostingprovider verzocht om het onderzoeksrapport van verzoekster zodra dit gereed is aan AP te overleggen. De hostingprovider deelt in een telefoongesprek met de AP mee niet het gehele onderzoeksrapport te willen overleggen. Hierop heeft de AP bij brief van 27 september 2023 inlichtingen gevorderd op grond van artikel 58 van de Algemene verordening gegevensbescherming (AVG) in samenhang gelezen met artikel 5:16 van de Awb. De gevorderde inlichtingen betreffen een kopie van de executive summary van het onderzoeksrapport en een kopie van het volledige onderzoeksrapport die door verzoekster zijn opgesteld. De hostingprovider legt vervolgens een brief van verzoekster van 10 oktober 2023 en een appendix aan de AP over. Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan.
1.2.
De AP heeft sterke twijfels over de juistheid van de mededeling van de hostingprovider en wendt zich vervolgens tot verzoekster. Verzoekster deelt gemotiveerd mee fundamentele bezwaren te hebben tegen het overleggen van informatie van de hostingprovider en stelt hierover graag in gesprek te willen gaan met de AP. De AP gaat hier aanvankelijk in mee en er wordt een afspraak gemaakt voor 11 januari 2024. Die afspraak vindt geen doorgang, omdat de AP verhinderd is en het gesprek wordt verplaatst naar 1 februari 2024. De AP houdt wel vast aan de datum van 19 januari 2024 voor het verstrekken van inlichtingen. Verzoekster deelt hierop mee dat zij, mede in het licht van de overige eerder aangegeven bezwaren, in de aanloop naar de bespreking op 1 februari 2024 geen reden ziet om documentatie aan de AP te verstrekken onder de inlichtingenvordering. Hierop annuleert de AP het op 1 februari 2024 geplande gesprek en draagt het dossier van verzoekster over aan de afdeling handhaving. Bij brief van 23 januari 2024 stuurt de AP naar verzoekster een voornemen tot het opleggen van een last onder dwangsom. Na een zienswijzezitting op 1 februari 2024 neemt AP op 12 februari 2024 het bestreden besluit.
Beoordeling door de voorzieningenrechter
2. De voorzieningenrechter wijst het verzoek toe. Hierna legt de voorzieningenrechter uit hoe hij tot dit oordeel komt en welke gevolgen dit oordeel heeft. Het oordeel van de voorzieningenrechter heeft een voorlopig karakter en bindt de rechtbank in een (eventueel) bodemgeding niet.
3. De spoedeisendheid staat hier niet ter discussie, omdat het uitvoering (moeten) geven aan de last voor verzoekster onomkeerbare gevolgen heeft.
4. De voor de beoordeling van het verzoek belangrijke wet- en regelgeving is in de bijlage bij deze uitspraak te vinden.
5. De voorzieningenrechter beoordeelt bij de vraag of een voorlopige voorziening zal treffen of het bezwaar een redelijke kans van slagen heeft. Dat kan een reden zijn om het bestreden besluit te schorsen.
6. De voorzieningenrechter stelt vast dat gelet op artikel 5:20, eerste lid, van de Awb, de AP de bevoegdheid heeft inlichtingen te vorderen en dat verzoekster in beginsel daaraan medewerking moet verlenen. Dit artikel immers bepaalt dat een ieder verplicht is aan een toezichthouder binnen de door hem gestelde termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn verplichtingen. De bevoegdheid van de toezichthouder wordt echter wel begrensd door het evenredigheidsbeginsel zoals geformuleerd in artikel 5:13 van de Awb, waarin is bepaald dat een toezichthouder van zijn bevoegdheden slechts gebruik maakt voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.
7. Partijen zijn het erover eens dat de inlichtingen die de AP bij verzoekster vordert verband houdt met de toezichtsbevoegdheid die de AP heeft ten aanzien van de hostingprovider.
8. Wat partijen verdeeld houdt is de vraag of redelijkerwijs nodig is dat de AP ter uitvoering van zijn taken als toezichthouder inlichtingen vordert bij een derde die niet is onderworpen aan het toezicht door de AP.
9. Verzoekster heeft hierover aangevoerd dat de inlichtingenvordering van de AP niet evenredig is. De hostingprovider is het voorwerp van het onderzoek, zodat het in de rede ligt dat AP zich tot haar wendt. Er bestaat in beginsel geen aanleiding om ook jegens anderen toezichtsbevoegdheden aan te wenden. Dit volgt ook uit de wetsgeschiedenis. [1] Op de zitting heeft verzoekster hier nog aan toegevoegd dat ook uit artikel 58 van de AVG in combinatie met artikel 16 van de UAVG volgt dat de AP zich in eerste instantie tot de normadressaat moet richten en dat als ze zich richten tot een andere partij daar een goede reden voor moet zijn. De AP moet informatie opvragen bij degene jegens wie zij haar toezichthoudende bevoegdheden gebruikt.
10. De AP heeft toegelicht dat zij meent dat het niet zinvol is om een last onder dwangsom bij de hostingprovider op te leggen, omdat de hostingprovider stelt alle gevraagde documenten overgelegd te hebben, terwijl zij dat niet hebben gedaan. Een bezoek van toezichthouders aan (het hoofdkantoor van) de hostingprovider kost verder veel inzet en tijdsverloop sinds het incident speelt ook een rol. Als de hostingprovider het risico verkeerd heeft ingeschat dan zijn er getroffenen die in totale onwetendheid verkeren en bestaat risico op schade. Daarom vindt de AP het gerechtvaardigd om de benodigde informatie via verzoekster op te vragen en bij weigering medewerking daaraan te verlenen een last onder dwangsom op te leggen.
11. De voorzieningenrechter is van oordeel dat de AP zich ter uitvoering van haar bevoegdheden in eerste instantie moet wenden tot de normadressaten die in artikel 58, eerste lid, onder a, van de AVG zijn genoemd. In dit geval is de hostingprovider de normadressaat. De voorzieningenechter is verder van oordeel dat de AP ten aanzien van de hostingprovider zijn bevoegdheden ter uitvoering van zijn toezichthoudende taak moet uitoefenen en dat de AP dat niet uitputtend heeft gedaan. De AP heeft dan ook niet aannemelijk gemaakt dat de hostingprovider bij (bijvoorbeeld) het opleggen van een last onder dwangsom de gevorderde informatie niet alsnog zou hebben overgelegd. De voorzieningenrechter vindt het ook niet goed verklaarbaar dat de AP niet eerst een last onder dwangsom aan de hostingprovider heeft opgelegd, de AP had in haar brief van 2 november 2023 aan de hostingprovider immers aangekondigd een last onder dwangsom op te leggen bij het niet voldoen aan de medewerkingsplicht.
Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider. Een grondslag voor het opleggen van een last onder dwangsom bij verzoekster ontbreekt derhalve vooralsnog.
12. Gelet hierop heeft het bezwaar van verzoekster naar het voorlopige oordeel van de voorzieningenrechter een redelijke kans van slagen en schorst de voorzieningenrechter de werking van het bestreden besluit tot twee weken na het besluit op bezwaar.
13. De overige aangevoerde punten behoeven nu geen bespreking. De door AP aangevoerde belangen geven de voorzieningenrechter geen aanleiding voor een ander oordeel.
Conclusie en gevolgen
14. De voorzieningenrechter wijst het verzoek toe en treft de voorlopige voorziening dat het besluit van 12 februari 2024 is geschorst tot twee weken na bekendmaking van de beslissing op bezwaar.
15. Omdat de voorzieningenrechter het verzoek toewijst moet de AP het griffierecht aan verzoekster vergoeden. Daarom krijgt verzoekster ook een vergoeding van haar proceskosten. De AP moet deze vergoeding betalen. De vergoeding is met toepassing van het Besluit proceskosten bestuursrecht als volgt berekend. Voor de rechtsbijstand door een gemachtigde krijgt verzoekster een vast bedrag per proceshandeling. De gemachtigde heeft het verzoekschrift ingediend en aan de zitting deelgenomen. Elke proceshandeling heeft een waarde van € 875,-. De vergoeding bedraagt dan in totaal € 1.750,-.
Beslissing
De voorzieningenrechter:
- wijst het verzoek toe;
- schorst het bestreden besluit tot twee weken na bekendmaking van de beslissing op bezwaar;
- bepaalt dat de AP het griffierecht van € 371,- aan verzoekster moet vergoeden;
- veroordeelt de AP tot betaling van € 1.750,- aan proceskosten aan verzoekster.
Deze uitspraak is gedaan door mr. J.J. Catsburg, voorzieningenrechter, in aanwezigheid van mr. L.M. Janssens-Kleijn, griffier. De uitspraak is uitgesproken in het openbaar op 26 maart 2024.
griffier
voorzieningenrechter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Tegen deze uitspraak staat geen hoger beroep of verzet open.
Bijlage
Algemene wet bestuursrecht
Artikel 5:13
Een toezichthouder maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.
Artikel 5:16
Een toezichthouder is bevoegd inlichtingen te vorderen.
Artikel 5:20
1 Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
(…)
Verordening (EU) 2016/679/Algemene verordening gegevensbescherming
Artikel 58 Bevoegdheden
1. Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
a. a) de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
(…)
Uitvoeringswet Algemene verordening gegevensbescherming
Artikel 16 Last onder bestuursdwang
1. De Autoriteit persoonsgegevens kan een last onder bestuursdwang opleggen ter handhaving van de bij of krachtens de verordening of deze wet gestelde verplichtingen.
(…)