Uitspraak
vonnis
RECHTBANK ROTTERDAM
Team handel en haven
zaaknummer / rolnummer: C/10/655051 / KG ZA 23-243
Vonnis in kort geding van 6 april 2023
in de zaak van
de besloten vennootschap met beperkte aansprakelijkheid
BLAUW RESEARCH B.V.,
gevestigd te Rotterdam,
eiseres,
advocaten mrs. V. van Druenen, C.R.F. Plaizier en F.L.M. van de Wetering te Amsterdam,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
NEBU B.V.,
gevestigd te Wormerveer,
gedaagde,
advocaten mrs. J.G. Reus, T.J.M. de Weerd en A.M. van Aerde te Amsterdam.
Partijen worden hierna Blauw en Nebu genoemd.
1..De zaak in het kort
1.1.
Blauw is een marktonderzoeker die gebruik maakt van de ICT-dienstverlening van Nebu. Op 10 en 11 maart 2023 vond er een cyberaanval plaats op de servers van Nebu. Daarbij is data ontvreemd door de aanvallers. Dit heeft inmiddels ertoe geleid dat verschillende bedrijven, waaronder de NS en VodafoneZiggo, een groot aantal klanten hebben gewaarschuwd dat er persoonsgegevens (mogelijk) op straat zijn komen te liggen.
1.2.
In dit kort geding vordert Blauw nadere informatie van Nebu over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Ook vraagt zij om een onafhankelijk forensisch onderzoek. Nebu betwist niet dat zij informatie moet verschaffen aan Blauw, maar heeft bezwaren tegen (de omvang van) de gevraagde maatregelen.
1.3.
De vorderingen van Blauw worden grotendeels toegewezen, deels in afgezwakte vorm. Hierna wordt uitgelegd waarom.
2..De procedure
2.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 28 maart 2023 en de akte met producties 1 tot en met 31 van Blauw;
- de akte eiswijziging (eisvermeerdering) van Blauw;
- de akte met aanvullende producties 32 tot en met 55 van Blauw;
- de mondelinge behandeling van 4 april 2023;
- de pleitnota van Blauw;
- de pleitnota van Nebu.
2.2.
De dag na de mondelinge behandeling hebben partijen getracht een regeling te treffen. Dit is niet gelukt.
2.3.
Ten slotte is vonnis bepaald.
3..De feiten
3.1.
Blauw is een marktonderzoeksbureau. Zij voert onder meer klanttevredenheidsonderzoeken uit voor haar klanten.
3.2.
Nebu is een ICT-bedrijf. Zij ontwikkelt onder meer software voor marktonderzoeksbureaus om (digitale) vragenlijsten uit te zetten en gerichter marktonderzoek te doen. Nebu is onderdeel van het Enghouse-concern.
3.3.
Blauw maakt gebruik van de diensten en software van Nebu. Nebu verwerkt daarbij persoonsgegevens als bedoeld in de Algemene verordening gegevensbescherming (hierna: AVG).
3.4.
Blauw en Nebu hebben in maart 2018 een verwerkingsovereenkomst als bedoeld in artikel 28 lid 3 van de AVG gesloten, genaamd de Data Processing Agreement (hierna: de DPA).
3.5.
De DPA bepaalt onder meer:
“5. Duty of disclosure and incident management
5.1 [
Nebu] immediately notifies [Blauw] of any incident in relation to the processing of personal data. In the event of an incident, [Nebu] will fully cooperate with [Blauw] and follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, [Nebu] will notify [Blauw] at least within 24 hours after an incident occurring.
5.2
The term "incident" as used in this article includes but is not limited to:
a) every unauthorised or unlawful processing, removal or loss of personal data;
b) every violation of the security or confidentiality as stipulated in articles 3 and 4 of this processor's agreement, which results in unlawful processing, removal or loss of personal data, or any indication that such violation will occur or has occurred.
5.3 [
Nebu] has procedures and protocols in place that enable him to give [Blauw] an immediate response to an incident, and to effectively work with [Blauw] in order to investigate the incident, to respond to it and to deal with it. On [Blauw]'s first request, [Nebu] will provide [Blauw] with copies of such procedures and protocols.”
3.6.
Op 10 en 11 maart 2023 is Nebu door een cyberaanval getroffen. Derden hebben daarbij toegang gekregen tot servers van Nebu en er is informatie gedownload. Op dit moment is niet bekend of gegevens van Blauw en haar klanten (en hun klanten) is ontvreemd.
3.7.
Op 13 maart 2023 meldde Nebu aan Blauw en andere klanten van Nebu dat er sprake is van een storing in haar dienstverlening waardoor haar diensten offline gehaald zijn. Ook stuurde zij die dag meerdere updates. Daarin werd nog niet gemeld dat er sprake was van een cyberaanval of een (mogelijk) datalek.
3.8.
Op 14 maart 2023 heeft Blauw Nebu om nadere informatie verzocht. Meer specifiek vroeg zij of er data was gelekt.
3.9.
Op 14 maart 2023, 23:13 uur, heeft Nebu Blauw en andere klanten van Nebu bericht dat op vrijdag 10 maart 2023 een cyberaanval heeft plaatsgevonden op de productieomgeving van Nebu in Nederland en dat de diensten daardoor niet beschikbaar waren. Nebu kondigde daarbij een forensisch onderzoek aan.
3.10.
Op 15 maart 2023 en de dagen erna stelden Blauw en later haar advocaat bij herhaling (bijna dagelijks) vragen aan Nebu over de cyberaanval en de gevolgen ervan en/of drongen zij aan op een spoedige beantwoording.
3.11.
Nebu zond op 20 maart 2023 een update aan Blauw en andere klanten van Nebu over de herstart van haar RDP (remote desktop protocol) dienstverlening. De update bevat geen informatie over de cyberaanval. Op 21 maart 2023 schreef Nebu aan Blauw dat zij op dit moment geen andere informatie had om te verstrekken dan de informatie uit de update.
3.12.
Nebu verstrekte op 24 maart 2023 een update aan Blauw en andere klanten van Nebu. Daar stond onder meer dat er wachtwoorden ontvreemd waren en dat Nebu had vastgesteld dat de cyberaanval had geleid tot ‘
a data breach of surveys and data stored in the cloud databases’.
a data breach of surveys and data stored in the cloud databases’.
3.13.
De advocaat van Blauw vroeg naar aanleiding van deze laatste update op 25 maart 2023 om nadere informatie. Op 26 maart 2023 vroeg de advocaat van Blauw om een bevestiging of de gemelde
data breachbetekende dat er data was ontvreemd door de aanvallers.
data breachbetekende dat er data was ontvreemd door de aanvallers.
3.14.
In een e-mail van 27 maart 2023 bevestigde Nebu aan Blauw dat er sprake was van een
ransomware-software en dat er data was geëxfiltreerd (lees: gestolen) door de aanvallers. Ook ging Nebu in die e-mail (kort) in op de door Nebu genomen maatregelen.
ransomware-software en dat er data was geëxfiltreerd (lees: gestolen) door de aanvallers. Ook ging Nebu in die e-mail (kort) in op de door Nebu genomen maatregelen.
3.15.
Vanaf 27 maart 2023 hebben de advocaat van Blauw en Nebu verder gemaild, waarbij Blauw nadere informatie vroeg en Nebu meer informatie verschafte.
3.16.
Nebu heeft een intern onderzoek uitgevoerd naar de cyberaanval. Een rapport daarvan heeft zij op de mondelinge behandeling van dit kort geding aan Blauw overhandigd.
4..Het geschil
4.1.
Blauw vordert, na eiswijziging, om bij vonnis uitvoerbaar bij voorraad:
1) Nebu te veroordelen om binnen één werkdag na het wijzen van het vonnis de volgende informatie over het in de dagvaarding beschreven beveiligingsincident aan Blauw te verstrekken:
( i) alle beschikbare informatie met betrekking tot de cyberaanval, met inbegrip van een volledige weergave van de
initial accessen de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen tot en met het door Nebu offline brengen van haar systemen in reactie op de aanval;
initial accessen de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen tot en met het door Nebu offline brengen van haar systemen in reactie op de aanval;
(ii) alle beschikbare informatie over het herstellen van de systemen van Nebu, met inbegrip van de methode en
toolingdie gebruikt is voor het 'scannen' van de systemen op resterende malafide software, data en overige kwetsbaarheden;
toolingdie gebruikt is voor het 'scannen' van de systemen op resterende malafide software, data en overige kwetsbaarheden;
(iii) alle beschikbare informatie over (het onderzoek naar) de data exfiltratie, met inbegrip van de indicatoren die wijzen op data-exfiltratie, de analyse van die indicatoren en welke data van Blauw en/of haar klanten is ge-exfiltreerd;
(iv) alle beschikbare informatie over de aanvallers, met inbegrip van de analyse van Nebu ten aanzien van de handelswijze van de aanvallers, een toelichting op de afwegingen die Nebu heeft gemaakt ten aanzien van de keuze om geen contact met de aanvallers op te nemen en het toezenden van de ransomnote, althans het door Nebu gevonden tekstbestand dat door de aanvallers is achtergelaten op haar systemen, evenals enige andere berichten die zij heeft ontvangen van de aanvallers;
( v) alle beschikbare informatie over de door Nebu getroffen en voorgenomen technische en organisatorische maatregelen naar aanleiding van het incident, met inbegrip van interne en externe aanbevelingen daarover en de status van opvolging daarvan;
(vi) alle beschikbare informatie en bevindingen uit het interne onderzoek naar het incident;
2) Nebu te veroordelen om nieuwe informatie ten aanzien van of verband houdend met het in de dagvaarding beschreven beveiligingsincident onverwijld en in ieder geval binnen 4 uur na het bekend worden daarvan schriftelijk aan Blauw mede te delen;
3) Nebu te veroordelen om gedurende vier weken na het wijzen van het vonnis of zoveel langer als ten aanzien van het in de dagvaarding beschreven beveiligingsincident relevante ontwikkelingen plaatsvinden twee maal dagelijks schriftelijk een update te verstrekken aan Blauw over:
( i) alle relevante ontwikkelingen met betrekking tot het beveiligingsincident,
(ii) het naar de oorzaak en de (mogelijke) gevolgen daarvan verrichte forensisch onderzoek, en
(iii) een beantwoording van alle eventuele vragen van Blauw met betrekking tot het incident,
elke dag om 11:00 en 19:00 uur Nederlandse tijd;
4) Nebu te veroordelen binnen 24 uur na het wijzen van het vonnis aan Blauw een kopie beschikbaar te stellen van het door haar naar aanleiding van haar interne onderzoek naar het incident opgestelde rapport (voor zover daarvan sprake is), waarin zo nodig persoonsgegevens mogen worden geanonimiseerd;
5) Nebu te veroordelen om:
a. onmiddellijk na het wijzen van het vonnis een externe partij opdracht te geven een onafhankelijk forensisch onderzoek uit te voeren naar:
(i) de oorzaak (
root cause) van het incident,
root cause) van het incident,
(ii) de mate waarin data-exfiltratie heeft plaatsgevonden en
(iii) de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval, en
b. het definitieve rapport waarin de uitkomsten van dit onderzoek zijn beschreven op te leveren binnen vier weken na de datum van het wijzen van het vonnis,
met bepaling dat de door Nebu aan te wijzen partij (aantoonbare) expertise en kwalificaties op het gebied van cybersecurity en het uitvoeren van forensische onderzoeken in die context dient te bezitten;
6) Nebu te veroordelen binnen 24 uur nadat het rapport van het onder (5) bedoelde onderzoek beschikbaar is gekomen aan Blauw een kopie van dat rapport beschikbaar te stellen, waarin zo nodig persoonsgegevens mogen worden geanonimiseerd;
7) Nebu te veroordelen om alle gegevens, informatie en documentatie, in welke vorm dan ook (waaronder digitaal), die op dit moment beschikbaar is of op een later moment beschikbaar komt met betrekking tot het incident, beschikbaar te houden voor door haar zelf en/of Blauw uit te voeren forensisch (tegen) onderzoek, waaronder - maar niet beperkt tot - de volgende gegevens:
a. met betrekking tot de
computer(laptop) waarmee toegang is verkregen: (i) de Windows Systems system logs, (ii) jumplists (weergave van recent of veelvuldig gebruikte documenten), (iii) shellbags (informatie over een geopende map), (iv) autorun items, (v) LNK bestanden (door Windows automatisch aangemaakt wanneer een map of bestand wordt geopend of programma uitgevoerd), (vi) geheugen, (vii) prefetch bestanden, (viii) registry, (ix) prullenbak en (x) Windows services;
computer(laptop) waarmee toegang is verkregen: (i) de Windows Systems system logs, (ii) jumplists (weergave van recent of veelvuldig gebruikte documenten), (iii) shellbags (informatie over een geopende map), (iv) autorun items, (v) LNK bestanden (door Windows automatisch aangemaakt wanneer een map of bestand wordt geopend of programma uitgevoerd), (vi) geheugen, (vii) prefetch bestanden, (viii) registry, (ix) prullenbak en (x) Windows services;
b. met betrekking tot de
perimeter: (i) de proxylogs en (ii) de in- en uitgaande FW logs;
perimeter: (i) de proxylogs en (ii) de in- en uitgaande FW logs;
c. met betrekking tot de
Nebu core infrastructuur: (i) de active directory tijdlijn, (ii) authenticatie logging, (iii) applicatie logging, (iv) data loss prevention ("DLP") logging, (v) event logging, (vi) file integrity monitoring ("FIM") logging, (vii) Honeypot logs, (viii) SQL Server ("MSSQL") logs, (ix) Powershell loggs, (x) task scheduler logs en (xi) Windows Management lnstrumentation ("WMI") logs; en
Nebu core infrastructuur: (i) de active directory tijdlijn, (ii) authenticatie logging, (iii) applicatie logging, (iv) data loss prevention ("DLP") logging, (v) event logging, (vi) file integrity monitoring ("FIM") logging, (vii) Honeypot logs, (viii) SQL Server ("MSSQL") logs, (ix) Powershell loggs, (x) task scheduler logs en (xi) Windows Management lnstrumentation ("WMI") logs; en
d. met betrekking tot het
Google Cloud Platform ("GCP"): (i) admin activity log, (ii) data access audit log, (iii) system event audit log, (iv) policy denied audit log (log van gefaalde toegangspogingen) en (v) SQL logs.
Google Cloud Platform ("GCP"): (i) admin activity log, (ii) data access audit log, (iii) system event audit log, (iv) policy denied audit log (log van gefaalde toegangspogingen) en (v) SQL logs.
8) Nebu te veroordelen om onverwijld en in elk geval binnen 24 uur na een verzoek daartoe van Blauw alle overige door Blauw in verband met het incident benodigde medewerking te verlenen;
9) Nebu voor ieder van deze vorderingen afzonderlijk te veroordelen tot betaling van een dwangsom van EUR 25.000,00 voor iedere dag dat Nebu daaraan niet voldoet, met een maximum van EUR 500.000,00, althans een door de voorzieningenrechter in goede justitie vast te stellen dwangsom, en
10) Nebu te veroordelen in de proces- en nakosten, te vermeerderen met rente.
4.2.
Nebu voert verweer. Het verweer strekt tot afwijzing van de vorderingen.
4.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
5..De beoordeling
Spoedeisend belang
5.1.
De spoedeisendheid van dit kort geding volgt uit de aard van de ingestelde vorderingen.
Uitgangspunt voor de beoordeling
5.2.
Op grond van artikel 5.1 van de DPA is Nebu verplicht om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens en om de instructies van Blauw in een dergelijk geval op te volgen. Het is niet in geschil dat de cyberaanval van maart 2023 onder de reikwijdte van dit artikel valt. Tussen partijen is wel in geschil tot hoever het instructierecht van Blauw onder artikel 5.1 van de DPA reikt. Blauw staat een ruime uitleg van deze bepaling voor, Nebu bepleit een (iets) beperktere uitleg.
5.3.
Naar het voorlopig oordeel van de voorzieningenrechter moet het instructierecht van Blauw en de verplichting van Nebu om daaraan gevolg te geven, ruim worden uitgelegd. Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen. Nebu beschikt als gevolg van de samenwerking met Blauw over persoonsgegevens van een groot aantal mensen (‘een substantieel deel van de Nederlandse bevolking’, zoals Blauw onbetwist stelt). De gevolgen van een (mogelijk) datalek van die gegevens kunnen groot zijn. Daarmee verhoudt zich niet dat het instructierecht beperkt wordt uitgelegd.
5.4.
De voorzieningenrechter is dan ook van oordeel dat instructies van Blauw door Nebu onder artikel 5.1 van de DPA moeten worden opgevolgd, tenzij:
(i) redelijkerwijs niet valt in te zien dat dit nodig is voor de doelstelling van artikel 5.1 van de DPA (zoals blijkend uit de derde volzin van dit artikel), of
(ii) Blauw apert onredelijke eisen stelt, bijvoorbeeld onredelijk korte termijnen.
Vordering 1 (verstrekking van alle thans beschikbare informatie)
5.5.
Blauw vordert Nebu allereerst te veroordelen om informatie te verstrekken over het incident dat zich in maart 2023 bij Nebu heeft voorgedaan. Aan Nebu kan worden toegegeven dat de vordering ruim is geformuleerd. De voorzieningenrechter volgt Blauw echter in haar redenering dat zij genoodzaakt was haar vorderingen op deze manier te formuleren omdat zij voorafgaand aan dit kort geding beperkte informatie van Nebu had gekregen.
5.6.
Tegen deze achtergrond wordt als volgt geoordeeld over de verschillende sub-vorderingen 1.(i) tot en met 1.(vi).
- i) Vordering 1.(i) ziet op de vraag wat er is gebeurd tijdens de cyberaanval. Het mag duidelijk zijn dat Blauw recht heeft op deze informatie. Deze vordering zal dan ook worden toegewezen op de wijze zoals hierna verwoord.
- ii) Met vordering 1.(ii) wordt informatie gevraagd over hoe en met welke methoden het systeem is hersteld. Deze vordering wordt ook toegewezen, omdat het voor Blauw van belang is om te weten of haar data nu veilig is.
- iii) Met de vordering onder 1.(iii) wil Blauw achterhalen van welke klanten persoonsgegevens zijn gelekt, of misschien beter gezegd: de juistheid van de conclusie van Nebu dat niet is vast te stellen of er persoonsgegevens van klanten van Blauw zijn gelekt, controleren. De onzekerheid hierover is voor hen een wezenlijk probleem. Deze vordering zal dus worden toegewezen, zeker nu op zitting is aangegeven dat Blauw een lijst van haar klanten zekerheidshalve zal verstrekken aan Nebu (op deze manier kunnen problemen met de uitvoering van dit vonnis worden voorkomen).
- iv) Het gevorderde onder 1.(iv) ziet op de vraag wie de daders van de cyberaanval zijn. Blauw heeft een rechtmatig belang bij deze informatie, zodat ook deze vordering wordt toegewezen. Deze informatie kan haar immers helpen om een inschatting te maken van het risico van het datalek.
- v) De vordering onder 1.(v) is het verlengde van de vordering onder 1.(ii), namelijk dat Blauw kan controleren of haar data nu veilig zijn. Deze vordering zal worden toegewezen op de wijze zoals hierna wordt vermeld.
- vi) Vordering 1.(vi) ziet op het verstrekken van informatie uit de interne rapportage. Ter zitting is de interne rapportage van Nebu verstrekt, maar de data en gegevens die ten grondslag liggen aan de bevindingen in het rapport van Nebu zijn niet verstrekt. Het is niet onredelijk dat Blauw deze gegevens wil ontvangen en de vordering zal dan ook worden toegewezen.
5.7.
Bij het voorgaande heeft de voorzieningenrechter meegewogen dat er tot dus ver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of zelfs maar is gestart. Dit maakt het eerder redelijk dat Blauw informatie wil hebben dan in de situatie dat Nebu direct een onafhankelijk onderzoek had gelast. Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg. De voorzieningenrechter gaat er overigens vanuit dat Blauw op prudente manier zal omgaan met de informatie die zij als gevolg van dit vonnis zal verkrijgen.
Vordering 2 en 3.(i) en (ii) (verstrekking van toekomstige informatie) [1]
5.8.
Vordering 2 en 3.(i) en (ii) lenen zich voor een gezamenlijke behandeling, omdat het steeds gaat om informatie die nog moet worden verkregen. Blauw vraagt op dit punt naar het oordeel van de voorzieningenrechter te veel. De vorderingen komen er op neer dat Nebu steeds onverwijld en in ieder geval binnen vier uur na bekendwording nieuwe informatie over het incident aan Blauw moet verstrekken en daarnaast twee keer per dag een update moet sturen. Gegeven de huidige stand van zaken - de cyberaanval was enkele weken geleden en de dienstverlening van Nebu aan Blauw ligt stil - komt dit overmatig voor, behalve als het gaat om (i) een nieuwe cyberaanval, (ii) informatie waaruit blijkt of gegevens van Blauw al dan niet zijn ontvreemd bij de cyberaanval en (iii) informatie over de identiteit van de daders. Voor de overige informatie over de cyberaanval acht de voorzieningenrechter een dagelijkse update om 18:00 uur Nederlandse tijd redelijk.
5.9.
Dit betekent dat vorderingen 2 en 3.(i) en (ii) worden toegewezen op de wijze zoals hierna verwoord.
Vordering 4 (verstrekking van de interne rapportage van Nebu)
5.10.
Op de mondelinge behandeling van dit kort geding heeft Nebu haar interne rapportage overgelegd. Daarmee is aan vordering 4 voldaan en hoeft deze geen verdere behandeling.
Vordering 5 en 6 (benoeming onafhankelijke forensisch onderzoeker)
5.11.
Blauw vordert dat een externe partij onafhankelijk onderzoek doet naar de oorzaak van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval. Nebu heeft ter zitting verklaard dat zij nog niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd. Dit betekent dat het Nebu in een termijn van enkele weken niet is gelukt om dit zelf te achterhalen. Onder deze omstandigheid, gelet ook op het grote aantal persoonsgegevens waar het in deze kwestie om gaat en in het licht van de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, schaart de voorzieningenrechter de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de DPA. Dat Blauw onder de DPA ervoor kan kiezen zelf een audit te laten doen bij Nebu, doet hieraan niet af. Vordering 5 zal dus worden toegewezen zoals hierna vermeld.
5.12.
Blauw vordert verder dat het rapport van de onderzoeker, zodra het gereed is, aan Blauw wordt verstrekt. Blauw heeft een rechtmatig belang bij het verkrijgen van dit rapport voor zover dit betrekking heeft op Blauw en haar klanten. Blauw kan vanzelfsprekend geen aanspraak maken op afgifte van een rapport waarin informatie is opgenomen die Blauw niet aangaat, dus als het gaat over andere klanten van Nebu. Nebu kan het rapport op dat punt onleesbaar maken. Dat geldt ook voor de namen van werknemers van Nebu of andere betrokkenen. De naam van de deskundige mag niet worden weggelaten.
Vordering 7 (beschikbaar houden van bepaalde bestanden)
5.13.
Blauw vordert een veroordeling om alle gegevens, informatie en documentatie die nu beschikbaar zijn of op een later moment beschikbaar komen, beschikbaar te houden. Nebu heeft ter zitting verklaard de beschikbare informatie die er nu is, beschikbaar te zullen houden. Deze vordering wordt dan ook toegewezen op de wijze zoals hierna is vermeld. De opsomming van de te bewaren gegevens bij de hierna opgenomen veroordeling is bewust limitatief gehouden, om onduidelijkheden bij de uitvoering van dit vonnis te voorkomen. Het opleggen van een dwangsom als prikkel tot nakoming acht de voorzieningenrechter gezien de toezegging van Nebu niet passend en geboden.
Vordering 8 (medewerking in de toekomst) en vordering 3(iii) (beantwoording van alle eventuele vragen van Blauw)
5.14.
Blauw vordert Nebu te veroordelen tot het verlenen van alle benodigde medewerking met betrekking tot het incident en om alle eventuele vragen van Blauw te beantwoorden. Nebu voert aan dat deze vorderingen te onbepaald zijn en dat bij het toewijzen van een dwangsom op deze veroordeling, dit tot executiegeschillen zal leiden. Nebu heeft een punt dat de vordering zeer ruim is, maar het is niet onredelijk dat Blauw een veroordeling op dit punt wil. De voorzieningenrechter begrijpt dat de informatievoorziening na een
ransomware-aanval, zeker in de dagen na de aanval, gecompliceerd kan zijn, maar tegelijkertijd heeft Nebu verplichtingen jegens Blauw voor wie zij persoonsgegevens verwerkt. De informatievoorziening was tot dit kort geding beperkt. Om enigszins tegemoet te komen aan de bezwaren van Nebu op dit punt, zal de voorzieningenrechter de veroordeling vormgeven op de wijze zoals hierna verwoord en op dit moment afzien van het opleggen van een dwangsom voor deze veroordeling.
ransomware-aanval, zeker in de dagen na de aanval, gecompliceerd kan zijn, maar tegelijkertijd heeft Nebu verplichtingen jegens Blauw voor wie zij persoonsgegevens verwerkt. De informatievoorziening was tot dit kort geding beperkt. Om enigszins tegemoet te komen aan de bezwaren van Nebu op dit punt, zal de voorzieningenrechter de veroordeling vormgeven op de wijze zoals hierna verwoord en op dit moment afzien van het opleggen van een dwangsom voor deze veroordeling.
Vordering 9 (dwangsommen)
5.15.
Blauw vordert dwangsommen van € 25.000,- voor iedere dag met een maximum van € 500.000,-. Deze zullen worden opgelegd, behoudens voor zover hiervoor is overwogen dat dit voor een specifieke veroordeling niet zal gebeuren. De hoogte van de dwangsommen is niet onredelijk en er is geen reden voor een lager maximum.
Overige
5.16.
De voorzieningenrechter zal hierna in het dictum (de slotparagraaf van dit vonnis) verschillende termijnen opnemen. In sommige gevallen gaat het om de ingangsdatum van de veroordeling van Nebu, in andere gevallen wordt een einddatum opgenomen bij de veroordeling. Bij vordering 3 vroeg Blauw om een veroordeling voor de duur van vier weken of ‘zoveel langer als er relevante ontwikkelingen zijn'. Om onduidelijkheden over de einddatum en daarmee mogelijke discussies over dwangsommen te voorkomen, kiest de voorzieningenrechter voor gefixeerde einddata. Als er nadien nog voorzieningen nodig zijn, kan in een eventueel nader kort geding worden bepaald of daarvoor alsdan nog voldoende basis is.
5.17.
De voorzieningenrechter zal in het dictum opnemen dat de veroordelingen onder dit vonnis Nebu niet verplichten om aan Blauw juridische adviezen van advocaten van Nebu en informatie die specifiek betrekking heeft op andere klanten van Nebu dan Blauw te verstrekken. Die informatie gaat Blauw immers niet aan.
5.18.
Nebu wordt als de in het ongelijk gestelde partij in de proceskosten veroordeeld. De kosten aan de zijde van Blauw worden begroot op:
betekening dagvaarding
€ 106,73
griffierecht
€ 676,00
salaris advocaat
€ 1.619,00
Totaal
€ 2.401,73
5.19.
Uit de uitspraak van 10 juni 2022 van de Hoge Raad (ECLI:NL:HR:2022:853), onder nummer 2.3, blijkt dat in dit vonnis geen aparte beslissingen hoeven te worden genomen over nakosten en rente daarover.
6..De beslissing
De voorzieningenrechter:
6.1.
veroordeelt Nebu om binnen twee werkdagen na betekening van dit vonnis de volgende informatie over het beveiligingsincident bij Nebu in maart 2023 aan Blauw te verstrekken:
( i) alle beschikbare informatie met betrekking tot de cyberaanval, met inbegrip van een volledige weergave van de
initial accessen de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen tot en met het door Nebu offline brengen van haar systemen in reactie op de aanval;
initial accessen de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen tot en met het door Nebu offline brengen van haar systemen in reactie op de aanval;
(ii) alle beschikbare informatie over het herstellen van de systemen van Nebu, met inbegrip van de methode en
toolingdie gebruikt is voor het 'scannen' van de systemen op resterende malafide software, data en overige kwetsbaarheden;
toolingdie gebruikt is voor het 'scannen' van de systemen op resterende malafide software, data en overige kwetsbaarheden;
(iii) alle beschikbare informatie over (het onderzoek naar) de data exfiltratie, met inbegrip van de indicatoren die wijzen op data-exfiltratie, de analyse van die indicatoren en welke data van Blauw en/of haar klanten is geëxfiltreerd;
(iv) alle beschikbare informatie over de aanvallers, met inbegrip van de analyse van Nebu ten aanzien van de handelswijze van de aanvallers, het door Nebu gevonden tekstbestand dat door de aanvallers is achtergelaten op haar systemen, evenals enige andere berichten die zij heeft ontvangen van de aanvallers;
( v) alle beschikbare informatie over de door Nebu getroffen en voorgenomen technische en organisatorische maatregelen naar aanleiding van het incident, met inbegrip van interne en externe aanbevelingen daarover en de status van opvolging daarvan;
(vi) de data en gegevens die ten grondslag liggen aan de bevindingen uit het interne onderzoek naar het incident (dit behelst geen kopie van de gehele servers),
6.2.
veroordeelt Nebu om Blauw onverwijld en in ieder geval binnen vier uur na bekendwording schriftelijk te informeren over nieuwe informatie over (i) een nieuwe cyberaanval bij Nebu, (ii) informatie waaruit blijkt of gegevens van Blauw en haar klanten al dan niet zijn ontvreemd bij de cyberaanval van maart 2023 en (iii) informatie over de identiteit van de daders van die aanval; deze veroordeling 6.2 vervalt op
6 oktober 2023, 18:00 uur Nederlandse tijd;
6 oktober 2023, 18:00 uur Nederlandse tijd;
6.3.
veroordeelt Nebu om Blauw dagelijks om 18:00 uur Nederlandse tijd schriftelijk een update te verstrekken over:
(i) alle voor Blauw relevante ontwikkelingen met betrekking tot het beveiligingsincident, en
(ii) het naar de oorzaak en de (mogelijke) gevolgen van het incident verrichte forensisch onderzoek,
deze veroordeling 6.3 vervalt op
6 juni 2023, 18:30 uur Nederlandse tijd;
6 juni 2023, 18:30 uur Nederlandse tijd;
6.4.
veroordeelt Nebu om binnen vijf werkdagen na betekening van dit vonnis een externe partij opdracht te geven een onafhankelijk forensisch onderzoek uit te voeren naar de oorzaak (
root cause) van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval, dit met inachtneming van het navolgende:
root cause) van het incident, de mate waarin data-exfiltratie heeft plaatsgevonden en de maatregelen die Nebu heeft getroffen naar aanleiding van de cyberaanval, dit met inachtneming van het navolgende:
de door Nebu aan te wijzen partij moet aantoonbare expertise en kwalificaties op het gebied van cybersecurity en het uitvoeren van forensische onderzoeken in die context bezitten;
Nebu moet de onderzoeker(s) instrueren om zo mogelijk binnen vier weken het definitieve rapport op te stellen;
6.5.
veroordeelt Nebu binnen 24 uur nadat het rapport van het onder 6.4 bedoelde onderzoek beschikbaar is gekomen aan Blauw een kopie van dat rapport beschikbaar te stellen, in welk rapport persoonsgegevens mogen worden geanonimiseerd en waarbij gegevens van andere klanten van Nebu dan Blauw (en haar klanten) mogen worden weggelaten;
6.6.
veroordeelt Nebu om de gegevens genoemd in dit vonnis onder 4.1 onder 7, sub a tot en met d, voor zover op vonnisdatum nog beschikbaar of deze nadien beschikbaar komen, beschikbaar te houden voor door haarzelf of Blauw uit te voeren forensisch (tegen)onderzoek;
6.7.
veroordeelt Nebu om voor zover het in haar macht ligt eventuele vragen van Blauw over alles wat samenhangt met de cyberaanval te beantwoorden en opvolging te geven aan haar instructies binnen de hiervoor onder 5.3 en 5.4 bedoelde grenzen; deze veroordeling 6.7 vervalt op
6 juni 2023, 18:00 uur Nederlandse tijd;
6 juni 2023, 18:00 uur Nederlandse tijd;
6.8.
bepaalt dat de veroordelingen onder dit vonnis Nebu niet verplichten om aan Blauw te verstrekken juridische adviezen van advocaten van Nebu en informatie die specifiek betrekking heeft op andere klanten van Nebu dan Blauw (en haar klanten);
6.9.
veroordeelt Nebu om aan Blauw een dwangsom te betalen van € 25.000,- voor iedere dag dat zij niet aan een of meerdere van de onder 6.1, 6.2, 6.3, 6.4 en 6.5, uitgesproken hoofdveroordelingen voldoet, tot een maximum van € 500.000,- in totaal is bereikt;
6.10.
veroordeelt Nebu in de proceskosten, aan de zijde van Blauw tot op heden begroot op € 2.401,73, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dat bedrag met ingang van de 15e dag na betekening van dit vonnis tot de dag van volledige betaling;
6.11.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad,
6.12.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. N. Doorduijn en in het openbaar uitgesproken op 6 april 2023.3608/1876