Uitspraak
vonnis
RECHTBANK ROTTERDAM
Team handel en haven
zaaknummer / rolnummer: C/10/680009 / HA ZA 24-473
Vonnis van 29 januari 2025
in de zaak van
de besloten vennootschap met beperkte aansprakelijkheid
BLAUW RESEARCH B.V.,
gevestigd te Rotterdam,
eiseres in conventie,
verweerster in reconventie,
advocaat mr. V. van Druenen te Amsterdam,
tegen
1. de besloten vennootschap met beperkte aansprakelijkheid
NEBU B.V.,
gevestigd te Rijswijk,
2. de besloten vennootschap met beperkte aansprakelijkheid
ENGHOUSE (NETHERLANDS) HOLDING B.V.,
gevestigd te Rijswijk,
3. de rechtspersoon naar buitenlands recht
ENGHOUSE INTERACTIVE A.B.,
gevestigd te Solna (Zweden),
4. de rechtspersoon naar buitenlands recht
ENGHOUSE SYSTEMS LIMITED,
gevestigd te Markham (Canada),
gedaagden in conventie,
eiseressen in reconventie,
advocaat mr. M.H.R.N.Y. Cordewener te Amsterdam.
Eiseres in conventie/verweerster in reconventie wordt hierna Blauw genoemd. Gedaagden in conventie/eiseressen in reconventie 1 tot en met 4 worden respectievelijk Nebu, Enghouse B.V., Enghouse A.B. en Enghouse Ltd., genoemd. Gedaagden in conventie/eiseressen in reconventie 2 tot en met 4 worden tezamen ook wel de Enghouse-vennootschappen genoemd. Wanneer alle gedaagden in conventie/eiseressen in reconventie tezamen bedoeld zijn worden zij aangeduid als Nebu c.s.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 18 april 2024;
- het anticipatie-exploot van 23 mei 2024 van Nebu c.s.;
- de akte overlegging producties van Blauw met producties 1 tot en met 78;
- de akte eiswijziging van Blauw van 5 juni 2024;
- de conclusie van antwoord tevens houdende eis in reconventie van Nebu c.s., met producties 1 tot en met 26;
- de brief van de rechtbank van 28 augustus 2024 waarbij partijen zijn opgeroepen voor de mondelinge behandeling;
- de conclusie van antwoord in reconventie;
- de akte overlegging aanvullende producties van Blauw, met producties 78 tot en met 97 (waarbij kennelijk abusievelijk een productie nogmaals het nummer 78 heeft gekregen);
- de akte eiswijziging van Blauw van 22 november 2024;
- de akte overlegging aanvullende producties van Blauw met producties 98 en 99;
- de mondelinge behandeling gehouden op 22 november 2024 en de daarbij door beide partijen overgelegde spreekaantekeningen.
1.2.
Ten slotte is vonnis bepaald.
2.De feiten
2.1.
Blauw is een marktonderzoeksbureau. Zij voert marktonderzoek uit voor haar klanten, waaronder grote ondernemingen als de Nederlandse Spoorwegen en VodafoneZiggo. Zij doet dit onder meer door het uitzetten van (digitale) vragenlijsten onder personen die gebruik hebben gemaakt van de producten en diensten van de klanten van Blauw. Voor deze marktonderzoeken verwerkt Blauw een grote hoeveelheid (persoonlijke) gegevens voor haar klanten.
2.2.
Nebu is een softwareontwikkelingsbedrijf (onder andere) gericht op het faciliteren van het doen van marktonderzoeken en
data collection. Met de software van Nebu is het voor marktonderzoekbureaus mogelijk gericht marktonderzoek te doen via (digitale) vragenlijsten.
data collection. Met de software van Nebu is het voor marktonderzoekbureaus mogelijk gericht marktonderzoek te doen via (digitale) vragenlijsten.
2.3.
Enghouse B.V. is de enig aandeelhouder van Nebu. Enghouse A.B. is enig aandeelhouder van Enghouse B.V. De moedermaatschappij van de Enghousegroep, waartoe Nebu, haar moeder en haar grootmoeder behoren, is Enghouse Ltd.
2.4.
Blauw maakt sinds 2013 gebruik van de diensten van Nebu. Partijen legden hun afspraken aanvankelijk jaarlijks vast in
order forms. In deze
order formsis vermeld dat de
Data Processing Agreementvan Nebu (hierna: de Nebu DPA) en de
General Terms & Conditionsvan Nebu (hierna: de Algemene Voorwaarden) van toepassing zijn.
order forms. In deze
order formsis vermeld dat de
Data Processing Agreementvan Nebu (hierna: de Nebu DPA) en de
General Terms & Conditionsvan Nebu (hierna: de Algemene Voorwaarden) van toepassing zijn.
2.5.
In maart 2018 hebben (de gevolmachtigden van) Blauw en Nebu op initiatief van Blauw een van de Nebu DPA afwijkende, door Blauw opgestelde
Data Processing Agreementondertekend (hierna: de Blauw DPA).
Data Processing Agreementondertekend (hierna: de Blauw DPA).
2.6.
Bij
order formvan juni 2022 (hierna Order Form 2022-2024) hebben Blauw en Nebu gecontracteerd voor de periode van 1 juli 2022 tot en met 31 juli 2024 (hierna: Overeenkomst 2022-2024). Op Order Form 2022-2024 is, net als op de eerdere
order forms, vermeld dat de Nebu DPA en de Algemene Voorwaarden van toepassing zijn.
order formvan juni 2022 (hierna Order Form 2022-2024) hebben Blauw en Nebu gecontracteerd voor de periode van 1 juli 2022 tot en met 31 juli 2024 (hierna: Overeenkomst 2022-2024). Op Order Form 2022-2024 is, net als op de eerdere
order forms, vermeld dat de Nebu DPA en de Algemene Voorwaarden van toepassing zijn.
2.7.
Om gebruik te kunnen maken van de diensten van Nebu heeft Blauw grote hoeveelheden data opgeslagen op servers van Nebu. Het betreft onder meer een grote hoeveelheid persoonsgegevens van de klanten van Blauw’s klanten, zoals bijvoorbeeld reizigers (Nederlandse Spoorwegen) en consumenten (VodafoneZiggo). Het gaat om NAW-gegevens, maar in bepaalde gevallen ook om gegevens van medische aard over natuurlijke personen die klanten zijn van Blauw’s klanten.
2.8.
In de periode van vrijdag 10 tot en met zaterdag 11 maart 2023 heeft zich bij Nebu een veiligheidsincident voorgedaan (hierna: het incident). Een ongeautoriseerd en onbekend persoon heeft zich met een
brute force attackdigitaal toegang verschaft tot de terminal server van Nebu c.s., waarna toegang werd geforceerd tot de Google Cloud Server van Nebu c.s. Op die server zijn data opgeslagen van klanten van Nebu (zoals Blauw), die die klanten met de software van Nebu hebben verzameld en verwerkt. Bij dat incident zijn mogelijk data van Blauw betrokken geraakt die zij bij Nebu had opgeslagen.
brute force attackdigitaal toegang verschaft tot de terminal server van Nebu c.s., waarna toegang werd geforceerd tot de Google Cloud Server van Nebu c.s. Op die server zijn data opgeslagen van klanten van Nebu (zoals Blauw), die die klanten met de software van Nebu hebben verzameld en verwerkt. Bij dat incident zijn mogelijk data van Blauw betrokken geraakt die zij bij Nebu had opgeslagen.
2.9.
Het incident is door Nebu ontdekt op zaterdagochtend 11 maart 2023 rond 8.30 uur. Diezelfde dag om 8.42 uur heeft Nebu de servers offline gehaald en om 10.51 uur heeft Nebu per e-mailbericht aan haar klanten (waaronder Blauw) onder meer gemeld dat ze:
“[are] currently experiencing an issue on our EU servers that disrupts service for a large part of our hosted customers”.
2.10.
Na 11 maart 2023 heeft Nebu op verschillende momenten met haar klanten, waaronder Blauw, gecommuniceerd over het incident. Zo heeft Nebu op 12 maart 2023 om 10.41 uur, voor zover thans van belang, het volgende aan Blauw gemaild:
“The team spent time trying to understand what happened and consequently restore normal service operation. The conclusion was drawn that the databases started to become corrupted on Friday, March 10th, already.”
2.11.
Op 24 maart 2023 heeft Nebu haar klanten, waaronder Blauw, het volgende gemaild:
“On March 11th, 2023, the Nebu IT team was alerted of a potential cyberattack on our systems.
We immediately [t]ook steps to contain the attack and initiated our incident response plan which included restoring from the most recent backup of our systems.
Over the last week we contained the attack, restored services, strengthened our cloud environments, and conducted forensic analysis.
This morning we verified that in addition to compromising our cloud environment, the attacker was also able to harvest credentials maintained in our LastPass file which is shared among our Nebu IT Support Team.
(…)
(…)
With respect to the attack on our cloud environments, we have confirmed the attack resulted in a data breach of surveys and data stored in the cloud databases. We have no further information to disclose at this time.”
2.12.
Nebu heeft een intern onderzoek ingesteld naar de oorzaak van het incident.
2.13.
Op 4 april 2023 heeft een kort geding tussen Blauw en Nebu gediend waarbij Blauw - kort weergegeven - vorderde dat Nebu werd veroordeeld om Blauw steeds op de hoogte te houden van ontwikkelingen met betrekking tot het incident, het rapport van het interne onderzoek te delen en een externe partij opdracht te geven onderzoek te doen naar het incident. Op de mondelinge behandeling van dit kort geding heeft Nebu aan Blauw een voorlopige versie van het rapport van haar interne onderzoek verstrekt. De vorderingen van Blauw zijn bij vonnis in kort geding van 6 april 2024 [1] grotendeels toegewezen. Ten tijde van dit kort geding gingen Blauw en Nebu er van uit dat de Blauw-DPA van toepassing was.
2.14.
Op 14 april 2023 heeft Nebu haar interne onderzoek naar de oorzaak van het incident afgerond en gedeeld met haar klanten, waaronder Blauw.
2.15.
Nebu heeft ter voldoening aan de desbetreffende veroordeling in kort geding Mandiant opdracht gegeven om een extern forensisch onderzoek uit te voeren naar het incident. Mandiant heeft op 3 mei 2023 een rapport uitgebracht van dat onderzoek.
2.16.
Multi Factor Authentication (MFA) is een beveiligingsmethode voor het inloggen
in een systeem of digitale dienst waarbij gebruik gemaakt wordt van meer dan één authenticatiemethode, bijvoorbeeld een inlognaam en wachtwoord in combinatie met een per sms verzonden code. Bij Single Factor Authentication (SFA) wordt slechts één authenticatiemethode gebruikt, meestal een inlognaam met wachtwoord.
2.17.
Voor het incident werd door Nebu niet standaard kosteloos MFA aangeboden bij haar dienstverlening aan haar klanten. Na het incident heeft Nebu voor al haar klanten kosteloos MFA ingevoerd.
2.18.
Blauw heeft Nebu bij brief van 8 september 2023 medegedeeld, onder meer, dat zij de Overeenkomst, door haar gedefinieerd als het Order Form 2022-2024 en de daarop van toepassing zijnde voorwaarden, inclusief de Blauw DPA, buitengerechtelijk ontbond wegens wanprestatie van Nebu [2] . In diezelfde brief heeft Blauw aan Nebu een termijn van 30 dagen gegeven om de verplichtingen uit de overeenkomst na te komen, voor het geval verzuim is vereist voor de ontbinding.
3.Het geschil
in conventie
3.1.
Blauw vordert, na wijzigingen van haar eis, om bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad:
1. voor recht te verklaren dat Nebu tekort is geschoten in de nakoming van haar verplichtingen onder de Overeenkomst en aansprakelijk is voor de door Blauw als gevolg daarvan geleden schade;
2. voor recht te verklaren dat de Enghouse-vennootschappen onrechtmatig hebben gehandeld jegens Blauw en aansprakelijk zijn voor de door Blauw als gevolg daarvan geleden schade;
3. voor recht te verklaren dat Blauw:
a. primair: de Overeenkomst op 8 september 2023 rechtsgeldig heeft ontbonden, althans
b. subsidiair: de Overeenkomst op 8 oktober 2023 rechtsgeldig heeft ontbonden;
4. a. primair: Nebu c.s. hoofdelijk te veroordelen tot betaling van een schadevergoeding van € 505.803,15 aan Blauw, te vermeerderen met de daarover verschuldigde wettelijke (handels)rente vanaf 8 september 2023;
b. subsidiair: voor zover in het kader van dit geding onvoldoende vast is komen te staan
welke schade Blauw geleden heeft als gevolg van de gedragingen van Nebu c.s. en de
ontbinding van de Overeenkomst, Nebu c.s. te veroordelen tot betaling aan Blauw van een
vergoeding voor de door haar als gevolg van de onder (1) bedoelde tekortkomingen, de
onder (2) bedoelde onrechtmatige handelingen en de onder (3) bedoelde ontbinding
geleden schade, op te maken bij staat;
5. Nebu te veroordelen tot (terug)betaling van een bedrag van € 12.614,32 aan door Blauw onder de Overeenkomst betaalde vergoedingen, te vermeerderen met de daarover verschuldigde wettelijke handelsrente vanaf 8 september 2023;
6. Nebu c.s. hoofdelijk te veroordelen tot de betaling van de buitengerechtelijke incassokosten van € 4.367,09 aan Blauw, te vermeerderen met de daarover verschuldigde wettelijke (handels)rente vanaf de datum van deze dagvaarding,
met hoofdelijke veroordeling van Nebu c.s. in conventie en reconventie in de kosten van dit geding, inclusief de nakosten ten bedrage van respectievelijk € 278 zonder betekening en € 370 in geval van betekening en - voor het geval voldoening van de (na)kosten niet binnen die termijn plaatsvindt – te vermeerderen met de wettelijke rente over de (na)kosten te rekenen vanaf veertien dagen na dagtekening van het vonnis.
3.2.
Nebu c.s. voert verweer. Nebu c.s. concludeert tot afwijzing van de vorderingen
van Blauw, met veroordeling van Blauw in de proceskosten.
3.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
in reconventie
3.4.
Nebu c.s. vordert om bij vonnis, uitvoerbaar bij voorraad:
( a) Blauw te veroordelen tot vergoeding van de schade die door Nebu c.s. is geleden als gevolg van het handelen van Blauw, welke schade begroot is op € 77.735,33;
( b) Blauw te veroordelen tot betaling van de kosten van deze procedure, te vermeerderen met de nakosten en de wettelijke rente te rekenen vanaf de dag na het te dezen te wijzen vonnis, een en ander te voldoen binnen veertien dagen na dagtekening van het te wijzen vonnis, en - voor het geval voldoening van de (na)kosten niet binnen de gestelde termijn plaatsvindt - te vermeerderen met de wettelijke rente over de (na)kosten te rekenen vanaf bedoelde termijn voor voldoening.
3.5.
Blauw voert verweer. Blauw concludeert tot afwijzing van de vorderingen van Nebu c.s. met veroordeling van Nebu c.s. in de kosten van het geding in reconventie bij uitvoerbaar bij voorraad te verklaren vonnis.
3.6.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4. De beoordeling
in conventie
Rechtsmacht
4.1.
Voordat aan een inhoudelijke beoordeling van het geschil wordt toegekomen, moet worden vastgesteld of de rechtbank bevoegd is van de vorderingen tegen Enghouse A.B. en Enghouse Ltd. kennis te nemen en zo ja, welk recht de rechtbank moet toepassen. Er is immers sprake van een internationale zaak, aangezien Blauw in Nederland gevestigd is en Enghouse A.B. en Enghouse Ltd. in Zweden respectievelijk Canada gevestigd zijn.
4.2.
Er is sprake van een burgerlijke of handelszaak in de zin van artikel 1 lid 1 van Brussel I bis-Vo [3] , die aanhangig is gemaakt na 10 januari 2015, het tijdstip van inwerkingtreding van Brussel I bis-Vo, voor een gerecht van een lidstaat (Nederland). Op grond van artikel 26 lid 1 Brussel I-bis Vo mag de rechter bevoegdheid aannemen als een gedaagde partij voor de rechter verschijnt zonder zich op de onbevoegdheid van de rechter te beroepen en geen ander gerecht exclusief bevoegd is krachtens artikel 24 Brussel I-bis Vo. Voor de toepassing van artikel 26 Brussel I-bis Vo is niet vereist dat de verweerder woonplaats heeft op het grondgebied van een lidstaat. Enghouse A.B. noch Enghouse Ltd. beroept zich op (eventuele) onbevoegdheid van de rechtbank. Dat betekent dat er in rechte van mag worden uitgegaan dat de rechtsmacht van deze rechtbank stilzwijgend is aanvaard (stilzwijgende forumkeuze). Daarmee is de rechtbank bevoegd van de vorderingen tegen Enghouse A.B. en Enghouse Ltd. kennis te nemen.
4.3.
Ook in reconventie geldt dat sprake is van een internationale zaak. Ook hier is de rechtbank internationaal bevoegd en wel op grond van artt. 26 jo. 8 lid 3 Brussel I-bis Vo.
Toepasselijk recht
4.4.
Volgens Blauw is Nederlands recht van toepassing op de rechtsverhouding tussen partijen (zowel in conventie als reconventie). Ook Nebu c.s. gaat hiervan uit blijkens haar verweer in conventie en de onderbouwing van haar eis in reconventie. De rechtbank kwalificeert dit als een stilzwijgende rechtskeuze van partijen voor de toepasselijkheid van Nederlands recht, zodat Nederlands recht zal worden toegepast.
Bezwaar tegen eisvermeerdering en overlegging rapport
4.5.
Nebu c.s. heeft bezwaar gemaakt tegen de vermeerdering van eis van 22 november 2024. De vermeerdering van eis betreft de verhoging van het bedrag van een aantal door Blauw gestelde schadeposten. Niet in te zien valt dat deze eiswijziging in strijd is met de goede procesorde. De eiswijziging zal dan ook worden toegelaten. Hierna zal dus worden beslist op de gewijzigde eis. De gewijzigde eis is (grotendeels) gebaseerd op een schaderapport van Crawford. Dit rapport is door Blauw ter gelegenheid van de mondelinge behandeling in het geding gebracht. Hierop heeft Nebu c.s. nog niet (afdoende) kunnen reageren. Op een later moment zal de rechtbank beslissen of Nebu c.s. nog de gelegenheid krijgt om nader op het rapport te reageren.
Grondslagen van de vorderingen
4.6.
Deze zaak draait in de kern om het al dan niet bestaan van een verplichting tot vergoeding door Nebu c.s. van schade die Blauw stelt te hebben geleden als gevolg van het incident.
4.7.
Blauw legt aan haar vorderingen jegens Nebu primair ten grondslag dat Nebu tekortgeschoten is in de tussen partijen geldende, contractuele afspraken. Volgens Blauw is Nebu - kort gezegd - tekortgeschoten in het treffen van voldoende maatregelen om de veiligheid en vertrouwelijkheid van de bij Nebu c.s. opgeslagen persoonsgegevens te waarborgen, waardoor het incident heeft kunnen plaatsvinden. Daarnaast heeft Nebu volgens Blauw ook na het incident niet voldaan aan haar contractuele verplichtingen. Subsidiair stelt Blauw dat sprake is van schending van zorgplichten door Nebu.
4.8.
Blauw legt aan haar vorderingen tegen de Enghouse-vennootschappen ten grondslag dat zij de communicatie met Blauw na het incident hebben overgenomen van Nebu en de opstelling en handelwijze van Nebu jegens Blauw hebben bepaald. Daarmee hebben de Enghouse-vennootschappen Nebu bewogen om haar verplichtingen jegens Blauw niet na te komen, althans toegelaten dat Nebu haar contractuele en wettelijke verplichtingen jegens Blauw niet nakwam, aldus Blauw. Dat is volgens Blauw in strijd met de maatschappelijke zorgvuldigheid en daarmee onrechtmatig jegens Blauw.
4.9.
Als eerste zal (vanaf 4.10) worden vastgesteld wat Blauw en Nebu, voor zover hen dat verdeeld houdt, in dit kader met elkaar zijn overeengekomen. Vanaf 4.20 wordt ingegaan op de verplichtingen met betrekking tot beveiliging van data voortvloeiend uit de Blauw DPA. Vervolgens wordt ingegaan op het verwijt van Blauw dat Nebu haar niet onmiddellijk en adequaat heeft geïnformeerd na het incident. Hierbij zal in eerste instantie alleen worden ingegaan op de positie van Nebu.
Wat zijn partijen overeengekomen?
4.10.
Blauw en Nebu twisten erover welke DPA tussen hen gold ten tijde van het incident, de Blauw DPA of de Nebu DPA. Om de vraag te kunnen beantwoorden of Nebu tekortgeschoten is in enige contractuele verplichting, dient eerst te worden vastgesteld wat de inhoud is van de contractuele afspraken tussen Blauw en Nebu.
4.11.
Bij beantwoording van de vraag wat Blauw en Nebu met elkaar zijn overeengekomen, komt het aan op wat partijen over en weer hebben verklaard en uit elkaars verklaringen en gedragingen, overeenkomstig de zin die zij daaraan in de gegeven omstandigheden redelijkerwijs mochten toekennen, hebben afgeleid.
4.12.
Niet in geschil is dat Blauw en Nebu hun afspraken periodiek hebben vastgelegd in
order forms. In deze kennelijk van Nebu afkomstige
order formswerd steeds opgenomen dat de Nebu DPA van toepassing was. Evenmin in geschil is dat partijen daarvan in maart 2018, met het oog op de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG), op initiatief van Blauw zijn afgeweken. Blauw heeft toen voorgesteld een afwijkende DPA van toepassing te doen zijn, te weten de Blauw DPA. Vast staat dat Nebu daarmee heeft ingestemd en dat toen de Blauw DPA gold.
order forms. In deze kennelijk van Nebu afkomstige
order formswerd steeds opgenomen dat de Nebu DPA van toepassing was. Evenmin in geschil is dat partijen daarvan in maart 2018, met het oog op de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG), op initiatief van Blauw zijn afgeweken. Blauw heeft toen voorgesteld een afwijkende DPA van toepassing te doen zijn, te weten de Blauw DPA. Vast staat dat Nebu daarmee heeft ingestemd en dat toen de Blauw DPA gold.
4.13.
De Blauw DPA bepaalt in artikel 10 dat de Blauw DPA “continues to be in force for as long as the sub-processor has access to or otherwise processes personal data for Blauw Research, unless it is terminated earlier in accordance with this article 10”. Blauw en Nebu zijn hiermee overeengekomen dat de Blauw DPA gelding heeft zolang Nebu toegang heeft tot door Blauw verzamelde persoonsgegevens of Nebu deze persoonsgegevens anderszins bewerkt, tenzij de Blauw DPA eerder wordt beëindigd overeenkomstig de bepalingen van artikel 10 van de Blauw DPA.
4.14.
Volgens Nebu had de Blauw DPA alleen gelding voor de periode van maart 2018 tot juli 2018. In juli 2018 is volgens Nebu een nieuw eenjarig contract gesloten waarbij, zoals voorheen, weer is gecontracteerd op basis van de Nebu DPA. Dat is volgens Nebu zo, omdat het
order formvan het toen gesloten contract vermeldt dat de Nebu DPA van toepassing is. Dat is volgens Nebu ook het geval voor Overeenkomst 2022-2024, omdat ook op Order Form 2022-2024 is vermeld dat de Nebu DPA van toepassing is.
order formvan het toen gesloten contract vermeldt dat de Nebu DPA van toepassing is. Dat is volgens Nebu ook het geval voor Overeenkomst 2022-2024, omdat ook op Order Form 2022-2024 is vermeld dat de Nebu DPA van toepassing is.
4.15.
De rechtbank stelt voorop dat Nebu niet betwist dat van een beëindiging van de Blauw DPA op de in (artikel 10 van) de Blauw DPA voorziene wijze geen sprake is geweest. Dat betekent in beginsel dat de Blauw DPA tussen partijen is blijven gelden.
4.16.
De stelling van Nebu dat vanaf juli 2018 steeds is overeengekomen dat (weer) werd gecontracteerd op basis van de Nebu DPA, onderbouwt Nebu slechts door te verwijzen naar het betreffende
order form,waarin onder de opsomming van ‘general terms’ de Nebu DPA wordt genoemd. Voor zover het de bedoeling van Nebu was om daarmee aan de gelding van de Blauw DPA bij het sluiten van een nieuw contract een einde te maken, had het op de weg van Nebu gelegen dat tenminste met zoveel woorden kenbaar te maken aan Blauw. Dit geldt zeker gelet op a) voornoemde regeling voor beëindiging in artikel 10 van de Blauw DPA, onder andere inhoudende dat beëindiging in elk geval schriftelijk dient plaats te vinden, en b) artikel 11 van de Blauw DPA, waarin de toepasselijkheid van algemene voorwaarden van de sub-processor (Nebu) wordt uitgesloten. Voorts is van belang dat de AVG, die de aanleiding vormde voor het sluiten van de Blauw DPA, nog steeds van kracht was (en is).
order form,waarin onder de opsomming van ‘general terms’ de Nebu DPA wordt genoemd. Voor zover het de bedoeling van Nebu was om daarmee aan de gelding van de Blauw DPA bij het sluiten van een nieuw contract een einde te maken, had het op de weg van Nebu gelegen dat tenminste met zoveel woorden kenbaar te maken aan Blauw. Dit geldt zeker gelet op a) voornoemde regeling voor beëindiging in artikel 10 van de Blauw DPA, onder andere inhoudende dat beëindiging in elk geval schriftelijk dient plaats te vinden, en b) artikel 11 van de Blauw DPA, waarin de toepasselijkheid van algemene voorwaarden van de sub-processor (Nebu) wordt uitgesloten. Voorts is van belang dat de AVG, die de aanleiding vormde voor het sluiten van de Blauw DPA, nog steeds van kracht was (en is).
Indien de wens om de Blauw DPA te vervangen aan de orde was gesteld door Nebu, had - afhankelijk van de verdere feiten en omstandigheden - mogelijk van overeenstemming hierover kunnen blijken. Gesteld noch gebleken is echter dat het terzijde stellen van de Blauw DPA en/of het weer (exclusief) toepasselijk worden van de Nebu DPA bij het sluiten van het éénjarige contract in 2018, of later bij het sluiten van de Overeenkomst 2022-2024 aan de orde is geweest, laat staan dat geconcludeerd kan worden dat dit heeft geleid tot beëindiging van de gelding van de Blauw DPA.
4.17.
Integendeel, uit een door Blauw overgelegd e-mailbericht van maart 2021 volgt juist dat Nebu er in elk geval op dat moment (ook) van uitging dat de Blauw DPA (nog) van toepassing was. [persoon A] (in het bedoelde emailbericht aangeduid als Operational Director van Nebu) schrijft in dat e-mailbericht aan Blauw:
“Via the above URL you will also find our standard DPA, but in our case, there is a
custom DPA "BLAUW RESEARCH DATA PROCESSING AGREEMENT
SUBCONTRACTOR 2018", signed by [persoon B] and [persoon C] . I'm sure you have this on record, but let me know if you'd like me to send that to you.”
4.18.
Dat dit e-mailbericht betrekking had op het contract dat voor de periode 1 augustus 2021 tot en met 30 september 2022, dus voorafgaand aan Overeenkomst 2022-2024, is gesloten zoals Nebu stelt, is hier niet relevant. Het gaat er om dat de inhoud van dit e-mailbericht niet te rijmen is met de stelling van Nebu dat de Blauw DPA al vanaf juli 2018 niet meer van toepassing was. Ook Nebu is na juli 2018 blijkbaar uitgegaan van continuering van de gelding van de Blauw DPA.
4.19.
Tegen de achtergrond van de hiervoor geschetste feiten, heeft Nebu onvoldoende gesteld om de conclusie te kunnen dragen dat zij er gerechtvaardigd op mocht vertrouwen dat Blauw door het Order Form 2022-2024 te ondertekenen, ermee instemde dat de Blauw DPA niet langer gelding had en dat de Nebu DPA de Overeenkomst 2022-2024 beheerste. Dat betekent dat de Blauw DPA van toepassing is op de Overeenkomst 2022-2024. Voor de vaststelling van wat Blauw en Nebu met elkaar zijn overeengekomen, zal dan ook mede gelet op artikel 11.3 van de Blauw DPA uitsluitend worden gekeken naar de inhoud van de Blauw DPA.
Verplichtingen met betrekking tot beveiliging van data voortvloeiend uit de Blauw DPA
4.20.
In de Blauw DPA is het volgende bepaald:
“4. Security and security improvements
4.1
In addition to the security requirements agreed by the parties, the sub processor will take appropriate technical and organisational measures and maintain a Information Security Management System (ISMS) compliant with ISO 27001 in order to guarantee the security of his services.
4.2
The parties acknowledge that security requirements change continuously and that effective security demands frequent evaluation and regular improvements of outdated security measures. The sub-processor will therefore continuously evaluate the security measures and update, supplement and improve them.”
4.21.
Op grond van deze bepalingen was Nebu gehouden passende technische en organisatorische maatregelen te nemen om de veiligheid van haar diensten te garanderen, een Information Security Management System (ISMS) te onderhouden dat voldoet aan de ISO 27001 certificering, en de getroffen beveiligingsmaatregelen regelmatig te evalueren, te updaten, aan te vullen en te verbeteren. Blauw stelt dat Nebu is tekortgeschoten in haar verplichting afdoende maatregelen te nemen en beroept zich op hieruit voortvloeiende rechtsgevolgen. Daarom draagt zij hiervoor in beginsel de stelplicht en, bij voldoende betwisting door Nebu, de bewijslast.
4.22.
Niet in geschil is dat Nebu ISO 27001 gecertificeerd is en in zoverre aan haar verplichtingen voortvloeiend uit artikel 4.1 van de Blauw DPA voldeed. Blauw stelt in dit kader samengevat het volgende. Nebu heeft niet voldaan aan de overige verplichtingen voortvloeiend uit artikel 4.1 en 4.2 van de Blauw DPA. Nebu is haar verplichting om passende beveiligingsmaatregelen te treffen en deze regelmatig te evalueren en verbeteren niet nagekomen door geen MFA te implementeren. De beveiliging door middel van MFA ten tijde van het incident in maart 2023 was
common practiceen had op grond daarvan ook toegepast moeten worden. Volgens Blauw had (verplichte) MFA de kans op een succesvolle cyberaanval met 99% verminderd, zeker bij een
brute force attackals hier aan de orde. Dat geldt nog sterker als Nebu daarnaast ook voldoende maatregelen had getroffen om de gegevens van de klanten van Blauw, af te schermen van die van haar andere klanten (
data segregation; datascheiding). Nebu heeft ten onrechte nagelaten datascheiding toe te passen. Dat Nebu onvoldoende maatregelen heeft getroffen om de scheiding van data te waarborgen, blijkt volgens Blauw daaruit dat de
brute force attacken de daardoor geforceerde toegang tot de gegevens plaatsvond via het account van een andere klant van Nebu en dat toch toegang werd verkregen tot de data van Blauw en mogelijk tot de persoonsgegevens van Blauw’s klanten.
common practiceen had op grond daarvan ook toegepast moeten worden. Volgens Blauw had (verplichte) MFA de kans op een succesvolle cyberaanval met 99% verminderd, zeker bij een
brute force attackals hier aan de orde. Dat geldt nog sterker als Nebu daarnaast ook voldoende maatregelen had getroffen om de gegevens van de klanten van Blauw, af te schermen van die van haar andere klanten (
data segregation; datascheiding). Nebu heeft ten onrechte nagelaten datascheiding toe te passen. Dat Nebu onvoldoende maatregelen heeft getroffen om de scheiding van data te waarborgen, blijkt volgens Blauw daaruit dat de
brute force attacken de daardoor geforceerde toegang tot de gegevens plaatsvond via het account van een andere klant van Nebu en dat toch toegang werd verkregen tot de data van Blauw en mogelijk tot de persoonsgegevens van Blauw’s klanten.
4.23.
Nebu betwist gemotiveerd dat zij onvoldoende beveiligingsmaatregelen heeft getroffen. Nebu betwist dat in de periode waarin het incident plaatsvond redelijkerwijs van haar mocht worden verwacht dat zij MFA voor al haar klanten had ingevoerd. Volgens Nebu waren er op dat moment diverse producten op de markt zonder MFA en werd door (potentiële) klanten niet gevraagd om MFA. Nebu wijst er op dat in de contractuele afspraken tussen partijen noch in de relevante regelgeving is opgenomen dat MFA verplicht was. Dat Nebu na het incident MFA bij al haar klanten kosteloos MFA heeft ingevoerd, doet hieraan niets af, aldus Nebu. Bovendien had MFA er volgens Nebu in dit geval niet toe geleid dat het incident niet had plaatsgevonden en evenmin verschil gemaakt voor het betrokken raken van de gegevens van Blauw’s klanten. Nebu wijst er daarnaast op dat sprake was van een
multi tenant environment-contract met Blauw, waarbij verschillende klanten gebruik maakten van dezelfde omgeving voor de gegevensopslag. Dat was volgens Nebu heel gebruikelijk. Volgens Nebu hadden haar klanten in 2021 noch in 2023 toegang tot de gegevens van andere klanten van Nebu en is van daadwerkelijk volkomen gescheiden data alleen sprake als een klant ervoor kiest de gegevens niet in de
cloudop te slaan.
multi tenant environment-contract met Blauw, waarbij verschillende klanten gebruik maakten van dezelfde omgeving voor de gegevensopslag. Dat was volgens Nebu heel gebruikelijk. Volgens Nebu hadden haar klanten in 2021 noch in 2023 toegang tot de gegevens van andere klanten van Nebu en is van daadwerkelijk volkomen gescheiden data alleen sprake als een klant ervoor kiest de gegevens niet in de
cloudop te slaan.
4.24.
Hieruit volgt dat partijen uiteenlopende visies hebben op de gangbaarheid van MFA en de gebruikelijke wijze van datascheiding in de periode voorafgaand aan het incident. Ook hun standpunten over het effect dat MFA, al dan niet in combinatie met scheiding van data van klanten, in dit geval had gehad, lopen zeer uiteen. De rechtbank acht het noodzakelijk dat over deze kwesties eerst duidelijkheid komt. Pas dan kan worden geoordeeld of sprake is van enig tekortschieten van Nebu in haar contractuele verplichtingen en/of in haar zorgplicht. Voor het verkrijgen van die duidelijkheid is voorlichting door een onafhankelijke deskundige nodig.
4.25.
In 4.31 wordt ingegaan op de vragen die de rechtbank in dit kader aan een deskundige wenst voor te leggen.
Het verwijt dat Nebu Blauw niet onmiddellijk en adequaat heeft geïnformeerd
4.26.
Blauw stelt zich verder, en los van het voorgaande, op het standpunt dat Nebu niet aan haar verplichtingen voortvloeiend uit de Blauw DPA met betrekking tot de melding van een incident en de informatieverstrekking daarover heeft voldaan. Het kernverwijt van Blauw is dat Nebu, ondanks veelvuldige verzoeken om meer en meer gedetailleerde informatie, in de eerste weken na het incident nauwelijks inhoudelijke informatie over het incident heeft verstrekt aan Blauw. Daardoor kon Blauw haar eigen, zeer ongeruste, klanten onvoldoende voorlichten en is schade ontstaan.
4.27.
Nebu betwist dat. Het verweer van Nebu is, kort weergegeven, dat zij Blauw steeds de informatie heeft gegeven waarover zij op dat moment de beschikking had, dat zij in de eerste periode na het incident, mede in het belang van Blauw, prioriteit gegeven heeft aan het treffen van maatregelen om (verdere) schade te voorkomen en dat het een zeer goede prestatie van haar is dat zij haar interne onderzoek naar het incident in 35 dagen heeft afgerond. Pas op dat moment kon zij Blauw volledig informeren, aldus Nebu.
4.28.
In de Blauw DPA is het volgende opgenomen:
“3.3 The sub-processor has to immediately notify Blauw Research of:
(…)
c) any incident as described in article 5 of this processor's agreement.
(…)
c) any incident as described in article 5 of this processor's agreement.
5. Duty of disclosure and incident management
5.1
The sub-processor immediately notifies Blauw Research of any incident in relation to the processing of personal data. In the event of an incident, the sub-processor will fully cooperate with Blauw Research and follow the instructions issued by Blauw Research in respect of this incident. This will enable Blauw Research to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, the sub processor will notify Blauw Research at least within 24 hours after an incident occurring.
5.2
The term "incident" as used in this article includes but is not limited to:
a) every unauthorised or unlawful processing, removal or loss of personal data;
b) every violation of the security or confidentiality as stipulated in articles 3
and 4 of this processor's agreement, which results in unlawful
processing, removal or loss of personal data, or any indication that such violation will occur or has occurred.”
4.29.
Met artikel 3.3 sub c van de Blauw DPA heeft Nebu zich verbonden om Blauw onmiddellijk (“immediately”) te informeren indien zich een incident voordoet. In het hiervoor geciteerde artikel 5 van de Blauw DPA is omschreven wat in elk geval onder een incident verstaan wordt. Vast staat dat hier sprake was van een
attackwaarbij toegang is verkregen tot de omgeving van Nebu en dat Nebu niet kan uitsluiten dat de veiligheid en vertrouwelijkheid van de persoonsgegevens van Blauw’s klanten geschonden zijn. Daarmee is naar het oordeel van de rechtbank voldoende komen vast te staan dat zich een incident in de zin van de Blauw DPA heeft voorgedaan.
attackwaarbij toegang is verkregen tot de omgeving van Nebu en dat Nebu niet kan uitsluiten dat de veiligheid en vertrouwelijkheid van de persoonsgegevens van Blauw’s klanten geschonden zijn. Daarmee is naar het oordeel van de rechtbank voldoende komen vast te staan dat zich een incident in de zin van de Blauw DPA heeft voorgedaan.
In discussie is wat van Nebu, tegen de achtergrond van deze bepalingen in de Blauw DPA en de AVG, mocht worden verwacht voor wat betreft het moment waarop zij informatie aan Blauw moest verstrekken en voor wat betreft de vraag hoever die informatieplicht reikte.
4.30.
Ook hier rusten de stelplicht en bewijslast in beginsel op Blauw. Zij heeft betoogd dat sprake is van een niet tijdige en ook verder gebrekkige informatievoorziening door Nebu, hetgeen Nebu gemotiveerd heeft betwist.
De rechtbank heeft ook op dit punt behoefte zich te laten voorlichten door een deskundige. Het gaat er daarbij met name om wat gelet op de technische mogelijkheden en de gebruiken in de branche in de periode waarin het incident zich voordeed, van een partij als Nebu kon en mocht worden verwacht ten aanzien van het tijdstip van ontdekking van het incident, het inzichtelijk krijgen van de oorzaak en de gevolgen van het incident en het delen van de uitkomsten hiervan met haar klanten.
Aan de deskundige voor te leggen vragen
4.31.
De rechtbank is van oordeel dat kan worden volstaan met de benoeming van één deskundige. Het zal daarbij in beginsel dienen te gaan om een deskundige met specialistische kennis op het gebied van beveiliging van persoonsgegevens in de zakelijke sfeer. De rechtbank is, tegen de achtergrond van hetgeen hiervoor is overwogen, voornemens de volgende vragen aan de deskundige voor te leggen:
1. Wat was begin 2023 voor een zorgvuldig handelend dienstverlener/(sub)verwerker in de zin van de AVG op de Nederlandse markt, gebruikelijk in de branche als het gaat om de beveiliging van persoonsgegevens, in het bijzonder ten aanzien van datascheiding en MFA, dan wel een combinatie van beide? Maakt het daarbij verschil dat het gaat om een klant van de (sub)verwerker die marktonderzoek doet waarbij veel persoonsgegevens van natuurlijke personen (waaronder medische gegevens) worden opgeslagen en verwerkt? In hoeverre was sprake van een ‘common practice’?
2. a. Als in dit geval zowel MFA als datascheiding conform het in vraag 1 bedoelde gebruik als maatregel zou zijn ingesteld, wat was dan de kans dat het incident als beschreven in 2.8 had plaatsgevonden? Waren de gevolgen van het incident voor de persoonsgegevens waarvan Blauw verwerker was in dat geval anders geweest dan zij in de feitelijk opgetreden situatie zijn geweest? Zo ja, in welk opzicht?
b. Hoe luidt uw antwoord op deze vraag als alleen MFA of alleen datascheiding conform de norm van vraag 1 zou zijn ingesteld? Graag uw antwoorden toelichten.
b. Hoe luidt uw antwoord op deze vraag als alleen MFA of alleen datascheiding conform de norm van vraag 1 zou zijn ingesteld? Graag uw antwoorden toelichten.
3.
Was het, gezien de stand van de techniek en de gebruiken in de markt begin 2023, mogelijk geweest om het incident eerder te ontdekken dan op 11 maart 2023 om 8:30 uur? Was een eerdere melding van dat incident aan Blauw dan op 11 maart 2023 om 10:51 uur mogelijk en zinvol geweest? Kon er op 11 maart 2023 om 10:51 uur meer en anders aan Blauw worden bericht dan Nebu toen heeft gedaan (zie voor de inhoud van de melding 2.9). Zo nee, waarom niet? Zo ja, wat dan? Graag uw antwoord toelichten.
Was het, gezien de stand van de techniek en de gebruiken in de markt begin 2023, mogelijk geweest om het incident eerder te ontdekken dan op 11 maart 2023 om 8:30 uur? Was een eerdere melding van dat incident aan Blauw dan op 11 maart 2023 om 10:51 uur mogelijk en zinvol geweest? Kon er op 11 maart 2023 om 10:51 uur meer en anders aan Blauw worden bericht dan Nebu toen heeft gedaan (zie voor de inhoud van de melding 2.9). Zo nee, waarom niet? Zo ja, wat dan? Graag uw antwoord toelichten.
4.
Was het op 24 maart 2023 na intern onderzoek vaststellen dat sprake was van een incident dat had geleid tot een inbreuk in verband met persoonsgegevens, voor een zorgvuldig handelend dienstverlener naar de situatie van begin 2023, vaststelling binnen een redelijke termijn? Graag uw antwoord toelichten.
Was het op 24 maart 2023 na intern onderzoek vaststellen dat sprake was van een incident dat had geleid tot een inbreuk in verband met persoonsgegevens, voor een zorgvuldig handelend dienstverlener naar de situatie van begin 2023, vaststelling binnen een redelijke termijn? Graag uw antwoord toelichten.
5.
Zijn er nog andere punten die u naar voren wilt brengen waarvan de rechtbank volgens u kennis dient te nemen?
Zijn er nog andere punten die u naar voren wilt brengen waarvan de rechtbank volgens u kennis dient te nemen?
Uitlaten partijen
4.32.
Partijen worden in de gelegenheid gesteld zich bij akte uit te laten over de hiervoor voorgestelde aan de deskundige voor te leggen vragen. Voor zover nodig kunnen partijen daarbij ook hun posities (als (sub)verwerker of, eventueel, verwerkingsverantwoordelijke) nader toelichten. Daarnaast kunnen partijen zich uitlaten over de persoon van de te benoemen deskundige. Het verdient de voorkeur dat partijen een eenparig voorstel doen voor een deskundige. Indien dat niet mogelijk mocht blijken te zijn, en bezwaar bestaat tegen benoeming van een door de andere partij aangedragen deskundige, dient dat bezwaar gemotiveerd te worden.
4.33.
De rechtbank zal de zaak naar de rol verwijzen voor het nemen van de hiervoor bedoelde akten.
Voorschot kosten deskundige
4.34.
Blauw zal conform de hoofdregel van artikel 195 Rv moeten zorgdragen voor voldoening van het voorschot voor de kosten van de deskundige.
Aanhouden alle overige beslissingen
4.35.
Alle overige beslissingen, waaronder alle beslissingen ten aanzien van de Enghouse-entiteiten, zullen worden aangehouden.
in reconventie
Aanhouden alle beslissingen
4.36.
De vorderingen van Nebu c.s. in reconventie vloeien voor een relevant deel voort uit hun stellingen in conventie. Om die reden zullen ook in reconventie alle beslissingen worden aangehouden totdat voorlichting door een deskundige heeft plaatsgevonden.
5.De beslissing
De rechtbank
in conventie en in reconventie
5.1.
bepaalt dat de zaak weer op de rol zal komen van
12 maart 2025voor het nemen van een akte door beide partijen als bedoeld in 4.32;
12 maart 2025voor het nemen van een akte door beide partijen als bedoeld in 4.32;
5.2.
verstaat dat de zaak vervolgens op de rol komt voor vonnis met een termijn van zes weken;
In conventie en reconventie
5.3.
houdt iedere verdere beslissing aan.
Dit vonnis is gewezen door mr. P.F.G.T. Hofmeijer-Rutten, mr. R.J.A.M. Cooijmans en mr. J.M.J. Arts en in het openbaar uitgesproken op 29 januari 2025.
1861/3455/1694/106