Wie is aansprakelijk?

In dit artikel:

Een beveiligingslek in Ivanti’s EPMM-software heeft begin dit jaar meerdere Nederlandse overheidsorganisaties geraakt, waaronder de Autoriteit Persoonsgegevens, DJI, het ministerie van JenV, de Rechtspraak en enkele andere instellingen. Via de kwetsbaarheid konden aanvallers toegang krijgen tot werkgegevens van medewerkers, zoals namen, zakelijke e-mailadressen, telefoonnummers en in sommige gevallen locatiegegevens en beveiligingscertificaten. Bij DJI zou de toegang volgens Argos zelfs zeker vijf maanden hebben geduurd en konden indringers ook mobiele apparaten op afstand beheren.

De zaak is niet alleen technisch, maar ook juridisch relevant, omdat ze raakt aan de vraag wie in de keten verantwoordelijk is als een leverancier wordt gehackt. Volgens privacy- en IT-advocaat Martijn Poulus blijft de overheidsorganisatie zelf in de AVG meestal de verwerkingsverantwoordelijke: medewerkers en andere betrokkenen kunnen zich daarom in principe tot hun werkgever wenden, niet rechtstreeks tot Ivanti. Wel moeten organisaties met leveranciers afspraken vastleggen over beveiliging, geheimhouding, audits en incidentafhandeling via een verwerkersovereenkomst. Of er ook echt sprake is van een AVG-overtreding hangt af van de getroffen maatregelen en de vraag of partijen hun beveiligingsplicht zorgvuldig hebben ingevuld.

Poulus benadrukt dat dit soort incidenten laten zien hoe belangrijk een goed draaiboek is: organisaties met een duidelijk incidentenbeleid reageren doorgaans sneller en rustiger, terwijl andere bij een hack in paniek raken. De bredere les is dat centrale beheersoftware veel gemak biedt, maar bij een lek ook grote schade kan veroorzaken.