Donderdag jl. heeft de Rechtbank Rotterdam uitspraak gedaan in het kort geding dat Blauw had aangespannen tegen NEBU. Aanleiding voor het kort geding was dat NEBU zich niet houdt aan de contractuele afspraken zoals overeengekomen in de verwerkersovereenkomst en de wettelijke AVG-verplichtingen die op NEBU rusten bij een datalek. Dat lek ontstond afgelopen maand, maar details daaromtrent waren bij NEBU en moederbedrijf Enghouse Systems niet te achterhalen. De rechtbank wees nagenoeg alle vorderingen van Blauw toe.
Volgens uitspraak van de rechtbank moet NEBU alle informatie verstrekken die nodig is om Blauw te informeren over het datalek. Meer in het bijzonder moet NEBU Blauw informeren of data van haar opdrachtgevers bij dit datalek zijn betrokken. De rechtbank neemt de aanname van Blauw over dat NEBU zelf niet in staat is afdoende forensisch onderzoek uit te voeren om met zekerheid te vast stellen of bepaalde data geraakt zijn. Om die reden heeft de rechtbank de eis van Blauw toegewezen dat NEBU een extern bureau met aantoonbare expertise in cybersecurity binnen vijf dagen opdracht moet geven een forensisch onderzoek uit te voeren. De rechtbank heeft NEBU op de belangrijkste vorderingen een dwangsom opgelegd van € 25.000,- per dag.
Met dit kort geding heeft Blauw nu de steun van de rechtbank om NEBU te dwingen informatie te geven en mee te werken. Het gaat om de informatie die NEBU zelf beschikbaar heeft en de informatie die een extern forensisch bureau moet leveren.
Daarnaast is er nu een gerechtelijke uitspraak die het belang onderstreept van contractuele afspraken en wettelijke verplichtingen t.a.v. het verwerken van persoonsgegevens zoals afgesproken in verwerkersovereenkomsten en de AvG.
Volgens Blauw is er een gerede kans dat NEBU hoger beroep aantekent, maar intussen dient het vonnis te worden uitgevoerd.