Column


IT-jurist Peter van Schelven over...

Gegevensbeslag na een datalek?

Stel, binnen jouw bedrijf gaat een gefrustreerde werknemer aan de haal met een digitaal bedrijfsbestand dat vol zit met persoonsgegevens, bijvoorbeeld klantcontacten. Als zo’n bestand in een nieuwe werkkring – bijvoorbeeld bij een concurrent – wordt gebruikt, kan de schade groot zijn, zowel voor het gedupeerde bedrijf als voor de betrokken personen. Wat doe je dan?

Als gedupeerd bedrijf maak je in zo’n geval uiteraard de afweging om het datalek, dat het rechtstreekse gevolg is van frauduleus handelen, te melden bij de Autoriteit Persoonsgegevens en bij de betrokken burgers die in het bestand voorkomen. De Wet bescherming persoonsgegevens bevat daarover de van toepassing zijnde spelregels.

Maar kan je juridisch nog meer doen bij zo’n inbreuk op de bescherming van persoonsgegevens? Geeft de wet je wellicht ook middelen om te voorkomen dat het bestand illegaal wordt gebruikt en de gegevens verder worden verspreid? Het antwoord op die vraag is uiteraard ‘ja’. Een uitspraak van de voorzieningenrechter van de rechtbank Noord-Nederland van 8 december vorig jaar over een bestand met patiëntengegevens geeft daarvan een fraai voorbeeld.

Conservatoir bewijsbeslag
In de beschikking van de Groningse rechter (zie downloadknop onder het artikel) werd op verzoek van het Zoetermeerse bedrijf Atos Medical toestemming verleend tot het leggen van beslag op patiëntengegevens die, naar deze leverancier van medische hulpmiddelen en zorg meende, onterecht in handen van enkele andere partijen terecht waren gekomen. Het draaide hier om een verzoek tot het leggen van een specifieke vorm van beslag. In juridisch potjeslatijn: een conservatoir bewijsbeslag. Iedereen die een deurwaarder op een ander wil afsturen om een dergelijk beslag op gegevens of documenten te leggen heeft vooraf toestemming van de voorzieningenrechter nodig. In het onderhavige geval werd dat beslagverlof probleemloos toegekend.

Vaak draaien de molens van het rechterlijk apparaat traag, maar in de kwestie die door Atos Medical aan de rechter was voorgelegd, was dat duidelijk anders. De voorzieningenrechter vond de kwestie van het datalek kennelijk zo urgent dat ervan werd afgezien de wederpartij eerst te horen. Het verzoek van Atos Medical werd op 5 december ingediend en al drie dagen later werd de toestemming tot het leggen van beslag op de patiëntengegevens verleend. Voor het effectief optreden tegen een datalek als in dit geval is een dergelijke voortvarendheid uiteraard nodig.

Cloudbeslag
Wat bij lezing van de beslissing van de voorzieningenrechter opvalt, is dat zeer gedetailleerd wordt ingegaan op de vele praktische hobbels die zich bij de uitvoering van het beslag zouden kunnen voordoen. De rechter anticipeert op mogelijke uitvoeringsproblemen. Zo komt bijvoorbeeld aan de orde wat er gedaan moet worden als de partij bij wie het beslag wordt gelegd de gegevens inmiddels niet meer zelf in huis heeft, maar bij een derde partij – bijvoorbeeld in de cloud – heeft geplaatst. In dat geval zal, aldus de rechter, de beslagene aan de deurwaarder toegang tot de cloud moeten geven, onder meer door wachtwoorden en inlogcodes te verstrekken.

Uitvoering van beslag op digitale bestanden is voor de meeste deurwaarders geen eenvoudige zaak. Het kopiëren van bestanden en de verslaglegging van wat precies onder het beslag valt, vereisen specifieke expertise. Uit de beslissing van de rechter wordt duidelijk dat de deurwaarder zich daarom mag laten vergezellen door een gespecialiseerde ICT-deskundige. Daarvoor is in de beslissing Probatius uit Waddinxveen aangewezen, een gereputeerde dienstverlener met grote expertise en jarenlange ervaring op het raakvlak van ICT en recht.

Maatregelen na een datalek
Wanneer je als organisatie te maken hebt met een datalek, dan sta je voor de vraag welke maatregelen je precies moet nemen om de mogelijk negatieve gevolgen op te vangen of om erger te voorkomen. Als je vreest dat de desbetreffende persoonsgegevens in handen zijn gekomen van een foute partij die niet snel bereid is de gegevens vrijwillig te retourneren of te vernietigen, dan kan een conservatoir bewijsbeslag overwogen worden. Wie zijn zorgplicht rondom persoonsgegevens serieus neemt, zal die stap zelfs moeten zetten. Een beslag kan een effectief wapen zijn. De Groningse uitspraak is daarbij een nuttig en zeer bruikbaar precedent.


Lees meer over