Britse privacywaakhond: “Cyber security is not an IT issue, it is a boardroom issue”

Het Britse telecombedrijf TalkTalk heeft van de Information Commissioner’s Office (ICO), de Britse privacywaakhond, een recordboete opgelegd gekregen van £ 400.000,-. TalkTalk had haar digitale beveiliging onvoldoende op orde, waardoor in 2015 ‘met gemak’ 156.959 persoonsgegevens konden worden gestolen. Het ging daarbij om namen, adressen, geboortedata, telefoonnummers, e-mailadressen en in sommige gevallen ook om bankgegevens.

Uit het onderzoek van ICO blijkt dat TalkTalk gebruik maakte van verouderde systemen en dat TalkTalk deze systemen onvoldoende had gecontroleerd op mogelijke zwakheden en dreigingen. Zo werd al twee keer eerder een aanval op de systemen van TalkTalk uitgevoerd, maar deze werden niet opgemerkt. Indien TalkTalk voldoende aandacht had besteed aan de controle en beveiliging van haar systemen, dan had zij kunnen constateren dat haar database software verouderd was, niet meer werd ondersteund door de provider en bovendien was geïnfecteerd. De diefstal had dan makkelijk voorkomen kunnen worden:

“TalkTalk’s failure to implement the most basic cyber security measures allowed hackers to penetrate TalkTalk’s systems with ease.”

"In spite of its expertise and resources, when it came to the basic principles of cyber-security, TalkTalk was found wanting.” (mijn onderstrepingen)

De ICO is op grond van de Britse Data Protection Act 1998 uitgerust met bevoegdheid om een geldboete van maximaal £ 500.000,- op te leggen aan bedrijven die deze Act schenden. Kort gezegd dienen bedrijven passende maatregelen te treffen om de persoonsgegevens van hun klanten te beschermen.

De thans opgelegde boete is de hoogste boete die tot nu toe in het Verenigd Koninkrijk is opgelegd. De ICO gebruikt strenge bewoordingen en geeft expliciet aan dat deze boete moet worden gezien als een waarschuwing voor andere bedrijven. Bovendien stelt de ICO expliciet dat cybersecurity niet enkel meer een IT-aangelegenheid is; het is een bestuurderskwestie geworden.

 “Today’s record fine acts as a warning to other that cyber security is not an IT issue, it is a boardroom issue.” (mijn onderstreping)

Een dergelijke verschuiving van techniek naar bestuur signaleerde ik al eerder (zie bijvoorbeeld dit Kennispagina-artikel, alsmede het artikel van mijn kantoorgenoot). Deze uitspraak van de ICO bevestigt de noodzaak dat organisaties daadwerkelijk op bestuurdersniveau aandacht besteden aan cybersecurity en cyberrisico’s, zeker in het licht van de sinds 1 januari 2016 in werking getreden Meldplicht Datalekken (artikel 34a Wbp). Sinds deze wetswijziging is ook de Nederlandse privacywaakhond (de Autoriteit Persoonsgegevens) uitgerust met de bevoegdheid om flinke boetes op te leggen (tot € 820.000,- of 10% van de omzet).

Bestuurders (en niet te vergeten ook commissarissen[1]) dienen cybersecurity niet alleen in het belang van de organisatie hoog op de agenda te plaatsen. Uit de wetsgeschiedenis volgt dat ook de feitelijk leidinggevenden zelf het risico lopen om te worden beboet indien zij hebben nagelaten om maatregelen te treffen ter voorkoming van een schending van de Wbp en daarmee bewust de kans hebben aanvaard dat deze gedraging zal plaatsvinden (Kamerstukken I 2014/15, 33662, C, p. 20).

Indien bestuurders onvoldoende aandacht besteden aan cybersecurity, door bijvoorbeeld (vergelijk TalkTalk) niet eens ‘the most basic’ maatregelen te treffen (zeker indien de bestuurder daarop wordt gewezen), lopen zij bovendien het civielrechtelijke risico op persoonlijke aansprakelijkheid wegens onbehoorlijke taakvervulling (2:9 BW) of onrechtmatige daad (6:162 BW). Een bepaalde doorwerking van de publiekrechtelijke normen uit de Wbp in de civielrechtelijke normen van aansprakelijkheid is niet uit te sluiten.

Ook interessant is de uitspraak van de ICO dat bedrijven ‘zorgvuldig en waakzaam’ moeten zijn ten aanzien van (de bescherming van) persoonsgegevens, niet alleen omdat ze daartoe wettelijk verplicht zijn, maar ook omdat bedrijven een verplichting hebben jegens hun klanten:

 “Companies must be diligent and vigilant. They must do this not only because they have a duty under law, but because they have a duty to their customers.” (mijn onderstreping)

In feite benoemt de ICO hiermee de gedachte die ten grondslag ligt aan de Data Protection Act (vergelijkbaar met de Nederlandse Wbp), namelijk dat de betrokkenen om wier gegevens het gaat, recht hebben op een behoorlijke bescherming. Hieruit volgt dat de zorgplicht van bedrijven niet enkel publiekrechtelijk zijn uitwerking heeft, namelijk in de Wbp en de daarin opgenomen handhavingsbevoegdheid van de AP, maar ook civielrechtelijk gezien van belang is. Degene die persoonsgegevens van een ander verwerkt, heeft ervoor zorg te dragen dat hij deze gegevens beschermt. Doet hij dat niet (voldoende) en lijdt de betrokkene daardoor schade, dan valt te verdedigen dat sprake is van een toerekenbare tekortkoming (6:74 BW) of een onrechtmatige daad (6:162 BW). Dat schending van de privacyregels tot aansprakelijkheid kan leiden blijkt ook uit bijvoorbeeld artikel 77 lid 1 van de Europese Algemene Verordening Gegevensbescherming, die in 2018 in werking zal treden:

“Iedere persoon die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met deze verordening strijdig is, heeft het recht om van de voor de verwerking verantwoordelijke of de verwerker vergoeding te ontvangen.”

Het is dus niet enkel het risico op de bestuurlijke boete van de Autoriteit Persoonsgegevens die voor bedrijven en organisaties een drijfveer zou moeten vormen om aandacht te besteden aan cybersecurity en cyberrisico’s; de privaatrechtelijke zorgplicht vormt daartoe evengoed een aanleiding, zeker gezien de grote aantallen persoonsgegevens die gemiddeld bij digitale diefstallen worden buitgemaakt.[2]

[1] Zie ook C. Bulten en C. Jansen, ‘De taak van de commissaris in een digitale wereld: de noodzaak van awareness van cyber security’, Ondernemingsrecht 2016/74, p. 355-358.

[2] Zie in dit kader het artikel van mijn kantoorgenoot Mark Jansen: ‘Hoe de kosten van een datalek al snel in de miljoenen kunnen lopen’. Anders: E. Tjong Tjin Tai, ‘Aansprakelijkheid bij datalekken’, WPNR 2016-7110, p. 459-464.