De labhack en de schade: wet versus digitale praktijk

Een kleine bv, Clinical Diagnostics Nederland, werd slachtoffer van een ransomware-aanval. De persoons- en onderzoeksgegevens van zo’n miljoen Nederlanders werden gestolen. Het losgeld is betaald, maar de messen worden al geslepen voor de volgende ronde: de schadeclaims, die kunnen oplopen tot 125 miljoen euro. Het bv-tje is namelijk één van de 950 laboratoria wereldwijd van het beursgenoteerde Eurofins. En het kreeg al die data van Nederlandse (semi-)overheidsorganisaties. Wie is er dan eigenlijk aansprakelijk (te stellen) en wie draait er voor die schadeclaims op? Computable vroeg het aan Stephan Mulders, advocaat bij Blenheim en gespecialiseerd in het Privacyrecht.

Alle focus is nu op dat lab, een kleine Nederlandse bv, maar het is een dochteronderneming van de grote multinational Eurofins. Wie is dan de eindverantwoordelijke voor een schadeclaim?

‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar. Het ligt eraan wie verwerkingsverantwoordelijke of verwerker is. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking bepaalt. Dat zou normaal gesproken het lab zelf zijn, omdat die bepaalt hoe de gegevens worden verwerkt. Soms worden die beslissingen hoger in de organisatie genomen, bijvoorbeeld door het hoofdkwartier.

[....]