De tech pers heeft uitgebreid aandacht besteed aan pogingen van de AP (Autoriteit Persoonsgegevens) om meer informatie te krijgen over het datalek bij Leaseweb. Dat het niet bij een gang naar de rechter zou blijven viel te verwachten. De nieuwe reactie is dat wel.
Bij de affaire Leaseweb draait het om drie partijen: Leaseweb, Northwave en AP. Tussen de eerste twee bestaat een klant-leverancier verhouding. Dat AP bij Northwave aanklopt voor meer informatie is begrijpelijk, maar volgens de rechter op dit moment nog niet terecht. Die heeft eigenlijk gezegd: “Klop eerst maar weer aan bij Leaseweb en als dat niets oplevert pas dan kan bij Northwave informatie worden opgevraagd”. Tot zover is het verhaal duidelijk.
Er is echter een vierde partij die zich probeert te mengen in de discussie. Die partij zegt namens de cybersecurity bedrijven te spreken en handelen. Die partij heeft schijnbaar in een eerdere fase al contact gezocht met het AP om over deze concrete zaak te speken. Dat is gegaan in de vorm van een open brief. Een bijzonder instrument en zoals eerder geschreven roept dat vragen op.
AP heeft de moeite genomen op die brief te reageren, met een eveneens open brief. Deze actie-reactie is opmerkelijk en roept ook weer de nodige vragen op. Voor sommigen is deze manier van communiceren wel heel uitzonderlijk. De inhoud van het schrijven zelf leidt tot grotendeels voorspelbare reacties.
Wettelijke bevoegdheden
Die reacties zijn voor het gros van de ITchannelPRO lezers minder interessant. In de brief van de AP staat echter tot twee keer toe een passage die wel onder de aandacht gebracht moet worden. AP wijst de lezers van de open brief – zoals het heet – ‘fijntjes” op de wettelijke bevoegdheden die het heeft. Als men ergens aanklopt dan zijn bedrijven (rechtspersonen) verplicht medewerking te verlenen. Wat veelal wordt vergeten is dat die medewerking ook geldt voor het personeel (natuurlijke personen).
Die passage is niet nieuw, andere toezichthouders hebben die ook. Toch zal het voor velen schrikken zijn. Zelfs de jongste bediende of stagiair bij een bedrijf kan worden gedwongen vragen te beantwoorden en mee te werken.
Schot voor de boeg
Of het de bedoeling is van de open brief is onduidelijk, maar de scope van die “subtiele waarschuwing” gaat natuurlijk wel een paar stappen verder dan het lopende geschil tussen Leaseweb – Northwave – AP over een datalek. Dit schrijven kan eveneens goed worden gezien als een schot voor de boeg voor partijen die denken dat de rol van welke toezichthouder dan ook bij security een wassen neus is.