Softwareleverancier Nebu moet marktonderzoeker Blauw meer informatie geven over het grote datalek dat vorige maand aan het licht kwam. Dat heeft de Rotterdamse rechtbank besloten in een kort geding dat was aangespannen door Blauw, een van de klanten van Nebu. Het bedrijf krijgt twee dagen om alle beschikbare informatie bij Blauw aan te leveren. Aanleiding voor het geding was een inbraak van vorige maand in de computersystemen van Nebu. Die bevatten gegevens van miljoenen Nederlanders, die waren ondervraagd door Blauw. Dat bedrijf doet marktonderzoek voor bedrijven als NS, Vodafone, Ziggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel. Het onderzoeksbureau vroeg Nebu na het datalek herhaaldelijk om meer informatie, maar kreeg die naar eigen zeggen onvoldoende. Dat laatste concludeert de voorzieningenrechter nu ook. De rechtbank stelt ook vast dat Nebu ook nog steeds geen onafhankelijk forensisch onderzoek heeft laten plaatsvinden of zelfs maar heeft gestart. “Dit maakt het eerder redelijk dat Blauw informatie wil hebben”, aldus de rechter. Nebu krijgt vijf dagen om een onafhankelijke onderzoeker in te huren en aan het werk te zetten. De uitkomst van dit onderzoek moet van de rechtbank onmiddellijk worden doorgestuurd naar Blauw. Nebu aarzelde om opening van zaken te geven vanwege de kans dat er bedrijfsvertrouwelijke informatie van het softwarebedrijf in handen van Blauw zou komen. Dat noemt de rechter “een onvermijdelijk gevolg”. Wel moet Blauw van de rechter “prudent” met alle informatie omgaan. Als er nieuwe ontdekkingen komen over het datalek, moet Nebu Blauw daarover voortaan vrijwel direct informeren: dat moet binnen vier uur na ontdekking gebeuren. Verder dwingt de rechter Nebu om vanaf nu twee keer per dag een update over het datalek naar Blauw te sturen. Topman Jos Vink van Blauw laat in een reactie weten blij te zijn met de uitspraak. Volgens hem heeft de rechtbank hiermee klip en klaar gemaakt dat afspraken om informatie te delen bij datalekken niet zomaar genegeerd kunnen worden. “Daar maak je vooraf afspraken over en daar is de Algemene verordening gegevensbescherming ook voor bedoeld”, benadrukt hij. “Wij kunnen onze opdrachtgevers nu niet vertellen of er wel of geen data van hen zijn gestolen.”