De VU-student kon er niet omheen. De hack op Instructure, het moederbedrijf van het onderwijsplatform Canvas, raakte hem of haar net zo goed als miljoenen andere studenten wereldwijd. Sommige studenten haalden er misschien hun schouders over op en hoopten stilletjes op wat compensatie voor een gemist tentamen. Anderen maakten zich oprecht zorgen over wat er met hun gestolen gegevens zou gebeuren. Zij waren niet de enigen. Hetzelfde hackerscollectief ShinyHunters had enkele maanden eerder al toegeslagen bij telecomprovider Odido, waar de gegevens van ruim zes miljoen klanten werden buitgemaakt.
De hack op Canvas illustreert een juridisch probleem dat steeds vaker opduikt in een wereld waarin organisaties hun digitale infrastructuur uitbesteden aan grote techbedrijven. De VU en zes andere Nederlandse universiteiten maken gebruik van Canvas, maar het platform zelf wordt beheerd door het Amerikaanse bedrijf Instructure. Wanneer daar iets misgaat, rijst meteen de vraag wie verantwoordelijk is, en of jij daar als gedupeerde student ooit iets aan hebt.
Jouw data, maar niet jouw contract
Om die vraag te beantwoorden, biedt de Algemene Verordening Gegevensbescherming (AVG) het juridische kader. De AVG maakt een fundamenteel onderscheid tussen twee rollen: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de gegevensverwerking bepaalt. De verwerker voert die verwerking uit in opdracht van de verwerkingsverantwoordelijke.
In het geval van Canvas zijn de universiteiten verantwoordelijk: zij beslissen welke studentgegevens worden verwerkt en waarvoor. Instructure treedt op als verwerker, het bedrijf beheert de technische infrastructuur, maar doet dat in opdracht van de universiteiten. Die verhouding wordt vastgelegd in een verwerkersovereenkomst, die ingevolge de AVG verplicht is. Daarin staan afspraken over beveiliging, geheimhouding en wat er moet gebeuren bij een datalek.
Het cruciale punt is dit: ook als de fout bij de verwerker ligt, blijft de verwerkingsverantwoordelijke eindverantwoordelijk richting de betrokkene. De student die klaagt over zijn gelekte gegevens, klaagt in de eerste plaats bij zijn universiteit en niet bij Instructure. Dat de universiteit contractuele afspraken had gemaakt over beveiliging, doet daar niet aan af.
De beveiliging
Zowel de verwerkingsverantwoordelijke als de verwerker hebben op grond van artikel 32 AVG een zelfstandige verplichting om passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens. Wat "passend" is, hangt af van de stand van de techniek, de uitvoeringskosten en de aard en omvang van de verwerking.
Bij Odido speelt een aanvullend verwijt. De Autoriteit Persoonsgegevens doet onderzoek of het bedrijf gegevens langer heeft bewaard dan de wet toestaat. Personen die al jaren geen klant meer waren bij Odido, bleken toch in de gelekte database voor te komen. Dat is niet alleen een beveiligingsprobleem, het is een zelfstandige overtreding van de AVG, los van de hack zelf.
De universiteiten staan in een andere positie. Zij mochten tot op zekere hoogte vertrouwen op Instructure, dat beschikte over de vereiste certificeringen en regelmatig werd getoetst. Maar de vraag is of dat vertrouwen voldoende was onderbouwd, en of de verwerkersovereenkomst voldoende waarborgen heeft voor een situatie als deze. De vraag die dan overblijft is even praktisch als juridisch: wat kun jij als gedupeerde student of klant eigenlijk doen?
De praktijk van een schadevergoeding
Bij Odido is inmiddels een massaclaim gestart door Consumers United in Court (CUIC), een stichting die opkomt voor de bescherming van de privacy van consumenten. Gedupeerden kunnen zich kosteloos aansluiten op basis van no cure, no pay. Maar onderzoekers waarschuwen dat het jaren, mogelijk vijf tot zeven, kan duren voordat gedupeerden daadwerkelijk iets zien. Bovendien eist de Nederlandse rechter doorgaans bewijs van concrete, individuele schade. Immateriële schade zoals stress of een onbehaaglijk gevoel is juridisch moeilijk te kwantificeren. Materiële schade, denk aan kosten voor een nieuw paspoort of identiteitsdocument is vaak alleen verhaalbaar met bewijs van een direct causaal verband met het datalek.
Bij Canvas is de situatie nog complexer. De betrokken universiteiten hebben elk een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens, maar of er daadwerkelijk handhaving volgt en tegen wie, is nog onduidelijk. Bovendien sloot Instructure uiteindelijk een akkoord met ShinyHunters: de gestolen data zou zijn vernietigd in ruil voor een niet openbaar gemaakt bedrag. Of gedupeerde studenten daarmee voldoende zijn beschermd, valt te betwijfelen.
Een structureel probleem
Wat de Canvas-hack en het Odido-datalek samen blootleggen is een structurele kwetsbaarheid in de manier waarop persoonsgegevens tegenwoordig worden beheerd. Organisaties, van universiteiten tot telecomproviders, zijn in hoge mate afhankelijk van externe leveranciers voor hun digitale infrastructuur. Dat creëert een situatie waarin de eindverantwoordelijkheid weliswaar juridisch is belegd bij de verwerkingsverantwoordelijke, maar de feitelijke controle over de beveiliging elders ligt.
De AVG biedt een kader, maar geen garantie. Het recht op schadevergoeding bestaat op papier, maar is in de praktijk moeilijk te effectueren. De vraag wie jou beschermt als jouw data lekt, heeft vooralsnog geen bevredigend antwoord.
Bronnen
VU koppelt alle Canvas-systemen los, hackers nemen sites universiteiten over | Binnenland | NU.nl
Cybersecurity En Aansprakelijkheid: Wie Is Verantwoordelijk Bij Een Datalek? | Law & More
Update 12 mei: stand van zaken hack leverancier onderwijsplatform Canvas | Universiteiten van Nederland
Handleiding Algemene verordening gegevensbescherming
https://open.overheid.nl/documenten/ronl-dd12795b-eaa8-4e23-b552-96ef285cb9ad/pdf
Massaclaim tegen Odido van start: dit reageert Odido en zo sluit je je aan | Opgelicht?!
Datalek? Dit moet u doen | Autoriteit Persoonsgegevens
https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-dit-moet-u-doen