Een lezer vroeg me:
Onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een backup-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu niet of werkelijk die backup is gedownload door de inbreker. Is dit een datalek en moeten wij dit melden?
De wet (art. 34a Wbp) spreekt van een datalek als sprake is van een “inbreuk op de beveiliging” van persoonsgegevens. Dit moet worden gemeld als er een “aanzienlijke kans op ernstige nadelige gevolgen” is voor de betrokkenen. Een hack waarbij men er vandoor gaat met een backup van klantgegevens zou ik wel als een inbreuk op de beveiliging kwalificeren. Of je die moet melden, hang af van het soort klantgegevens. Bij enkel het bestand van de nieuwsbrief denk ik dat niet, bij NAW + creditcardgegevens zeker wel.
De vraag is dus nu, ís er zo’n hack geweest? Vast staat het niet, maar uitsluiten kun je het ook niet. En dan moet je kiezen als wetgever – of als toezichthouder. Voor de zekerheid als datalek markeren, of pas iets een datalek noemen als het bewijs er ligt?
De toezichthouder (Autoriteit Persoonsgegevens) heeft beleidsregels gepubliceerd over hoe om te gaan met datalekken. Het criterium dat men hier hanteert, is of je “redelijkerwijs kunt uitsluiten” dat er toegang is geweest tot persoonsgegevens. Alleen dan hoef je het incident niet als datalek te behandelen. Men kiest dus voor de zekerheid, liever een lek te veel dan een te weinig gemeld.
Hier valt zeker niet uit te sluiten dat het backupbestand is opgevraagd. Zulke bestanden zijn immers aantrekkelijk voor criminelen, omdat er van alles bij elkaar staat. Leuke buit dus. En daarom moet dit incident als een datalek worden behandeld.
Arnoud
In de luchtvaart heeft men een cultuur waarbij vervolging van verantwoordelijken zo veel mogelijk wordt vermeden, en alleen wordt gedaan als er echt duidelijk sprake is van kwade opzet. Het idee erachter is dat het veel belangrijker is om de waarheid te achterhalen, zowel voor verwerking door slachtoffers/nabestaanden als voor het voorkómen in de toekomst, dan om verantwoordelijken te straffen. Vervolging van verantwoordelijken staat waarheidsvinding in de weg, omdat het (mogelijk) verantwoordelijken een motief geeft om onregelmatigheden in hun eigen werk te verzwijgen. Als gevolg van deze “waarheidsvinding voorop” cultuur is het nu een stuk veiliger in de luchtvaart dan decennia geleden.
Hoe zit dat bij het melden van datalekken? Loop je kans op schadeclaims of andere problemen als je een datalek meldt?
De cultuur in de luchtvaart is er ook een waar bij iedere stap die gezet wordt de veiligheidsaspecten meegewogen worden. In de automatisering is beveiliging een sluitpost en kiest men er liever voor om de risico’s via de EULA af te schuiven op de gebruikers.
Op zich vind ik dat een melder van een datalek het voordeel van de twijfel verdient en ik zie, normaal gesproken, geen reden om een boete (of last) op te leggen als de melder uit eigen beweging de beveiliging van zijn systeem weer op nivo probeert te krijgen.
Aan de andere kant zijn er organisaties die roekeloos omgaan met persoonsgegevens van hun klanten en die horen door een Authoriteit daarop aangesproken te worden, of ze nu wel of niet een datalek melden. (Het zou me niet verbazen dat bepaalde organisaties niet eens merken dat hun website al jarenlang gegevens lekt.)
Het voordeel is dat de meeste aanvallen hagelschoten zijn en er dus niet actief gezocht wordt naar specifieke informatie. Anders dan direct waardevolle data zoals creditcardgegevens en e-mail adressen zal de meeste data niet eens benaderd worden. Dat geldt natuurlijk iet voor gerichte hacks.