Natuurlijk komen er boetes op datalekken aan

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

5 reacties

  1. En wat nu als er een fout in bijvoorbeeld een opensource php omgeving zit? Even vanuit gaande dat je de updates netjes hebt geïnstalleerd…. Ben je dan verantwoordelijk? Want je had de code kunnen lezen en kunnen constateren dat er iets scheef zat/

    1. De vraag is: Heb je voldoende onderzoek gedaan naar de veiligheid van de gebruikte software en was het resultaat, gelet op de gevoeligheid van de te beveiligen gegevens en het totaalsysteem, goed genoeg? Heel vaak zul je zien dat je een aantal aanpassingen op de standaardconfiguratie moet maken om de software voor jouw gebruik geschikt te maken. (Dit hele verhaal geldt zowel voor Open Source als een commercieel systeem.)

      Bij beveiliging gaat het niet om individuele componenten, maar om het hele systeem: hardware, software, mensen en procedures. Een veiligheidsgat in een database kan in bepaalde gevallen gecompenseerd worden met een firewall.

  2. Naast dat de verwerker zijn verplichtingen moet kennen en begrijpen, moet de toezichthouder dezelfde kennis hebben en aanvullen met die ten aanzien van techniek. De ACM heeft een deel van het toezicht overgedragen aan de AP (informatieplicht en zorgplicht providers). Het sterkt mijn vertrouwen niet als toezichthouders onderling dan kennis moeten uitwisselen over wat de strekking van de verplichtingen is. Zeker niet nadat duidelijk is dat een geschillencommissie in hetzelfde werkveld nauwelijks de technische kennis heeft om de problematiek volledig te doorgronden. Bij een casus die sterke overeenkomst vertoont met de massale inbreuk op routers in Duitsland (Deutschen Telekom), is de gebruiker de pineut vanwege een “kennelijk” gebrek aan verweer tegen de stelling dat zijn eigen apparatuur gecompromitteerd was. Het creëren van dat soort bewijsnood kan ik niet als redelijk typeren. Zonder gedegen toezicht op qua beveiliging voornamelijk passief opererende providers blijft het een slangenkuil vol machtsspelletjes. En boetes komen pas na toezicht.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.