Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet je dit nu melden aan de klant, valt dit onder de meldplicht datalekken?
De meldplicht datalekken geldt voor alle datalekken waarbij persoonsgegevens zijn betrokken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze kunnen worden misbruikt, of gebruikt op een manier die niet toegestaan is. Doet zo’n datalek zich voor, dan moet dat in principe worden gemeld bij de toezichthouder (tenzij de impact minimaal is) en vaak ook bij de betrokkenen (tenzij de data encrypted was of de impact wederom minimaal is). Dit geldt nu onder de Wbp, en vanaf volgend jaar ook onder de Privacyverordening.
Voor andere data of andere soorten misbruik van persoonsgegevens geldt de meldplicht niet. Mijn standaardvoorbeeld is de hack bij een accountant waarbij de nog geheime jaarcijfers van een bv of nv worden gestolen: heel vervelend maar géén datalek in de zin van de wet en dus ook niet meldingsplichtig.
Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.
Het is natuurlijk wel zo netjes om dit als bedrijf te melden aan je klant. Ik zou zelf vinden dat je dit verplicht bent vanuit je zorgplicht als goed opdrachtnemer. En vaak staat het ook in de algemene voorwaarden: bij gebleken misbruik of inbraken zal de hoster de klant informeren over genomen maatregelen, daaruit volgt dan ook een plicht tot melden dat een defacement heeft plaatsgevonden. Maar een datalek is het niet.
Arnoud
Ik ben het niet helemaal met je standpunt eens, ik ben van mening dat zodra men toegang heeft tot de persoonsgegevens (als men een bestand kan plaatsen, kan men ook bestanden en bijv. het database wachtwoord lezen) en jij niet redelijkerwijs kan aantonen dat men de persoonsgegevens heeft geraadpleegd, dat je er vanuit moet gaan dat dit wel gebeurd is.
Wat vaak bij defaced websites gebeurd, is dat een kopie wordt gemaakt van de hele site en dat hij daarna wordt gedefaced. Daarmee wordt één van twee dingen het vaakst gedaan: deze worden opgeslagen en later doorgespit voor interessante informatie, of er wordt ook meteen mee een kopie van de database getrokken (hiermee heb je al een onrechtmatige verwerking die ook gemeld moet worden).
Ik vergelijk het maar met de zoekgeraakte USB stick, die moet ik ook melden omdat ik niet kan uitsluiten dat men hierop gaat rondneuzen, ook al weet ik dat ik hem waarschijnlijk in een weiland ben verloren en de kans dat iemand hem vindt heel klein is.
De AP geeft ook het voorbeeld van ransomware:
Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?
Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.
Kortom: Aantonen dat er geen data gelekt is, anders handelen alsof er wel data gelekt is!
Hoe kun je aantonen dat er geen data gelekt is? Want het niet-bestaan van iets valt moeilijk te bewijzen.
Als maar één gebruiker is gehackt, die niet de logs kan wijzigen, waarbij je de database maar vanaf één extern IP en localhost mag benaderen en kan zien dat er geen extra bestanden zijn aangemaakt of gewijzigd, of alleen maar .html bestanden, waardoor er nooit een verbinding met de database kan plaats hebben gevonden. Maar in 99% van de gevallen moet het in mijn mening dus inderdaad gemeld worden, omdat niet waterdicht kan worden aangetoond dat er niks gelekt is.
Indien de hacker root toegang tot de server heeft gekregen, kon hij ook de database met klantgegevens van de webshop downloaden en dit zelfs uit de logs halen. Er is dan geen bewijs van een datalek, maar het valt ook niet uit te sluiten. Zou je er dan niet gewoon vanuit moeten gaan dat er wél een data lek is?
De eerste vraag is: wat staat er aan persoonlijke gegevens op de website; op sommige websites staat alleen publieke informatie, dus is er niets te lekken… In andere gevallen moet je een stuk speurwerk doen en proberen te achterhalen hoe de defacement gebeurd is… Het kan een upload via een redacteurs-account met zwak wachtwoord geweest zijn en dan is de kans dat er persoonlijke data gelekt is klein. Hebben de hackers volledige leestoegang gehad tot de database (of de databestanden), dan mag je aannemen dat er gegevens gelekt zijn en is een melding op zijn plaats.
Als je het niet kunt uitsluiten, moet je inderdaad uitgaan van een datalek. Alleen: is het hier niet wat theoretisch? Ik bedoel, meestal vinden defacements plaats door een SQL injectie of iets dergelijks waardoor je rommel op de server kunt plaatsen. Daarbij is de kans toch nul dat er persoonsgegevens worden uitgelezen?
Maar als SQL injection mogelijk is, dan hoeft de verantwoordelijke van de defacing niet de data te hebben gedownload, maar kan wel een ander persoon dit gedaan te hebben (zonder schade aan te richten)!
Met SQL injectie kan je potentieel juist ook een database leeglezen.
Hi Arnoud,
Helder artikel! … Met het (technisch) beheren en gezond houden van MKB websites zie ik m.b.t. persoonsgegevens vele variaties opgeslagen in de websites. Dit loopt van naam, email voor een nieuwsbrief of contact formulier tot aan betaalgegevens in een webshop. Vaak zie je in de praktijk dat alle data inzendingen verzameld via formulieren, i.i.g. in het van WordPress gebruikend MkB landschap, eindeloos lang in de website bewaard worden. Iemand die een website defacet, zal zo goed als zeker ook toegang hebben tot die opgeslagen gegevens.
Daar waar je zegt “tenzij de impact minimaal is” omtrent omvang van een datalek, zijn er vanuit de wet vuistregels die dat helpen classificeren?
Ik zie wel in dat er verschil in zwaarte bestaat tussen de diversen privacy gerelateerde data attributen, maar wanneer is impact minimaal te noemen. Email niet, betaalgegevens wel? En bij hoeveel gebruikers/inzendingen?
Ik heb beide AVG boeken van je maar heb voornoemde vraag er nog niet helder uit weten te halen als IT-er. Erg benieuwd 🙂
Dank en take care!
Gerard.
Er zijn helaas nog niet echt vuistregels, dus je moet zelf een gemotiveerde inschatting maken waarom er niets aan de hand is en er ook eigenlijk niets kan gebeuren. Ik zou willen dat er getalsmatige grenzen waren maar het blijft een gevoelskwestie.
\
Dat maakt het vooralsnog erg subjectief. Ik vind een email adres of facebook account al een soort van publiek. Zeg maar gelijk aan een huis adres. Ik kan daar immers aan bellen als ik wil. Maar er zijn vast mensen die, bijv. doordat ze het internet of de techniek minder machtig zijn, een email adres nog heilig vinden.
Mijn punt is, ik wil mijn klanten zo adviseren dat moeilijke discussie achteraf met met name AP voorkomen wordt.
Dank weer! 🙂
Email en Facebook accounts kunnen erg publiek zijn, maar dat ze in jouw database staan, linkt de persoon weer aan jou. Als er bijvoorbeeld bij een GGZ een datalek is, is het spannende niet zo dat er een email naast een naam staat, maar dat die naam er überhaupt staat. Want die naam is dan ineens een cliënt bij de GGZ, met eventuele stigma’s die daaraan hangen. Daarbij zijn er gevallen waar mensen hun email/Facebook/telefoonnummer/adres geheim willen houden. Als die in een datalek zitten, zijn ze ineens toch vindbaar, terwijl ze dachten ze opgegeven te hebben bij een plek waar ze een bepaalde privacy genieten.
Wat dat juridisch betekent, durf ik niet te zeggen, maar het laat zien dat het niet zo makkelijk is als “ach, Facebook-account kun je zo vinden”