Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet je dit nu melden aan de klant, valt dit onder de meldplicht datalekken?

De meldplicht datalekken geldt voor alle datalekken waarbij persoonsgegevens zijn betrokken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze kunnen worden misbruikt, of gebruikt op een manier die niet toegestaan is. Doet zo’n datalek zich voor, dan moet dat in principe worden gemeld bij de toezichthouder (tenzij de impact minimaal is) en vaak ook bij de betrokkenen (tenzij de data encrypted was of de impact wederom minimaal is). Dit geldt nu onder de Wbp, en vanaf volgend jaar ook onder de Privacyverordening.

Voor andere data of andere soorten misbruik van persoonsgegevens geldt de meldplicht niet. Mijn standaardvoorbeeld is de hack bij een accountant waarbij de nog geheime jaarcijfers van een bv of nv worden gestolen: heel vervelend maar géén datalek in de zin van de wet en dus ook niet meldingsplichtig.

Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.

Het is natuurlijk wel zo netjes om dit als bedrijf te melden aan je klant. Ik zou zelf vinden dat je dit verplicht bent vanuit je zorgplicht als goed opdrachtnemer. En vaak staat het ook in de algemene voorwaarden: bij gebleken misbruik of inbraken zal de hoster de klant informeren over genomen maatregelen, daaruit volgt dan ook een plicht tot melden dat een defacement heeft plaatsgevonden. Maar een datalek is het niet.

Arnoud

Deel dit artikel

  1. Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.

    Ik ben het niet helemaal met je standpunt eens, ik ben van mening dat zodra men toegang heeft tot de persoonsgegevens (als men een bestand kan plaatsen, kan men ook bestanden en bijv. het database wachtwoord lezen) en jij niet redelijkerwijs kan aantonen dat men de persoonsgegevens heeft geraadpleegd, dat je er vanuit moet gaan dat dit wel gebeurd is.

    Wat vaak bij defaced websites gebeurd, is dat een kopie wordt gemaakt van de hele site en dat hij daarna wordt gedefaced. Daarmee wordt één van twee dingen het vaakst gedaan: deze worden opgeslagen en later doorgespit voor interessante informatie, of er wordt ook meteen mee een kopie van de database getrokken (hiermee heb je al een onrechtmatige verwerking die ook gemeld moet worden).

    Ik vergelijk het maar met de zoekgeraakte USB stick, die moet ik ook melden omdat ik niet kan uitsluiten dat men hierop gaat rondneuzen, ook al weet ik dat ik hem waarschijnlijk in een weiland ben verloren en de kans dat iemand hem vindt heel klein is.

    De AP geeft ook het voorbeeld van ransomware:
    Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?
    Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

    Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

    Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.

    Kortom: Aantonen dat er geen data gelekt is, anders handelen alsof er wel data gelekt is!

  2. Indien de hacker root toegang tot de server heeft gekregen, kon hij ook de database met klantgegevens van de webshop downloaden en dit zelfs uit de logs halen. Er is dan geen bewijs van een datalek, maar het valt ook niet uit te sluiten. Zou je er dan niet gewoon vanuit moeten gaan dat er wél een data lek is?

    • De eerste vraag is: wat staat er aan persoonlijke gegevens op de website; op sommige websites staat alleen publieke informatie, dus is er niets te lekken… In andere gevallen moet je een stuk speurwerk doen en proberen te achterhalen hoe de defacement gebeurd is… Het kan een upload via een redacteurs-account met zwak wachtwoord geweest zijn en dan is de kans dat er persoonlijke data gelekt is klein. Hebben de hackers volledige leestoegang gehad tot de database (of de databestanden), dan mag je aannemen dat er gegevens gelekt zijn en is een melding op zijn plaats.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS