Beeldmateriaal dat mogelijk als bewijs kon dienen van wangedrag door Maccabi Tel Aviv-supporters in Amsterdam, bleek per ongeluk gewist, zo meldde de NOS onlangs. Daardoor moesten diverse strafzaken worden geseponeerd. Voor vele lezers gaf dit de vraag: is dit een datalek onder de AVG?
Het is volgens mij breed bekend dat ook verlies van gegevens kan tellen als een datalek. Dat staat ook expliciet in de definitie van die term, formeel “inbreuk op de beveiliging” (art. 4 lid 12 AVG):
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;De bijbehorende nuance van de toezichthouder is wel dat dit alleen geldt als er geen kopie of back up is. Het achterliggende idee is namelijk dat je zonder backup als betrokkene rechten kunt verliezen – bewijs maar eens dat je in de administratie stond als die weg is, of dat je betaald hebt als je betalingsbewijs is gewist.
Wat is hier gebeurd:
Het GVB bevestigt [tegenover de NOS] dat op 12 november, vijf dagen na de ongeregeldheden in de stad, de opnamerecorders zijn vervangen. Dit stond al langer gepland. “Helaas heeft deze noodzakelijke ingreep, in combinatie met de beperkte bewaartermijn, ertoe geleid dat de betreffende beelden niet meer beschikbaar waren”, aldus een woordvoerder. Het GVB zegt overigens dat beelden soms ook korter dan een week worden opgeslagen.Maar let op, niet iedere vorm van verlies van gegevens is automatisch al een datalek. Zie het begin van de definitie: er moet sprake zijn van een “inbreuk op de beveiliging”, oftewel een geschonden beveiligingsmaatregel. Een geautoriseerde gebruiker die besluit persoonsgegevens te wissen, veroorzaakt dus géén datalek ook al lijdt de betrokkene daar schade door.
Hier zijn de gegevens gewist binnen de organisatorisch geldende bewaartermijnen. Zo te lezen door slordig handelen: er komen nieuwe recorders, de oude mogen weg, oh ja oeps op de oude stonden nog beelden maar die dingen liggen al bij de recycling.
Ik zie hier niet meteen hoe de beveiliging van de persoonsgegevens is geschonden. Zeker, zorgen dat gegevens bewaard blijven is deel van de beveiliging (art. 32(1)(b) AVG noemt “beschikbaarheid garanderen” expliciet) maar als besloten wordt gegevensdragers buiten gebruik te stellen dan is dat gewoon een keuze, een legitiem handelen van de organisatie.
Dat dit gebeurde voordat de bewaartermijn was verstreken, is daarbij voor mij niet relevant. Dat is een zelfgekozen maximum voor het bewaren, geen toezegging dat de gegevens zo lang beschikbaar zullen blijven. En zelfs áls het als toezegging is geformuleerd, dan is weliswaar sprake van een fout van de organisatie maar niet van een geschonden beveiliging.
Arnoud
Hierbij vraag ik me wel af of de procedure van recycling wel goed is?
Hebben ze de data niet gewiped dan staan daar de beelden nog op als het bij de recycler komt.
Hebben ze de data wel gewiped dan is het een bewuste stap geweest om data te vernietigen.
Als ze een afspraak met de recycler hebben om ze te wissen bij ontvangst dan is het ook geen “ongeluk”. Men weet dan tenslotte dat er data gewist moet worden en ik neem aan dat dat ook op enige manier gecertificeerd gebeurd met een zwik aan procedures en certificaties en is iedereen er van bewust dat er data op staat na het verwijderen.
Kunnen ze niet even de recorders terug halen? Meestal gaat het bij een recycler op een grote stapel.
Het klinkt mij meer als een verloren foto rolletje verhaal.
Ik wil eerst even een stap terug doen: Waarom maakt het GVB de opnamen? (Wat is de verwerkingsgrond onder de AVG.) Mijn suggestie is “bescherming van eigendommen en personeel” en dan met name “opsporing van vandalisme en agressieve reizigers.” Dit met het doel om een aantal ongewenste klanten een OV-verbod op te kunnen leggen.
“Beelden beschikbaar maken voor de Politie” is geen verwerkingsgrond onder de AVG. Als de Politie dus een keer achter het net vist, is dat geen datalek. De Politie is geen beoogd gebruiker van de beelden in de AVG grondslag achter de verwerking.
Is in zo’n situatie het niet logisch dat er een gegrond onderzoek komt naar het “toevallig” karakter?
Nu was het wel zo dat de rellen niet echt in het nieuws gekomen zijn en ik me kan voorstellen dat het betrokken management er niets van vernomen zou hebben. Of toch niet?
Dat lijkt me geen gek idee, al maak ik uit de berichtgeving op dat men het eigenlijk al weet. Onderzoeken naar onderliggende motieven voelt als iets minder zinvol, ga je ooit boven tafel krijgen dat iemand de harddisk heeft laten afvoeren omdat deze dacht, mijn vriendjes van Maccabi Tel Aviv mogen niet veroordeeld worden?
Nu.nl meldt: ‘ Een OM-woordvoerder vertelt dat de politie er niets aan kan doen. De beelden werden op 12 november verwijderd, vijf dagen na de ongeregeldheden. De aangiftes werden op 14 november gedaan.’
Als de aangiftes pas later gedaan zijn, had het management geen reden om specifiek aandacht te besteden aan die beelden. Ze zullen best wel geweten hebben van de rellen, maar niet de link gelegd hebben met die beelden (bij afwezigheid van een aangifte en een verzoek om die beelden ter beschikking te stellen).
Als het bericht van nu.nl klopt zie ik absoluut geen reden om te twijfelen aan ’toevallig’.
De insinuatie is natuurlijk dat de GVB-medewerkers door de Mossad overgehaald zijn om deze beelden te wissen.
Ik snap wel dat dat de insinuatie is, maar vooral gezien de datum van aangifte zie ik geen reden om aan te nemen dat die insinuatie meer is dan een complottheorie.
De insinuatie daargelaten, is er weer niks mis met de datum. Een week na het voorval is zeer normaal. Probeer maar eens een afspraak te maken bij de politie, voor een aangifte. De agent zal je uitleggen hoe druk ze het hebben, en dat het toch echt niet de volgende dag al kan.
Let wel dat de GVB aangeeft beelden van perrons, stations, etc 28 dagen te bewaren. Dus dat ze na 5 dagen al weg waren, en de aangifte van 2 dagen later al spaak loopt, is best apart.
In het nu.nl artikel staat ‘Normaal bewaart GVB videobeelden een week, in sommige gevallen wat korter.’
Aangifte doen een week na een voorval is misschien zeer normaal, maar beelden verwijderen na 5 dagen terwijl je zegt ze normaal 7 dagen of iets korter bewaart, is nu ook niet echt verdacht, zeker als niemand die beelden geflagged heeft als ‘meer dan gemiddeld interessant’.
Je kunt van GVB niet verwachten dat ze rekening houden met traagheid van politie en aangevers en beelden zeer lang bewaren, terwijl 99.99% van de beelden nooit opgevraagd wordt.
Het GVB bewaart beelden van stations, haltes, perrons, etc 28 dagen. Die van trams, bussen, veerboten 7 dagen.
De aangifte was binnen 7 dagen, dus sowieso op tijd. En de aangifte betreft een halte, dus 28 dagen bewaartermijn.
Ik zie dat 1 aangifte inderdaad een station betrof. En dan zou het 28 dagen moeten zijn.
Maar het is sowieso niet een termijn waar derden rechten aan kunnen ontleden, GVB doet dat voor hun eigen belang, en kan dus ook vrij beslissen dat belang op te geven door een kortere termijn aan te houden.
Zoals Arnoud stelt (en daarin geef ik hem gelijk): ‘Dat is een zelfgekozen maximum voor het bewaren, geen toezegging dat de gegevens zo lang beschikbaar zullen blijven’
Maar wanneer is iets een ‘fout’ en iets ‘gepland’? “Er komen nieuwe recorders, de oude mogen weg” klinkt inderdaad als gepland, maar “oh ja oeps op de oude stonden nog beelden” klinkt als een fout. Is er bewust voor gekozen geen backups te maken van de beelden die te vroeg weg gegooid worden? En is die bewuste keuze ook ergens gedocumenteerd?
Nou klinkt het wel heel makkelijk om de AVG te omzeilen. Gegevens kwijt? Zeg dat het gepland was. De gemeente raakt jouw bezwaarschrift kwijt? Jah, de server waar die op stond werd onder de planning vervangen… Foutje, bedankt. Geen datalek, dus ook geen 72-uurs meldplicht en ook geen toezichthouder die even vragen komt stellen. Dit lijkt mij toch niet de bedoeling van de AVG.
He? Ik zeg niet dat het rechtmatig is wat er is gebeurd. Het lijkt me zeker een fout, maar niet de fout die de wet “datalek” noemt. Fouten zijn (tenzij overmacht) onrechtmatig en leiden tot aansprakelijkheid en ingrijpen toezichthouder.
Ik heb het niet over rechtmatigheid, maar nog steeds over de definitie datalek. Immers, hoe moet een toezichthouder ingrijpen als men zelf al stelt ‘het is geen datalek, dus er is geen meldplicht’? Het is toeval dat dit voorval het nieuws heeft gehaald.
Als het voortijdig vernietigen van gegevens aantoonbaar bewust was gedaan, dan ben ik het eens dat het geen datalek zou kunnen zijn. Ergens een mailtje ‘om kosten te besparen kiezen we er voor geen backups te maken’ zou al voldoende zijn. Maar als achteraf pas komt ‘uhm ja hoor, dat was een bewuste keuze, echt heus’ zonder bewijs, dan ga word ik sceptisch. Dan denk ik, de processen rammelen en dit was een datalek.
Het is onjuist dat een toezichthouder alleen mag ingrijpen als er een datalek is. De toezichthouder let op alle vormen van verwerking en heeft alle bevoegdheden bij iedere onrechtmatige verwerking.
Het lijkt me onwenselijk dat er een meldplicht komt bij iedere vorm van gegevensverlies, al is het maar omdat je dan de toezichthouder overspoelt. Wij kunnen niet zien wanneer de beveiliging geschonden wordt, daarom is daar een meldplicht op.
Een rammelend proces is geen datalek. Rammelende datasecurity geeft datalekken. Wat was hier de security breach?
Als we er even vanuit gaan dat de top van de organisatie bewust de gegevens een week wil bewaren, en dat dat nu niet gebeurd is door een geplande vervanging van apparatuur, dan blijft nog steeds staan dat er ergens iets misgegaan is in de implementatie van het beleid.
De security breach is dan dat een werknemer de mogelijkheid gehad heeft (en die gebruikt heeft) om iets met de data te doen wat niet de bedoeling was, zonder dat dit opgemerkt is.
Als de werknemer daarvoor de logingegevens van zijn baas gebruikt zou hebben, zou je wel zeggen: security breach, maar nu dat hij op een andere manier meer rechten heeft gekregen dan de bedoeling was (en deze gebruikt heeft) is het geen security breach?
Simpel: De werknemer heeft een bredere, meeromvattende toegang tot de data gekregen dan mocht van het management. Of het middel om die toegang te krijgen een geleende login is of een fysieke toegang tot de apparaten, maakt niet uit.
Het kan natuurlijk ook zo zijn dat de top van de organisatie gezegd heeft “vervang maar op dag x, de beelden mogen in dit geval wel een paar dagen eerder verwijderd worden”. Of dat bepaalde medewerkers daarin zelf beslissingen mogen nemen als daar aanleiding voor is, gezien de opmerking “Het GVB zegt overigens dat beelden soms ook korter dan een week worden opgeslagen.”
Het zal eerder een overweging zijn van “Het nieuwe systeem kan de oude schijven niet lezen; wat kost het om het oude systeem nog een maand naast het nieuwe te laten draaien, alleen om oude beelden terug te kunnen halen?” En dan te besluiten dat de waarde kleiner is dan de kosten.
(Ruimtegebrek in de computerruimte kan meespelen in deze overweging.)
Ik ga niet mee in dat er geen sprake kan zijn van een datalek als geautoriseerde gebruiker die besluit persoonsgegevens te wissen. Die beveiliging bestaat uit “passende technische en organisatorische maatregelen” en als daar per ongeluk of op onrechtmatig wijze inbreuk op wordt gemaakt, dan is er sprake van een datalek (art. 4 lid 12 en 32 AVG). Het verplicht afwerken van een checklist kan zo’n organisatorische maatregel zijn. Het besluit dat die geautoriseerde gebruiker bewust neemt kan onrechtmatig zijn en in strijd zijn met de organisatorische maatregelen die verwerkingsverantwoordelijke of verwerker heeft genomen of had moeten nemen. Stel dat een geautoriseerde beveiliger videobeelden wist zonder de vereiste afweging of zonder goedkeuring van een leidinggevende, terwijl dat volgens het protocol vereist is, dan is er sprake van een inbreuk op de organisatorische maatregelen, en dus kan sprake zijn van een datalek.