Een lezer vroeg me:
De laatste tijd zijn er verschillende datalekken in het nieuws gekomen waarbij gedupeerden pas weken later werden gewaarschuwd. Ik weet dat in de AVG een meldplicht binnen 72 uur bij de AP geldt voor organisaties, maar waarom is er niet ook zo’n harde deadline voor getroffen personen?De AVG eist (artikel 33) dat datalekken “zonder onredelijke vertraging” worden gemeld bij de toezichthouder. Om te voorkomen dat mensen te lang dralen, staat er ook een harde deadline van uiterlijk 72 uur na ontdekking bij. Maar wie dan nog niet alles weet, mag een gedeeltelijke melding maken.
De rationele achter deze harde deadline is dat de toezichthouder zo vanaf het begin mee kan kijken en waar nodig aanwijzingen kan geven. Door dat vroeg in het proces te doen, is er nog ruimte voor sturing, kan bewijs nog worden gevorderd enzovoorts.
Naast deze meldplicht bestaat er ook een mededelingsplicht aan getroffen betrokkenen (artikel 34). Deze mededeling moet ‘onverwijld’ gebeuren, maar hier staat geen hard getal bij. De reden om ook dit zo snel mogelijk te laten gebeuren is natuurlijk dat je dan maatregelen kunt nemen zoals je wachtwoorden wijzigen.
Bij deze mededelingsplicht is geen harde termijn genoemd. De AVG geeft daar geen expliciete reden voor. Vermoedelijk is de gedachte geweest dat betrokkenen weinig hebben aan halve informatie, en dat je in die eerste 72 uur vaak nog bezig bent met dingen oplossen. Het is dan denkbaar dat even wachten beter is.
Het is echter niet zo dat je, omdat er geen hard getal staat, je mag wachten tot je een keer zin hebt om te melden. ‘Onverwijld’ is hoe dan ook zo snel mogelijk, en als het weken duurt dan kan de toezichthouder je daar echt voor op de vingers tikken. Lid 4 biedt zelfs expliciet de optie om je te sommeren per direct iedereen te informeren.
Arnoud
Binnen 72 uur melden aan de betrokkenen zou volgens mij vooral onrust geven. “Er is iets aan de hand, we weten nog niet zeker wat, waar, wie of hoe, en ook niet of het uw gegevens betreft”. Prima boodschap aan het AP, niet aan mijn moeder.
Eens, maar wanneer licht je de betrokkenen dan wel in? Wachten tot je het eindrapport van het forensisch onderzoek in handen hebt lijkt me wel erg lang.
Mijn suggestie is om klanten te waarschuwen wanneer er in het onderzoek aanwijzingen gevonden worden dat hun gegevens gelekt zijn en daarbij ook te vermelden welke specifieke gegevens. Dat zou in twee werkdagen na het vinden van de aanwijzing moeten kunnen. Zeg ook rustig dat het onderzoek verder gaat en dat je met updates komt wanneer later blijkt dat er meer klantgegevens gelekt zijn.
Een ander ding is: stel dat er gebruik is gemaakt van een zero-day waar nog geen oplossing voor is. Ga je dat dan aan het publiek mededelen? Of is het verstandiger een oplossing (al dan niet van de leverancier) af te wachten en dan mede te delen?
De wet zegt niet dat je “full disclosure” moet geven. Je kunt aangeven dat (en welke) gegevens van je klanten gekopieerd zijn, zonder details te geven over hoe de hackers binnengekomen zijn.