Ransomware is inderdaad ook een datalek als je niet uitkijkt

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt. De ANWB informeerde meteen haar leden, wat heel netjes is maar wel vragen opriep: hoezo is dit nu een datalek onder de AVG?

Meestal denken mensen bij de term ‘datalek’ aan het beschikbaar komen van persoonsgegevens bij onbevoegde derden. Bijvoorbeeld wanneer iemand zonder wachtwoord bij een database weet te komen of als een Excel naar de verkeerde is gemaild. Maar de wettelijke definitie (artikel 4 AVG) is breder:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Ook “vernietiging” en “verlies” zijn vormen van datalekken. Heb je je administratie maar op één datadrager en gaat die verloren, dan heb je dus een datalek in de zin van de AVG: je kunt de status van je administratie dan niet meer reproduceren. Je kunt dan bijvoorbeeld niet meer zeggen wie nog moet betalen of wie geld van jou krijgt, dan zijn persoonsgegevens (informatie over mensen) dus verloren. Dit is dus waarom je een backup moet maken.

In het geval van de ANWB en haar incassobureau TKB lijkt het onwaarschijnlijk dat de ANWB haar ledenadministratie kwijtgeraakt is door de ransomware bij TKB. Hooguit zijn de gegevens bij TKB zelf (wie hebben we aangemaand, wie heeft al betaald, welke reactie kregen we op onze laatste sommatie) verloren gegaan, maar het lijkt me vrij sterk dat men geen backup heeft. Hoewel je dat nooit zeker weet.

Ik vermoed echter dat men dit als datalek behandelt vanwege een andere reden. Al geruime tijd wordt gewaarschuwd dat ransomware niet alleen data gijzelt maar het vaak ook steelt. Als je toch al bij alle data kunt, waarom zou je dan niet even een kopietje trekken om daar achteraf misdadige dingen mee te doen? “Dank je voor het betalen voor de sleutel, dat bewijst dat je je zorgen maakt over deze data, graag nog eens 1 bitcoin want anders zet ik je klantendatabase op internet”. Dus dan is ransomware een datalek zelfs als je nog goede backups hebt.

De ANWB waarschuwt in haar mail (via) dan ook vooral om op te letten voor misbruik van je contact- en facturatiegegevens. Want een nepfactuur voor lidmaatschap 2022 is natuurlijk een leuke bijverdienste voor dit soort criminelen.

Arnoud

ANWB’s Wegenwacht onder de Wet Van Dam

Bijna dagelijks word ik gemaild door mensen die hun abonnement op de Wegenwacht van de ANWB willen opzeggen met een beroep op de Wet Van Dam. Deze wet bepaalt immers dat je élk stilzwijgend verlengd contract mag opzeggen met opzegtermijn van een maand. Nou ja, bijna elk. De regels voor tijdschriften zijn iets anders, en ook het lidmaatschap van verenigingen is uitgesloten. Nu is de ANWB een vereniging, maar de dienst Wegenwacht wordt formeel apart aangeboden. Dus zou die opzegbaar moeten zijn, zou je denken. Maar de ANWB denkt daar anders over: zij ziet de Wegenwacht als een verzekering en bij invoering van de Wet Van Dam is ooit gezegd dat verzekeringen niet vallen onder deze wet. Maar ís dit wel een verzekering?

Een verzekering is volgens de wet (art. 7:925 BW) een overeenkomst waarbij de verzekeraar een uitkering doet (in geld of in een andere prestatie, art. 7:926 BW) wanneer zich een onvoorzienbare gebeurtenis voordoet. En die definitie past precies op wat de ANWB doet: zij verrichten de prestatie van schadeherstel wanneer zich de onvoorzienbare gebeurtenis van autopech voordoet.

Ik vond echter een recent arrest over een pechhulpdienst die aangeslagen werd voor assurantiebelasting, en dit aanvocht met het argument dat zij geen verzekeraar was. En ik werd vrolijk van de zin “dat niet elke overeenkomst waarin de voornoemde elementen kunnen worden ontwaard, verzekering in de zin van de wet is”. Want het is precies die formalistische lezing van de wet die me irriteert bij de ANWB. Nérgens noemt de ANWB haar pechhulpdienst een verzekering, nergens staat iets over een polis – het is evident dat ze de dienst gewoon als een abonnementsdienst bedoelen en het pas ‘verzekering’ zijn gaan noemen toen men peentjes begon te zweten over de Wet Van Dam.

Het Gerechtshof wijst erop dat je niet alleen moet kijken naar óf er iets wordt gedaan dat “geld of een andere prestatie” genoemd kan worden, maar ook wat het dóel daarvan is. Het doel van een verzekering is namelijk primair vergoeding van schade. Vergoeding kan in natura gebeuren (bv. je afgebrande huis wordt opnieuw opgebouwd of je krijgt een gratis rit naar huis als je auto gestolen blijkt) maar voorop moet staan dat het gaat om “het goedmaken van op geld waardeerbare schade of verlies”.

Een pechhulpdienst voldoet daar niet aan. Die strekt er vooral toe om “ongemak weg te nemen en inspanning te voorkomen”, en ongemak en inspanning tellen niet als “op geld waardeerbare schade of verlies”. Hoewel het hier ging om pechhulp aan fietsers, rolstoelrijders en scooterbestuurders, zie ik niet in waarom dit bij pechhulp voor een auto anders zou zijn. Lekke band is lekke band.

Verder is de Wegenwacht zo’n beetje hét voorbeeld van een stilzwijgend verlengd contract dat het soort ergernis oproept waar deze wet voor gemaakt is. Ik kan er dus werkelijk niet bij dat nu juist de Wegenwacht uitgesloten zou zijn. Ik hoop van ganser harte dat iemand naar de rechter stapt.

Update (13 februari 2015) een lezer wees me op het Hoge Raad-arrest in cassatie op bovenstaande, waar ik heel wat minder vrolijk van werd.

4.3 Een schadeverzekering is in artikel 7:944 BW gedefinieerd als een verzekering strekkende tot vergoeding van vermogensschade die de verzekerde zou kunnen lijden. De onderhavige overeenkomsten, die ertoe strekken om tegen een jaarlijkse betaling hulp bij pech te bieden aan gebruikers van (elektrische) fietsen, rolstoelen en elektrische scooters, zijn aan te merken als schadeverzekering. Daarbij is de vermogensschade gelegen in het niet meer deugdelijk functioneren van het vervoermiddel. Dat het verhelpen van de pech mede het karakter heeft van hulpverlening kan hieraan niet afdoen.<br/> 4.4. Gelet op hetgeen hiervoor is overwogen heeft het Hof het begrip verzekering te beperkt uitgelegd. Het middel van de Staatssecretaris slaagt derhalve.
Het stoort me nog steeds dat de ANWB het pas expliciet ‘verzekering’ is gaan noemen ná de Wet Van Dam, maar goed, de Hoge Raad geeft ze daar nu wat meer ruimte voor.

Arnoud<br/> Foto: Yellow Flowers Free Photos Art & Fun, Flickr, CC-BY 2.0