Gemeente Emmen onder vuur over late bekendmaking van datalek

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.
Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Een NDA in je bug bounty stoppen is een heel slecht idee, ook voor Uber

OpenClipart-Vectors / Pixabay

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees naar het lek als een “geplande securitytest”. En dat is dan net nadat ik twee bedrijven (zakelijk) heb moeten overtuigen dat je ethical hackers géén NDA moet voorleggen als ze je ongevraagd een potentieel datalek komen melden.

In 2016 liet Uber een fors datalek gebeuren, met kort daarna nog eentje. (Ik vind “was hit by a data breach” geen gepaste tekst, het is geen meteoor maar nalatigheid, kom nou.) Bij die laatste wilden de hackers een ton aan losgeld, anders zouden ze de data op internet zetten. “Information is extremely sensitive and we need to keep this tightly controlled,” zo besloot men intern. Toenmalig Uber security chief Joe Sullivan handelde ook daarnaar: hij onderhandelde met de hackers en liet ze een bug bounty contract tekenen, in ruil voor een ton die in bitcoin werd betaald.

Dat was in zoverre onhandig dat de FTC na dat eerste datalek een onderzoek had ingesteld en van plan was Uber met een schikking weg te laten komen. Toen dat tweede datalek een jaar later alsnog uitkwam, kwam daar natuurlijk weinig meer van terecht.

Nu kan het natuurlijk gebeuren dat iemand een datalek ontdekt en dat meldt, om aanspraak te maken op de financiële beloning – bug bounties – die een bedrijf uitlooft. Ook Uber doet dat: tot tienduizend dollar kun je verdienen met je tip over een datalek. Maar daar is een aparte website en procedure voor, en je krijgt het geld dan ook gewoon overgemaakt. Deze manier van afhandelen riekt dan dus ook niet naar een gewone bountyclaim.

Het blijkt echter wel staande praktijk om tipgevers aan een dikke geheimhouding te binden, en ik vind dat dus raar. Ja, als je iemand inhuurt dan kun je voorwaarden onderhandelen en geheimhouding is dan een prima onderhandelpunt. Maar wanneer iemand van buitenaf komt aanwaaien, dan moet dat zeker geen voorwaarde zijn. (Een tijdelijke, redelijke periode zodat je het lek kunt dichten is natuurlijk wél prima.) Het schrikt mensen af, ondanks dat het niet bindend is, en het laatste wat je zou moeten willen als organisatie is dat een tipgever liever de pers belt dan jouw organisatie.

Arnoud

“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

tomfield / Pixabay

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.

Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.
Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.

Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.

Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.

Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.

Arnoud

Hoe krijg ik security op de kaart bij mijn kinderopvang?

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Kun je miljoenen eisen van de Staat voor GGD-datalekken?

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.
Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud

Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?

Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-tekstendatum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.

Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.

Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.

Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ’tenzij’ is beperkt tot drie situaties:

  1. de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
  2. de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  3. de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Situatie 1 is grofweg dat de data wel is gelekt maar in sterk versleutelde of gepseudonimiseerde vorm. Dan is het risico op misbruik minimaal immers. Maar dat is hier niet van toepassing.

Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd.  Ook niet van toepassing, integendeel.

Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.

In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.

Arnoud

RDC mag miljoenen Nederlandse autobezitters niet over datalek informeren

Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. Dat meldde Security.nl onlangs. Het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk. Maar RDC mag niets zeggen, omdat ze verwerker is.

Onduidelijk is hoe de datadiefstal kon gebeuren. De NOS (hoi Joost) ontdekte dat de data te koop stond, maar de RDC had vooralsnog geen verklaring over het hoe en wat. Wel heeft men direct een melding bij de Autoriteit Persoonsgegevens gedaan, en de autohandelaren voor wie zij werken ingelicht.

De RDC biedt het product AutoMotive Dashboard (AMD) aan. Dit “biedt u een geïntegreerd platform met databases en functionaliteit voor het analyseren van statistische automotive marktinformatie.” Hiervoor krijgt men data van de RDW, zoals informatie over de vervaldatum van apk-keuringen en grove informatie over de eigenaren van auto’s, zoals de cijfers van de postcode en geboortejaar.

En nee, dat is niet hetzelfde als NAW-gegevens, e-mailadressen, telefoonnummers, geboortedata et cetera. Kennelijk levert de RDW ruwe data aan RDC, die dan gaat anonimiseren? Dat lijkt me risicovol en onnodig, maar een andere verklaring heb ik niet.

In ieder geval, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de Rijksdienst voor het wegverkeer. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de RDW haar beslissing.

Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. De RDW meldt het aan jou, en als je dan claims hebt dan dien je die bij de RDW in. Die lost het intern maar op met RDC.

Arnoud

Ransomware is inderdaad ook een datalek als je niet uitkijkt

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt. De ANWB informeerde meteen haar leden, wat heel netjes is maar wel vragen opriep: hoezo is dit nu een datalek onder de AVG?

Meestal denken mensen bij de term ‘datalek’ aan het beschikbaar komen van persoonsgegevens bij onbevoegde derden. Bijvoorbeeld wanneer iemand zonder wachtwoord bij een database weet te komen of als een Excel naar de verkeerde is gemaild. Maar de wettelijke definitie (artikel 4 AVG) is breder:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Ook “vernietiging” en “verlies” zijn vormen van datalekken. Heb je je administratie maar op één datadrager en gaat die verloren, dan heb je dus een datalek in de zin van de AVG: je kunt de status van je administratie dan niet meer reproduceren. Je kunt dan bijvoorbeeld niet meer zeggen wie nog moet betalen of wie geld van jou krijgt, dan zijn persoonsgegevens (informatie over mensen) dus verloren. Dit is dus waarom je een backup moet maken.

In het geval van de ANWB en haar incassobureau TKB lijkt het onwaarschijnlijk dat de ANWB haar ledenadministratie kwijtgeraakt is door de ransomware bij TKB. Hooguit zijn de gegevens bij TKB zelf (wie hebben we aangemaand, wie heeft al betaald, welke reactie kregen we op onze laatste sommatie) verloren gegaan, maar het lijkt me vrij sterk dat men geen backup heeft. Hoewel je dat nooit zeker weet.

Ik vermoed echter dat men dit als datalek behandelt vanwege een andere reden. Al geruime tijd wordt gewaarschuwd dat ransomware niet alleen data gijzelt maar het vaak ook steelt. Als je toch al bij alle data kunt, waarom zou je dan niet even een kopietje trekken om daar achteraf misdadige dingen mee te doen? “Dank je voor het betalen voor de sleutel, dat bewijst dat je je zorgen maakt over deze data, graag nog eens 1 bitcoin want anders zet ik je klantendatabase op internet”. Dus dan is ransomware een datalek zelfs als je nog goede backups hebt.

De ANWB waarschuwt in haar mail (via) dan ook vooral om op te letten voor misbruik van je contact- en facturatiegegevens. Want een nepfactuur voor lidmaatschap 2022 is natuurlijk een leuke bijverdienste voor dit soort criminelen.

Arnoud