Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Tandartspraktijk krijgt patiëntendatabase niet terug van leverancier, mag dat in Nederland?

| AE 10990 | Ondernemingsvrijheid | 13 reacties

Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk niet goed voortzetten, en dat is voor de patiënten natuurlijk heel vervelend. Het riep gelijk bij mij de vraag op, zou dat in Nederland / Europa net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat zonder de tekst te kennen geen sterk verhaal is. En oh ja, tentamenvraag, is dat een datalek, je database niet terugkrijgen?

Om maar met die tentamenvraag te beginnen, die is te makkelijk: ja, dat is een datalek – als je geen backup hebt. Onder een datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder incident dat leidt tot ongeoorloofd gebruik maar ook verlies van persoonsgegevens. Het achterliggende idee is dat je als betrokkene – hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt betaald of juist dat afgesproken is dat je niet hoefde te betalen voor iets. Als je er last van hebt, dan is het een datalek.

Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de contractuele afspraken. Bij een business-to-business contract is het immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets dat die maar vooraf had moeten bedenken en een artikel over had moeten opnemen.

De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3 punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt dan dus een héél serieus probleem, want je bent niet AVG compliant op meerdere punten (je data is niet gezekerd, je hebt een datalek, je verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt). Afspraken maken dus, en tot die tijd geen data bij die provider stallen.

Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle mooie contractuele frases ten spijt, dingen kunnen kwijt raken of ontoegankelijk worden (denk faillissement, mega-grote brand, dikke vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.

Toegang tot data regel je praktisch, niet alleen juridisch.

Arnoud

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 13 reacties

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Moet je ieder theoretisch mogelijk datalek al melden bij de toezichthouder?

| AE 10707 | Privacy | 2 reacties

Een lezer vroeg me: Bij ons bedrijf loopt een discussie over de meldplicht datalekken. Wij kunnen niet uitsluiten dat geen van onze medewerkers ooit in een phishing-truc trapt, of dat iemand via een uiterst geavanceerde hack binnendringt en data steelt op een manier dat de logging wordt omzeild. Moeten we dan elke dag een datalek… Lees verder

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n… Lees verder

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Security | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Is het een datalek om een domeinnaam te laten vervallen?

| AE 9491 | Intellectuele rechten | 29 reacties

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Ondernemingsvrijheid, Privacy | 12 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Informatiemaatschappij, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder