Tag: datalekken

About datalekken

Subscribe Feeds

Is verlies van data ook een datalek?

Geplaatst op in Privacy, 8 reacties

usb-stick-gegevens-geheugenEen lezer vroeg me:

Dat je verlies van persoonsgegevens moet melden onder de meldplicht datalekken begrijp ik. Maar waarom ben ik het ook verplicht te melden als er gegevens verloren gaan? Er kan toch per definitie geen identiteitsdiefstal of fraude plaatsvinden als gegevens wég zijn?

Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo. Het is alleen even een puzzel in de Wet bescherming persoonsgegevens (Wbp).

De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” En artikel 13 zegt dan weer dat het doel van de beveiliging moet zijn de gegevens te beschermen “tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

Met ‘verlies’ wordt bedoeld het kwijtraken in de zin dat een ander ze te pakken kan krijgen. Een USB-stick met onbeveiligde persoonsgegevens in de trein verliezen dus. Maar “enige vorm van onrechtmatige verwerking” betekent in feite “iedere verwerking die geen grondslag heeft”. En verwerking is dan weer “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval … uitwissen of vernietigen van gegevens”. Vernietigen of wissen is dus ‘verwerken’.

Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, verwerkt ze onrechtmatig en schendt daarmee zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.

Wissen kan nadelig zijn, omdat de betrokken persoon daardoor vaak niet meer kan bewijzen waar hij aan toe is. Als alle betaalgegevens zijn gewist, zijn alle klanten ineens wanbetaler. Als de notitie is gewist dat ik recht heb op korting de volgende keer, krijg ik mijn korting niet. Sta ik op de lijst van geautoriseerde bezoekers die nu gedelete is, dan kan ik niet naar binnen. En er zijn zo nog meer voorbeelden. Als die ernstig genoeg zijn, dan moet het wissen worden gemeld.

In de beleidsregels meldplicht datalekken wordt daarover nog opgemerkt dat wanneer je een backup hebt, er geen sprake is van ernstige nadelige gevolgen. Je kunt het wissen dan immers meteen ongedaan maken.

Arnoud

Ik moet tekenen voor aansprakelijkheid voor datalekken bij ons bedrijf!

Geplaatst op in Ondernemingsvrijheid, Security, 15 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?

Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.

Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een ‘handje’ van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.

Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer “niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid.”

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben “wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van”. De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.

Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.

Nu kun je dus twee dingen doen: (1) tekenen “want het is tegen de wet” of (2) niet tekenen, want “kom nou wat een flauwekul”. Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).

Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij slecht werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering. Wil of kan die ook niets betekenen, dan wordt het tijd voor een stevige discussie in de kantine. Of hebben jullie betere tips?

Arnoud

Kabinet zwakt wetsvoorstel meldplicht datalekken af

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataHet kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de nota van wijziging.

Tsja. Het is subtiel woordenspel; in beide situaties moet de melder interpreteren of een diefstal of lek onder de wet valt. Ik weet niet of we daar heel gelukkig van worden. Ik denk dat met alle formuleringen die we gaan verzinnen, een melder of zijn slimme ICT-jurist een interpretatie weet te verzinnen waarom zijn lek er niet onder valt. “Nee sorry Heartbleed is geen ernstig datalek want er is geen aanwijzing in onze logs dat iemand het servergeheugen heeft leeggetrokken.”

Nee weet je: eigenlijk ben ik gewoon tégen een meldplicht. Mensen worden daar melddoof van – zie de cookiewet. Als je mensen om de haverklap vertelt dat er iets is, dan gaan ze dat negeren. Er is iets ernstig mis met je systeem als je denkt dat de oplossing is om mensen te waarschuwen. (Of je bent erg lui.)

Bovendien, specifiek bij datalekken, wat kún je doen? Stel mijn naam en huisadres worden gelekt. Wat moet ik dan? Verhuizen? Dat gaat toch niet? Ja oké bij een mailadres kan dat wel maar moet ik dan een ander mailadres nemen omdat een of andere nieuwsbriefbeheerder zo dom is een lekke database te hebben?

Nee. De vervuiler betaalt. Als jij zo dom bent, dan mag jij mij een vergoeding betalen als er overlast betaalt. In juridische termen: dan gaan we de directie eens aansprakelijk stellen voor verlies of diefstal van persoonsgegevens. En ja ik weet dat die schade moeilijk te kwantificeren is, dus daarom moet er in de wet komen te staan dat persoonsgegevens een vast bedrag waard zijn, zeg €150. En vervolgens moet de beheerder dus bij een datalek aan alle nieuwsbrieflezers €150 de man betalen.

Wedden dat bedrijven dan wél serieus gaan investeren in dichttimmeren van hun persoonsgegevendatabanken?

Arnoud

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

Geplaatst op in Privacy, 6 reacties

disc-data-weg-bewaren-kruis.jpgOrganisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van deze slappehapstekst.

Onder de privacywet, de Wet bescherming persoonsgegevens, is iedereen die persoonsgegevens verzamelt verplicht deze ‘adequaat’ te beveiligen. Wat precies adequaat is, staat niet in de wet. Dat is te afhankelijk van het soort gegevens en het soort misbruik dat op de loer ligt, is de gedachte. De toezichthouder heeft richtsnoeren voor beveiliging gepubliceerd, maar heel concreet worden die ook niet.

Dit wetsvoorstel verandert daar niets aan. Er komt dus geen boete op het inadequaat beveiligen van persoonsgegevens. Wél komt er nu een eis voor iedere verantwoordelijke om het Cbp te informeren bij iedere inbreuk op de beveiliging “waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.” Tevens moet hij de betrokken personen zélf ook informeren als “de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”

Klinkt leuk, niet? Natuurlijk, je wilt triviale meldingen vermijden (“de deur naar onze administratie stond tien minuten open” of “mogelijk heeft iemand op mijn scherm naar het openstaande adresboek gekeken”). Vandaar dat ‘aanmerkelijke kans’ en de wens dat er wel ‘nadelige gevolgen’ zijn. Maar dan pak ik de Memorie van Toelichting er even bij en blijkt de lat voor een melding wel héél vaag, hoog gelegd te worden:

Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen.

Dat mijn vereniging zijn database niet goed beveiligt, is dus kennelijk niet erg? Wat voor soort sites wordt er ook alweer massaal gehackt elke week? Zijn dat banken of webwinkels? Gemeentelijke administraties of sportverenigingen? Wie het Zwartboek Datalekken van Bits of Freedom doorbladert, zal zich hopelijk net als ik afvragen waarom in vredesnaam zo’n opmerking gemaakt moest worden.

Wél gemeld moeten datalekken bij de Belastingdienst, Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar, zo noemt men als voordelen. Want dat “kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht”, zo staat er dan. Dus réken maar dat de bedrijfsjurist van ieder getroffen bedrijf meteen redeneert, de door ons beheerde persoonsgegevens vallen niet onder een wettelijke geheimhoudingsplicht en wij zijn geen bank, dus mooi we hoeven niets te melden.

Argh. Die zin “financieel nadeel” gaat daarmee nogal een lastig criterium worden om iemand aan te pakken. Grootste probleem is en blijft namelijk dat de schade door misbruik van persoonsgegevens niet goed te kwantificeren is. Wat kost een gelekt e-mailadres mij? Hoe veel schade ondervind ik (meetbaar en met bonnetjes te onderbouwen) als mijn BSN op een vage site staat?

Nee. Gemiste kans, dit. Het had veel simpeler gekund: boete bij inadequate beveiliging, hoogte direct gerelateerd aan de hoeveelheid gegevens in de database en het soort gegevens. Daarover lees ik dan dit:

Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.

Poe poe nou nou, het EVRM en lex certa. Vertaald naar normaal Nederlands: dan gaat het bedrijfsleven zeuren “ja maar wij weten niet wanneer een beveiliging ‘adequaat’ is dus dan staat er een boete op iets vaags”. Nou sorry hoor, maar als de maatschappelijke zorgvuldigheid als norm duidelijk genoeg is, waarom dit dan niet? (En ja ik weet het verschil tussen civiel en bestuursrecht.) Of iets adequaat is, kun je prima vaststellen – doe een audit of laat een deskundige er wat over zeggen.

Of, heel simpel, als er gegevens op straat zijn gekomen dan was je beveiliging inadequaat. Vinden we persoonsgegevens nou waardevol om te beschermen of niet?

Arnoud