Geldt de meldplicht datalekken ook voor defaced websites?

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet je dit nu melden aan de klant, valt dit onder de meldplicht datalekken?

De meldplicht datalekken geldt voor alle datalekken waarbij persoonsgegevens zijn betrokken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze kunnen worden misbruikt, of gebruikt op een manier die niet toegestaan is. Doet zo’n datalek zich voor, dan moet dat in principe worden gemeld bij de toezichthouder (tenzij de impact minimaal is) en vaak ook bij de betrokkenen (tenzij de data encrypted was of de impact wederom minimaal is). Dit geldt nu onder de Wbp, en vanaf volgend jaar ook onder de Privacyverordening.

Voor andere data of andere soorten misbruik van persoonsgegevens geldt de meldplicht niet. Mijn standaardvoorbeeld is de hack bij een accountant waarbij de nog geheime jaarcijfers van een bv of nv worden gestolen: heel vervelend maar géén datalek in de zin van de wet en dus ook niet meldingsplichtig.

Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.

Het is natuurlijk wel zo netjes om dit als bedrijf te melden aan je klant. Ik zou zelf vinden dat je dit verplicht bent vanuit je zorgplicht als goed opdrachtnemer. En vaak staat het ook in de algemene voorwaarden: bij gebleken misbruik of inbraken zal de hoster de klant informeren over genomen maatregelen, daaruit volgt dan ook een plicht tot melden dat een defacement heeft plaatsgevonden. Maar een datalek is het niet.

Arnoud

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

brakke-beveiligingEen lezer vroeg me:

Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen?

Van tijd tot tijd krijgen overheden het inderdaad in hun hoofd dat het een goed idee zou zijn om sterke en dus niet-aftapbare encryptie te verbieden of aan banden te leggen. Het niet kunnen meelezen met digitale communicatie is voor inlichtingen- en opsporingsdiensten nogal vervelend.

Dat zo’n wet een sterke negatieve invloed heeft op de beveiliging, staat buiten kijf. De technische feature van een achterdeur is neutraal: iedereen met de juiste toegang kan deze gebruiken, of hij daar nu toe gerechtigd is of niet.

Tegen ongeautoriseerde toegang hebben we sinds 1 januari een Wet meldplicht datalekken. Deze is breder dan enkel melden: ook op het niet goed op orde hebben van je beveiliging staan nu boetes. Moedwillig een achterdeur inbouwen kan daarmee in strijd zijn. Je verzwakt dan de beveiliging en maakt misbruik mogelijk.

Echter, hier zou het dan gaan om een wettelijk voorgeschreven achterdeur. Enkel het hebben van die achterdeur zal dan geen strijd met deze beveiligingseis opleveren. Wetten kunnen niet met elkaar in strijd zijn, is de gedachte daarachter: als er toch strijd lijkt te zijn, moet je gaan puzzelen hoe je de wetten met elkaar in overeenstemming kunt lezen.

Ik zie daar wel ruimte voor: die achterdeur moet er dan komen en dat is dan niet strijdig met je beveiligingsplicht of datalekmeldplicht. Gebruik daarvan door bevoegde opsporingsambtenaren is dan geen datalek, dat is dan immers wettelijk toegestaan en dus geen misbruik of ongeautoriseerd gebruik.

Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.