Moet je ieder theoretisch mogelijk datalek al melden bij de toezichthouder?

| AE 10707 | Privacy | 2 reacties

Een lezer vroeg me:

Bij ons bedrijf loopt een discussie over de meldplicht datalekken. Wij kunnen niet uitsluiten dat geen van onze medewerkers ooit in een phishing-truc trapt, of dat iemand via een uiterst geavanceerde hack binnendringt en data steelt op een manier dat de logging wordt omzeild. Moeten we dan elke dag een datalek melden? Immers, je moet lekken melden tenzij je kunt uitsluiten dat er data is gelekt.

Nee, dat hoeft niet in dit soort theoretische gevallen.

Allereerst is een beveiligingsfout pas een datalek als er daadwerkelijk iets is gebeurd én je daar weet van hebt. Is je een datalek niet opgevallen, dan heb je niets om te melden en dan hoef je dus ook niet te melden. (De lat ligt bij “had moeten weten” volgens mij, dus als een normaal oplettend iemand het had geweten dan kun jij niet zeggen “lalala datalek hoe bedoel je”).

Kun je uitsluiten dat er iets is gebeurd, dan hoef je niet te melden dat die fout er zat. Logbestanden zijn een goede manier om uit te sluiten dat via een gemanipuleerde URL data is opgevraagd bijvoorbeeld. Ook de aanwezigheid van bijvoorbeeld een firewall die het verzenden van data via een bepaalde poort verhindert, zou ik genoeg vinden om niet van een datalek over die poort te spreken.

Het idee is dat je pas iets moet melden als je concreet een incident hebt. Het heeft weinig zin om te zeggen “misschien ben ik gephisht” of “mogelijk zat er een intruder op mijn netwerk die de klantdatabse heeft gedownload buiten ons IDS om”. Met zo’n melding kan er geen onderzoek of wat dan ook volgen.

Ten tweede: als je weet hebt van een datalek, dan moet je het melden tenzij de kans op schade voor betrokkenen minimaal is. In de praktijk komt dat neer op of je kunt uitsluiten dat er misbruik wordt gemaakt van de persoonsgegevens. Het is hier dus niet tenzij je kunt uitsluiten dat er een lék is geweest, maar uitsluiten dat er scháde door het lek is. Arnoud

Arnoud

Natuurlijk komen er boetes op datalekken aan

| AE 9205 | Privacy | 4 reacties

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

| AE 7860 | Privacy, Security | 20 reacties

disc-data-weg-bewaren-kruis.jpgOp 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

Kabinet zwakt wetsvoorstel meldplicht datalekken af

| AE 6574 | Ondernemingsvrijheid, Privacy | 21 reacties

Het kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de… Lees verder

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

| AE 5663 | Privacy | 6 reacties

Organisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van… Lees verder