Tag: meldplicht

About meldplicht

Subscribe Feeds

Gemeente Emmen onder vuur over late bekendmaking van datalek

Geplaatst op in Privacy, 8 reacties

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.
Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

Geplaatst op in Privacy, 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen diverse tipgevers,  “Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene.” Met dus het welbekende CBR-motto er achteraan.

Volgens de AVG is iedere vorm van inbreuk op de beveiliging van persoonsgegevens een datalek (artikel 4 definitie 12), als die leidt tot al dan niet bedoelde verwerking in strijd met de AVG. Dus inderdaad is het verkeerd versturen van medische informatie een datalek, een usb-stick met onbeveiligde dossiers laten slingeren ook en het zonder bevoegdheid lezen van iemands medische statuschart eveneens.

Ieder datalek moet worden gemeld bij de AP (artikel 35 AVG), en wel zo snel mogelijk. Dus niet “binnen 72 uur”, dat is alleen de bovengrens voor “zo snel mogelijk”. Er geldt alleen een grote uitzondering:

tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen
De richtsnoeren van het Comité noemen als voorbeeld hiervan het feit dat het nieuwsbriefsysteem van een energiebedrijf er door een storing een week uitligt, zodat de klanten geen nieuwsbrief met nuttige weetjes over energiebesparing krijgen. Dat is geen risico voor die klanten, dus dit datalek (onbeschikbaarheid van persoonsgegevens) hoeft niet te worden gemeld.

Bij medische informatie zou je toch snel aannemen dat je wél een risico hebt. Maar de ziekenhuiswoordvoerder lijkt te doelen op de specifieke situatie dat de ontvanger betrouwbaar is en dus geen misbruik van de gegevens maakt. Bijvoorbeeld wanneer iemand bij de rookpaal een usb-stick vindt, die inlevert bij de receptie waar net twee minuten eerder een arts zich meldde met “heeft iemand een usb-stick gevonden”. Dan kun je zeggen, de kans is zeer klein dat er misbruik van de stick is gemaakt (natuurlijk, het kán dat de vinder snel een kopie heeft getrokken maar hoe waarschijnlijk is dat), en dan hoef je dat niet te melden.

Ik heb zelf wel eens een Excelsheet met persoonsgegevens per abuis naar mijn notaris gemaild in plaats van naar de beoogde ontvanger (zelfde voornaam, Outlook, jaja precies). Dat vond ik geen meldingsplichting datalek omdat de notaris geheimhouding heeft, en als die dan zegt het bestand meteen te vernietigen dan is dat genoeg. Maar dat gaat dus goed vanwege de speciale status van die notaris én de werkrelatie die ik met die persoon heb.

Ik ken ook het verhaal van iemand die klant A een lijst persoonsgegevens mailde die voor klant B bedoeld was. Daar hing hij binnen 30 seconden aan de lijn bij A, die vertelde in het gesprek “ik druk nú op delete en nú op prullenbak leeg” en daarna bevestigde hij dat schriftelijk, inclusief de toezegging “ik vertel niets hierover en mochten er backups zijn dan gooi ik het bestand daaruit ook weg; als ik lieg mag je me 100% aansprakelijk stellen”. Dat is denk ik ook wel genoeg, gezien de grote snelheid en de betrouwbaar overkomende reactie.

In het algemeen zeggen “het leek zo’n aardige man/vrouw” zou ik daarentegen wat mager vinden. Je neemt dan een risico, maar ik zie het ergens wel: waarschijnlijk heb je een langdurige patiëntrelatie met mevrouw A, dus als de behandelend arts die belt en zegt “ach wilt u die brief aan B in de kachel stoppen” en mevrouw reageert positief, dan kun je wel aannemen dat A dat ook echt doet. Ik zou die brief dan niet melden – als het om één (of een handvol) brieven gaat. Stuurde je er 500 naar verkeerde personen, dan is dat nabellen nauwelijks te doen én is er vast wel iemand die kwaad wil.

Arnou

Is er ook een meldplicht datalekken voor bedrijfsdata?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 3 reacties

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

De term ‘datalek’ is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico’s voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als ‘vitale aanbieder’.

Ben je niet ‘vitaal’, dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Opmerkelijk aan die wet vind ik overigens nog dat er expliciet is gezegd dat een bedrijfsgeheim géén IE-recht is. Je kunt een geheim niet verkopen of in licentie geven. Wel heb je ongeveer dezelfde middelen ter beschikking om een inbreukmaker aan te pakken, zoals beslag en een volledige proceskostenvergoeding – maar dat laatste alleen als dat gepast is gezien de waarden van je geheim.

Arnoud

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

Geplaatst op in Privacy, 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Moet je ieder theoretisch mogelijk datalek al melden bij de toezichthouder?

Geplaatst op in Privacy, 2 reacties

Een lezer vroeg me:

Bij ons bedrijf loopt een discussie over de meldplicht datalekken. Wij kunnen niet uitsluiten dat geen van onze medewerkers ooit in een phishing-truc trapt, of dat iemand via een uiterst geavanceerde hack binnendringt en data steelt op een manier dat de logging wordt omzeild. Moeten we dan elke dag een datalek melden? Immers, je moet lekken melden tenzij je kunt uitsluiten dat er data is gelekt.

Nee, dat hoeft niet in dit soort theoretische gevallen.

Allereerst is een beveiligingsfout pas een datalek als er daadwerkelijk iets is gebeurd én je daar weet van hebt. Is je een datalek niet opgevallen, dan heb je niets om te melden en dan hoef je dus ook niet te melden. (De lat ligt bij “had moeten weten” volgens mij, dus als een normaal oplettend iemand het had geweten dan kun jij niet zeggen “lalala datalek hoe bedoel je”).

Kun je uitsluiten dat er iets is gebeurd, dan hoef je niet te melden dat die fout er zat. Logbestanden zijn een goede manier om uit te sluiten dat via een gemanipuleerde URL data is opgevraagd bijvoorbeeld. Ook de aanwezigheid van bijvoorbeeld een firewall die het verzenden van data via een bepaalde poort verhindert, zou ik genoeg vinden om niet van een datalek over die poort te spreken.

Het idee is dat je pas iets moet melden als je concreet een incident hebt. Het heeft weinig zin om te zeggen “misschien ben ik gephisht” of “mogelijk zat er een intruder op mijn netwerk die de klantdatabse heeft gedownload buiten ons IDS om”. Met zo’n melding kan er geen onderzoek of wat dan ook volgen.

Ten tweede: als je weet hebt van een datalek, dan moet je het melden tenzij de kans op schade voor betrokkenen minimaal is. In de praktijk komt dat neer op of je kunt uitsluiten dat er misbruik wordt gemaakt van de persoonsgegevens. Het is hier dus niet tenzij je kunt uitsluiten dat er een lék is geweest, maar uitsluiten dat er scháde door het lek is. Arnoud

Arnoud

Natuurlijk komen er boetes op datalekken aan

Geplaatst op in Privacy, 5 reacties

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

Geplaatst op in Privacy, Security, 20 reacties

disc-data-weg-bewaren-kruis.jpgOp 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

Kabinet zwakt wetsvoorstel meldplicht datalekken af

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataHet kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de nota van wijziging.

Tsja. Het is subtiel woordenspel; in beide situaties moet de melder interpreteren of een diefstal of lek onder de wet valt. Ik weet niet of we daar heel gelukkig van worden. Ik denk dat met alle formuleringen die we gaan verzinnen, een melder of zijn slimme ICT-jurist een interpretatie weet te verzinnen waarom zijn lek er niet onder valt. “Nee sorry Heartbleed is geen ernstig datalek want er is geen aanwijzing in onze logs dat iemand het servergeheugen heeft leeggetrokken.”

Nee weet je: eigenlijk ben ik gewoon tégen een meldplicht. Mensen worden daar melddoof van – zie de cookiewet. Als je mensen om de haverklap vertelt dat er iets is, dan gaan ze dat negeren. Er is iets ernstig mis met je systeem als je denkt dat de oplossing is om mensen te waarschuwen. (Of je bent erg lui.)

Bovendien, specifiek bij datalekken, wat kún je doen? Stel mijn naam en huisadres worden gelekt. Wat moet ik dan? Verhuizen? Dat gaat toch niet? Ja oké bij een mailadres kan dat wel maar moet ik dan een ander mailadres nemen omdat een of andere nieuwsbriefbeheerder zo dom is een lekke database te hebben?

Nee. De vervuiler betaalt. Als jij zo dom bent, dan mag jij mij een vergoeding betalen als er overlast betaalt. In juridische termen: dan gaan we de directie eens aansprakelijk stellen voor verlies of diefstal van persoonsgegevens. En ja ik weet dat die schade moeilijk te kwantificeren is, dus daarom moet er in de wet komen te staan dat persoonsgegevens een vast bedrag waard zijn, zeg €150. En vervolgens moet de beheerder dus bij een datalek aan alle nieuwsbrieflezers €150 de man betalen.

Wedden dat bedrijven dan wél serieus gaan investeren in dichttimmeren van hun persoonsgegevendatabanken?

Arnoud

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

Geplaatst op in Privacy, 6 reacties

disc-data-weg-bewaren-kruis.jpgOrganisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van deze slappehapstekst.

Onder de privacywet, de Wet bescherming persoonsgegevens, is iedereen die persoonsgegevens verzamelt verplicht deze ‘adequaat’ te beveiligen. Wat precies adequaat is, staat niet in de wet. Dat is te afhankelijk van het soort gegevens en het soort misbruik dat op de loer ligt, is de gedachte. De toezichthouder heeft richtsnoeren voor beveiliging gepubliceerd, maar heel concreet worden die ook niet.

Dit wetsvoorstel verandert daar niets aan. Er komt dus geen boete op het inadequaat beveiligen van persoonsgegevens. Wél komt er nu een eis voor iedere verantwoordelijke om het Cbp te informeren bij iedere inbreuk op de beveiliging “waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.” Tevens moet hij de betrokken personen zélf ook informeren als “de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”

Klinkt leuk, niet? Natuurlijk, je wilt triviale meldingen vermijden (“de deur naar onze administratie stond tien minuten open” of “mogelijk heeft iemand op mijn scherm naar het openstaande adresboek gekeken”). Vandaar dat ‘aanmerkelijke kans’ en de wens dat er wel ‘nadelige gevolgen’ zijn. Maar dan pak ik de Memorie van Toelichting er even bij en blijkt de lat voor een melding wel héél vaag, hoog gelegd te worden:

Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen.

Dat mijn vereniging zijn database niet goed beveiligt, is dus kennelijk niet erg? Wat voor soort sites wordt er ook alweer massaal gehackt elke week? Zijn dat banken of webwinkels? Gemeentelijke administraties of sportverenigingen? Wie het Zwartboek Datalekken van Bits of Freedom doorbladert, zal zich hopelijk net als ik afvragen waarom in vredesnaam zo’n opmerking gemaakt moest worden.

Wél gemeld moeten datalekken bij de Belastingdienst, Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar, zo noemt men als voordelen. Want dat “kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht”, zo staat er dan. Dus réken maar dat de bedrijfsjurist van ieder getroffen bedrijf meteen redeneert, de door ons beheerde persoonsgegevens vallen niet onder een wettelijke geheimhoudingsplicht en wij zijn geen bank, dus mooi we hoeven niets te melden.

Argh. Die zin “financieel nadeel” gaat daarmee nogal een lastig criterium worden om iemand aan te pakken. Grootste probleem is en blijft namelijk dat de schade door misbruik van persoonsgegevens niet goed te kwantificeren is. Wat kost een gelekt e-mailadres mij? Hoe veel schade ondervind ik (meetbaar en met bonnetjes te onderbouwen) als mijn BSN op een vage site staat?

Nee. Gemiste kans, dit. Het had veel simpeler gekund: boete bij inadequate beveiliging, hoogte direct gerelateerd aan de hoeveelheid gegevens in de database en het soort gegevens. Daarover lees ik dan dit:

Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.

Poe poe nou nou, het EVRM en lex certa. Vertaald naar normaal Nederlands: dan gaat het bedrijfsleven zeuren “ja maar wij weten niet wanneer een beveiliging ‘adequaat’ is dus dan staat er een boete op iets vaags”. Nou sorry hoor, maar als de maatschappelijke zorgvuldigheid als norm duidelijk genoeg is, waarom dit dan niet? (En ja ik weet het verschil tussen civiel en bestuursrecht.) Of iets adequaat is, kun je prima vaststellen – doe een audit of laat een deskundige er wat over zeggen.

Of, heel simpel, als er gegevens op straat zijn gekomen dan was je beveiliging inadequaat. Vinden we persoonsgegevens nou waardevol om te beschermen of niet?

Arnoud