Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Moet je ieder theoretisch mogelijk datalek al melden bij de toezichthouder?

| AE 10707 | Privacy | 2 reacties

Een lezer vroeg me:

Bij ons bedrijf loopt een discussie over de meldplicht datalekken. Wij kunnen niet uitsluiten dat geen van onze medewerkers ooit in een phishing-truc trapt, of dat iemand via een uiterst geavanceerde hack binnendringt en data steelt op een manier dat de logging wordt omzeild. Moeten we dan elke dag een datalek melden? Immers, je moet lekken melden tenzij je kunt uitsluiten dat er data is gelekt.

Nee, dat hoeft niet in dit soort theoretische gevallen.

Allereerst is een beveiligingsfout pas een datalek als er daadwerkelijk iets is gebeurd én je daar weet van hebt. Is je een datalek niet opgevallen, dan heb je niets om te melden en dan hoef je dus ook niet te melden. (De lat ligt bij “had moeten weten” volgens mij, dus als een normaal oplettend iemand het had geweten dan kun jij niet zeggen “lalala datalek hoe bedoel je”).

Kun je uitsluiten dat er iets is gebeurd, dan hoef je niet te melden dat die fout er zat. Logbestanden zijn een goede manier om uit te sluiten dat via een gemanipuleerde URL data is opgevraagd bijvoorbeeld. Ook de aanwezigheid van bijvoorbeeld een firewall die het verzenden van data via een bepaalde poort verhindert, zou ik genoeg vinden om niet van een datalek over die poort te spreken.

Het idee is dat je pas iets moet melden als je concreet een incident hebt. Het heeft weinig zin om te zeggen “misschien ben ik gephisht” of “mogelijk zat er een intruder op mijn netwerk die de klantdatabse heeft gedownload buiten ons IDS om”. Met zo’n melding kan er geen onderzoek of wat dan ook volgen.

Ten tweede: als je weet hebt van een datalek, dan moet je het melden tenzij de kans op schade voor betrokkenen minimaal is. In de praktijk komt dat neer op of je kunt uitsluiten dat er misbruik wordt gemaakt van de persoonsgegevens. Het is hier dus niet tenzij je kunt uitsluiten dat er een lék is geweest, maar uitsluiten dat er scháde door het lek is. Arnoud

Arnoud

Natuurlijk komen er boetes op datalekken aan

| AE 9205 | Privacy | 4 reacties

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

| AE 7860 | Privacy, Security | 20 reacties

Op 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden… Lees verder

Kabinet zwakt wetsvoorstel meldplicht datalekken af

| AE 6574 | Ondernemingsvrijheid, Privacy | 21 reacties

Het kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de… Lees verder

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

| AE 5663 | Privacy | 6 reacties

Organisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van… Lees verder