image

Juridische vraag: is de meldplicht datalekken ook van toepassing bij het verloren gaan van gegevens?

woensdag 16 maart 2016, 12:25 door Arnoud Engelfriet, 10 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: dat je verlies van persoonsgegevens moet melden onder de meldplicht datalekken begrijp ik. Maar waarom ben ik het ook verplicht te melden als er gegevens verloren gaan? Er kan toch per definitie geen identiteitsdiefstal of fraude plaatsvinden als gegevens wég zijn?

Antwoord: Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo. Het is alleen even een puzzel in de Wet bescherming persoonsgegevens (Wbp).

De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere "inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens." En artikel 13 zegt dan weer dat het doel van de beveiliging moet zijn de gegevens te beschermen "tegen verlies of tegen enige vorm van onrechtmatige verwerking."

Met 'verlies' wordt bedoeld het kwijtraken in de zin dat een ander ze te pakken kan krijgen. Een usb-stick met onbeveiligde persoonsgegevens in de trein verliezen dus. Maar “enige vorm van onrechtmatige verwerking” betekent in feite "iedere verwerking die geen grondslag heeft". En verwerking is dan weer "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval ... uitwissen of vernietigen van gegevens".

Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, schendt zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.

Wissen kan nadelig zijn, omdat de betrokken persoon daardoor vaak niet meer kan bewijzen waar hij aan toe is. Als alle betaalgegevens zijn gewist, zijn alle klanten ineens wanbetaler. Als de notitie is gewist dat ik recht heb op korting de volgende keer, krijg ik mijn korting niet. Sta ik op de lijst van geautoriseerde bezoekers die nu gedelete is, dan kan ik niet naar binnen. En er zijn zo nog meer voorbeelden. Als die ernstig genoeg zijn, dan moet het wissen worden gemeld.

In de beleidsregels meldplicht datalekken wordt daarover nog opgemerkt dat wanneer je een backup hebt, er geen sprake is van ernstige nadelige gevolgen. Je kunt het wissen dan immers meteen ongedaan maken.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
16-03-2016, 20:14 door Anoniem
Als je bijvoorbeeld een encryptie trojan op je netwerk gehad hebt dan moet je dat melden, zelfs als je alle schade
hebt kunnen herstellen dmv restoren van een backup.
17-03-2016, 09:47 door CSO.
Door Anoniem: Als je bijvoorbeeld een encryptie trojan op je netwerk gehad hebt dan moet je dat melden, zelfs als je alle schade hebt kunnen herstellen dmv restoren van een backup.

Dat lijkt mij dus niet. Als alles hersteld kan worden vanuit een backup, wordt dat niet gezien als 'verlies' (in de zin van vernietiging). Er is dan ook geen nadelig effect voor de klant/betrokkene. Dat wordt anders als de data inhoudelijk blootgestaan heeft aan kennisneming door onbevoegden maar dat is met een pure encryptie trojan niet altijd het geval.
17-03-2016, 13:00 door Anoniem
Door CSO.: Dat lijkt mij dus niet. Als alles hersteld kan worden vanuit een backup, wordt dat niet gezien als 'verlies' (in de zin van vernietiging). Er is dan ook geen nadelig effect voor de klant/betrokkene. Dat wordt anders als de data inhoudelijk blootgestaan heeft aan kennisneming door onbevoegden maar dat is met een pure encryptie trojan niet altijd het geval.

Lijkt mij juist wel. Als de encryptie-trojan op het moment van infectie/ontdekking al "bekend" is, durf jij er gif op in te nemen dat de volledige payload bekend is...? Of dat er met zekerheid te zeggen is welke commando's er vanaf de CNC server gegeven zijn? In de meeste gevallen kan je, hoe vervelend dan ook, niet met zekerheid zeggen dat er geen data gecompromitteerd is. Dus ja, mijn inziens dien je een dergelijke infectie ook te melden.
17-03-2016, 13:06 door Anoniem
Door CSO.:
Dat lijkt mij dus niet. Als alles hersteld kan worden vanuit een backup, wordt dat niet gezien als 'verlies' (in de zin van vernietiging).
Door CSO.:
Door Anoniem: Als je bijvoorbeeld een encryptie trojan op je netwerk gehad hebt dan moet je dat melden, zelfs als je alle schade hebt kunnen herstellen dmv restoren van een backup.

Dat lijkt mij dus niet. Als alles hersteld kan worden vanuit een backup, wordt dat niet gezien als 'verlies' (in de zin van vernietiging). Er is dan ook geen nadelig effect voor de klant/betrokkene. Dat wordt anders als de data inhoudelijk blootgestaan heeft aan kennisneming door onbevoegden maar dat is met een pure encryptie trojan niet altijd het geval.

Dat lijkt jou niet, maar het is dus wel zo.
Het feit dat je ongewenste software op je netwerk gehad hebt en dus niet weet of die alle bestanden alleen encrypted
heeft of wellicht ook (een deel) verstuurd heeft dat is al voldoende reden om dit te moeten opgeven.
17-03-2016, 13:57 door Anoniem
Quote:
Dat lijkt jou niet, maar het is dus wel zo.
Het feit dat je ongewenste software op je netwerk gehad hebt en dus niet weet of die alle bestanden alleen encrypted
heeft of wellicht ook (een deel) verstuurd heeft dat is al voldoende reden om dit te moeten opgeven.


^^^

Dit
17-03-2016, 15:51 door [Account Verwijderd]
Door CSO.:
Door Anoniem: Als je bijvoorbeeld een encryptie trojan op je netwerk gehad hebt dan moet je dat melden, zelfs als je alle schade hebt kunnen herstellen dmv restoren van een backup.

Dat lijkt mij dus niet. Als alles hersteld kan worden vanuit een backup, wordt dat niet gezien als 'verlies' (in de zin van vernietiging). Er is dan ook geen nadelig effect voor de klant/betrokkene. Dat wordt anders als de data inhoudelijk blootgestaan heeft aan kennisneming door onbevoegden maar dat is met een pure encryptie trojan niet altijd het geval.

Hoewel ik het inhoudelijk met je eens bent, elke vorm van een malware infectie wordt gezien als een (potentieel) datalek en zal gemeld moeten worden. Dit betreft dus niet malware dat afgevangen is door anti-malware oplossingen, maar de infecties die er doorheen komen.

Hieronder staat een stuk uit Beleidsregels Meldplicht Datalekken
Pagina 21, paragraaf 3.3.
URL: https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken

Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een
datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle
persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en
creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een
server die in handen is van de aanvaller. Een dergelijke malware-besmetting stelt de
getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen
van onrechtmatige verwerking. Andere typen malware maken bestanden
ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren ('ransomware') of te
versleutelen ('cryptoware'). Door deze vormen van malware worden de getroffen
persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.

En het klopt, als er persoonsgegevens verloren gaan, dan is dat ook gegevensverlies en daarmee een datalek. Wanneer je een uitwijk moet initiëren door een calamiteit waarbij je de datastanden van je informatiesystemen in één lijn moet brengen kan het zo maar zijn dat je daarbij transacties van persoonsgegevens gaat kwijtraken. Dit verlies zul je moeten melden.

De reden hiervoor is dat wanneer een hypotheekverstrekker transacties mist (bijvoorbeeld een goedkeuringsproces van een hypotheek aanvraag) de klant van die verstrekker mogelijk niet op tijd zijn hypotheek krijgt en ergo de woning niet kan kopen met dito gevolgen.
17-03-2016, 21:21 door karma4
Toch maar eens https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf doorlopen.
Wat zijn de zwakheden:
- De belangrijkste trigger is het kennisnemen van een lek. Zo lang je niets weet / pretendeerd niets te weten. Is er niets aan de hand.
- Het uitgangspunt is dat je met detectie weet wat er aan de hand is. Nergens is benoemd wat er zou moeten gebeuren als die kennis er niet is.

Dat laatste is niet volgens het denkpatroon van veel security fanaten. Die beweren dat als je niet weet wat goed is dat het per definitie niet goed is. Er is ook nog een tri-value logica naast de binominale (Null RDBMS).
Heel zwart wit: Aangezien er geen software is zonder fouten en je je niet weet wat er is gehackt is alles per definitie gehached en fout zonder uitzondering. Dat we nog bestaan toont aan dat zoiets niet realistisch is.
23-03-2016, 15:53 door Anoniem
Dus als data onbeschikbaar is door ransomware moet je dat ook melden?
26-03-2016, 00:30 door Anoniem
Door karma4: Toch maar eens https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf doorlopen.
Wat zijn de zwakheden:
- De belangrijkste trigger is het kennisnemen van een lek. Zo lang je niets weet / pretendeerd niets te weten. Is er niets aan de hand.
- Het uitgangspunt is dat je met detectie weet wat er aan de hand is. Nergens is benoemd wat er zou moeten gebeuren als die kennis er niet is.

Dat laatste is niet volgens het denkpatroon van veel security fanaten. Die beweren dat als je niet weet wat goed is dat het per definitie niet goed is. Er is ook nog een tri-value logica naast de binominale (Null RDBMS).
Heel zwart wit: Aangezien er geen software is zonder fouten en je je niet weet wat er is gehackt is alles per definitie gehached en fout zonder uitzondering. Dat we nog bestaan toont aan dat zoiets niet realistisch is.

Volgens mij gaat die vlieger niet op. Ter vergelijking; probeer eens tegen een agent te zeggen die jou aanhoudt voor rijden onder invloed 'dat je dat niet wist' .. ik wens je veel succes. Gewoon omdat er beschreven staat dat IEDEREEN in Nederland verplicht is om de wet te kennen en dus ook te weten wanneer hij / zij een overtreding maakt. Niet melden van een gelekte privacy gegevens is een overtreding.
04-04-2016, 16:52 door Anoniem
Door karma4: Toch maar eens https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf doorlopen.
Wat zijn de zwakheden:
- De belangrijkste trigger is het kennisnemen van een lek. Zo lang je niets weet / pretendeerd niets te weten. Is er niets aan de hand.
- Het uitgangspunt is dat je met detectie weet wat er aan de hand is. Nergens is benoemd wat er zou moeten gebeuren als die kennis er niet is.

Dat eerste gaat niet helemaal op. In de wet staat ook dat je passende beveiligingsmaatregelen moet nemen. Maatregelen op detectiegebied vallen daar ook onder. Je kunt je dus niet zomaar 'dom' houden en zeggen/pretenderen dat je niets weet. Men mag dus verwachten dat je detectiemaatregelen hebt en dus (sommige vormen van) een datalek zou moeten kunnen detecteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.