ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een back-up-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu niet of werkelijk die backup is gedownload door de inbreker. Is dit een datalek en moeten wij dit melden?
Antwoord: de wet (art. 34a Wbp) spreekt van een datalek als sprake is van een "inbreuk op de beveiliging" van persoonsgegevens. Dit moet worden gemeld als er een "aanzienlijke kans op ernstige nadelige gevolgen" is voor de betrokkenen.
Een hack waarbij men er vandoor gaat met een back-up van klantgegevens zou ik wel als een inbreuk op de beveiliging kwalificeren. Of je die moet melden, hang af van het soort klantgegevens. Bij enkel het bestand van de nieuwsbrief denk ik dat niet, bij NAW + creditcardgegevens zeker wel.
De vraag is dus nu, ís er zo'n hack geweest? Vast staat het niet, maar uitsluiten kun je het ook niet.
De toezichthouder (Autoriteit Persoonsgegevens) heeft beleidsregels gepubliceerd over hoe om te gaan met datalekken. Het criterium dat men hier hanteert, is of je "redelijkerwijs kunt uitsluiten" dat er toegang is geweest tot persoonsgegevens. Alleen dan hoef je het incident niet als datalek te behandelen.
Hier valt zeker niet uit te sluiten dat het back-upbestand is opgevraagd. Zulke bestanden zijn immers aantrekkelijk voor criminelen, omdat er van alles bij elkaar staat. Leuke buit dus. En daarom moet dit incident als een datalek worden behandeld.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.