image

Juridische vraag: Moet elk theoretisch mogelijk datalek worden gemeld bij de toezichthouder?

woensdag 11 juli 2018, 14:12 door Arnoud Engelfriet, 18 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Bij ons bedrijf loopt een discussie over de meldplicht datalekken. Wij kunnen niet uitsluiten dat geen van onze medewerkers ooit in een phishing-truc trapt, of dat iemand via een uiterst geavanceerde hack binnendringt en data steelt op een manier dat de logging wordt omzeild. Moeten we dan elke dag een datalek melden? Immers, je moet lekken melden tenzij je kunt uitsluiten dat er data is gelekt.

Antwoord: Nee, dat hoeft niet in dit soort theoretische gevallen.

Allereerst is een beveiligingsfout pas een datalek als er daadwerkelijk iets is gebeurd én je daar weet van hebt. Is je een datalek niet opgevallen, dan heb je niets om te melden en dan hoef je dus ook niet te melden. (De lat ligt bij "had moeten weten" volgens mij, dus als een normaal oplettend iemand het had geweten dan kun jij niet zeggen "lalala datalek hoe bedoel je").

Kun je uitsluiten dat er iets is gebeurd, dan hoef je niet te melden dat die fout er zat. Logbestanden zijn een goede manier om uit te sluiten dat via een gemanipuleerde URL data is opgevraagd bijvoorbeeld. Ook de aanwezigheid van bijvoorbeeld een firewall die het verzenden van data via een bepaalde poort verhindert, zou ik genoeg vinden om niet van een datalek over die poort te spreken.

Het idee is dat je pas iets moet melden als je concreet een incident hebt. Het heeft weinig zin om te zeggen "misschien ben ik gephisht" of "mogelijk zat er een intruder op mijn netwerk die de klantdatabse heeft gedownload buiten ons IDS om". Met zo'n melding kan er geen onderzoek of wat dan ook volgen.

Ten tweede: als je weet hebt van een datalek, dan moet je het melden tenzij de kans op schade voor betrokkenen minimaal is. In de praktijk komt dat neer op of je kunt uitsluiten dat er misbruik wordt gemaakt van de persoonsgegevens. Het is hier dus niet tenzij je kunt uitsluiten dat er een lék is geweest, maar uitsluiten dat er scháde door het lek is.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
11-07-2018, 15:13 door Anoniem
Is het niet veel beter te verwoorden als "Je moet melden als je een redelijk vermoeden hebt dat een derde partij ongewenst inzicht heeft gekregen in persoonsgegevens"?

Beveiligingsincident -> classificatie datalek (^) -> binnen 72 uur melden bij het AP.

Daarna kun je altijd de melding nog verwijderen als er geen schade is voor betrokkenen of een andere legitieme reden.

Gewoon best practices zeg maar.

Cheers

Mats
11-07-2018, 15:55 door root - Bijgewerkt: 11-07-2018, 15:58
Bij ons in de organisatie melden we een datalek als bekend is dat een onbevoegde toegang heeft (gehad) tot persoonsgegevens, en alleen als dit de privacy van betrokkenen ernstig aantast of kan aantasten.

De functionaris gegevensbescherming beslist uiteindelijk wat wel en niet wordt gemeld.

We melden in ieder geval niet iedere verloren laptop/telefoon/USB-stick, dat heeft echt geen zin.
11-07-2018, 16:33 door Anoniem
Ik denk dat het melden vooral van belang is indien er daadwerkelijk schade ontstaat. Een schadeclaim wordt dan moeilijker te ontwijken als blijkt dat de databewaarder zich ook nog eens niet aan zijn meldplicht heeft gehouden, maar wel op de hoogte kon zijn van eventuele gevolgen.

In die zin is een grote firma redelijk vrij om niet elke verloren laptop, telefoon of USB stick te melden. Het zal dan enkel van invloed zijn als er iets naars mee gebeurt. Op de zekerheid en hoogte van een toegewezen schadeclaim. Firma's die geld zat hebben, kunnen zich permitteren om daar wat achtelozer in te zijn.

Dat het geen zin heeft duidt wel op enige achteloosheid. Als ik een snelheidsboete krijg, en ik zeg tegen de rechter dat het echt geen zin heeft de hele tijd op mijn snelheid te letten en op die meter, dan zal die moeite hebben een glimlachje te onderdrukken, denk ik.
11-07-2018, 16:56 door SecOff - Bijgewerkt: 11-07-2018, 16:57
Door root:We melden in ieder geval niet iedere verloren laptop/telefoon/USB-stick, dat heeft echt geen zin.
OEPS, Daar zitten jullie dan toch echt mis als er persoonsgegevens op stonden en het device niet versleuteld was. Er is in dat geval sprake van een meldingsplichtig datalek. Je hoeft het alleen niet te melden als het "niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen" (Artikel 33 AVG) Bij een verloren onversleutelde gegevensdrager met persoonsgegevens zul je dat niet snel snel voldoende kunnen onderbouwen. De inschatting dat de vinder of dief waarschijnlijk toch niets met de data doet, is m.i. onvoldoende onderbouwing voor het als "niet waarschijnlijk" inschatten van gevolgen voor degenen wiens data zijn gelekt. De ernst van de consequenties speelt hierbij in de meeste gevallen niet mee, dat is alleen zo bij de overweging om wel of niet aan de betrokkenen te melden.
11-07-2018, 17:03 door root - Bijgewerkt: 11-07-2018, 17:34
Tuurlijk, er zijn altijd uitzonderingen....

Als er aanwijzingen zijn dat de lek beter wel kan worden gemeld, dan doen we dat. Maar in de basis gaan we niet iedere verloren usb-stick melden.
11-07-2018, 17:51 door Anoniem
Ja, in de basis rij ik ook wel eens te hard. En met een borrel op ook nog.

Goed, een beetje flauw. Maar wel zinnig om eens te kijken naar goeie encryptie van USB sticks. Daarnaast mag ik toch aannemen dat een firma waar zo vaak sticks en laptops kwijtraken, daar al een soort administratie van bijhoudt? Ook voor als ze niet kwijtgeraakt, maar kwijtgemaakt zijn? Dan is dat melden toch gewoon een copy/paste geval?
11-07-2018, 17:54 door Anoniem
Hoi Arnout,

Dank voor jouw advies. Toch even hierbij opmerkingen op jouw antwoorden.

Alinea 1: Eens!

Alinea 2: Mi is het volgende geen incident (en ik begrijp dat je dat als voorbeeld gebruikt) Mi : 'Je kunt in dit voorbeeld uitsluiten dat er iets is gebeurd, evidence log bestanden tonen aan dat er niets is gelekt, FW heeft gewerkt als mitigerende maatregel (dit is mogelijk wel een security issue als iets via de FW naar buiten wil), waardoor er geen data is gelekt (zie opnieuw bewijslast in de logbestanden).'

Laatste regel: Als er geen persoonsgegevens zijn gelekt nav het forensisch onderzoek. Dan is er mi sprake van een data lek dat door de verwerker(processor) bij haar controller dient te worden gemeld. En die zal het bij het AP moeten melden.


@ Root: Is dat de DPO van jouw organisatie 'voorbeeld' mbt jouw schrijven 'De functionaris gegevensbescherming beslist uiteindelijk wat wel en niet wordt gemeld. We melden in ieder geval niet iedere verloren laptop/telefoon/USB-stick, dat heeft echt geen zin.' ???


Groet,
:-)
11-07-2018, 19:56 door Anoniem
Even reset en terug naar de geest van de wet.

Als je privedata nodig hebt, dan mag je die, met duidelijke informatie en instemming van de privepersoon, gebruiken voor waar die informatie voor gegeven is. Maar in wezen blijft die data eigendom van de verstrekker. Waar je als "goed huisvader" mee om hoort te gaan. Omdat je over een "eigendom" beschikt dat niet van jou is.

Dus stellingen als, ja die stick moet ergens in de tram uit mijn zak gevallen zijn. Maar mijn eigen prive gegevens stonden er toch niet op. Dus geen grote prioriteit voor mij. En teveel werk ook. Dergelijke redenaties zijn tekenen van slecht huisvaderschap. Waarbij die extra aansprakelijkheid natuurlijk dik en vet bij de slechte huisvader ligt.

Zo lees ik althans tussen de geestregels van de wet door. Het eigendomsrecht van (prive) informatie is eindelijk redelijk goed vastgelegd. De, ook digitale, landpaaltjes uit de eugendomswetten van mozes zijn eindelijk duidelijk erkend als prive bezit.
11-07-2018, 23:17 door MathFox
Als vervolg op de Anoniem van 19:56:

Als een bedrijf als "goed huisvader" met mijn persoonsgegevens omgaat, dan staan die op goed beveiligde servers. Alleen de werknemers die met mijn dossier bezig zijn kijken in mijn gegevens. Er is in het algemeen geen reden om mijn gegevens naar een USB-stick of laptop te kopiëren.
Er is dus ook geen reden om aan te nemen dat op een gestolen of verloren laptop of USB-stick persoonlijke gegevens staan.

Als je de basisprincipes van datahygiëne toepast voorkom je een heleboel problemen.
12-07-2018, 09:25 door [Account Verwijderd]
OK nu even de harde praktijk:

Mijn vrouw werkt voor een grote gassen firma in Schiedam.
Verleden maand had ze 2 ziektedagen.
De ziekte melding is uitbesteed, (naar de ALLER goedkoopste aanbieder)

Daar stond/staat een vinkje verkeerd in een computer programma.

Daarom zijn haar BS, NAW, ziekte dagen en reden van ziekte bij het UWV terecht gekomen.
Daar kwamen wij achter toen er post van het UWV kwam.
Het UWV wilde graag weten waarom ze 2 dagen ziek geweest was.

Moet dit beschouwd worden als een data lek en moet de werkgever dit dan melden?
12-07-2018, 09:51 door Anoniem
Een kleine correctie van de anoniem van 19:56: instemming van de betrokkene is niet vereist. Dat is slechts een van de 6 grondslagen op basis waarvan gegevens verwerkt mogen worden. Een hardnekkig misverstand wat maar niet de wereld uit wil. De overige vijf verwerkingsgrondslagen zijn na te lezen via: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#hoe-weet-u-of-u-persoonsgegevens-mag-verwerken-6310
12-07-2018, 09:54 door Anoniem
Ten tweede: als je weet hebt van een datalek, dan moet je het melden tenzij de kans op schade voor betrokkenen minimaal is.

Iedere communicatie marketing medewerker zal per direkt roepen dat de kans op schade voor betrokkenen minimaal is. Hoe meet je de kans op schade voor betrokkenen op een objectieve manier ? Het klinkt namelijk *heel* subjectief, en vrijblijvend, zonder uitgewerkte criteria om de kans te berekenen.
12-07-2018, 09:57 door Anoniem
Daarom zijn haar BS, NAW, ziekte dagen en reden van ziekte bij het UWV terecht gekomen.
Daar kwamen wij achter toen er post van het UWV kwam.
Het UWV wilde graag weten waarom ze 2 dagen ziek geweest was.

Moet dit beschouwd worden als een data lek en moet de werkgever dit dan melden?

Ja. Werkgever heeft ten onrechte persoonsgegevens verstrekt aan organisatie X. Werkgever moet onbedoeld verstrekken persoonsgegevens aan organisatie X melden.

Dat organisatie X het UWV is, en dat ze hebben gereageerd met een vraag, dat is daarbij volstrekt irrelevant.

Wel kan je je afvragen of je, indien de werkgever dit niet doet, er iets aan hebt om hier achteraan te zitten; lijkt mij een verspilling van je tijd. Maar dat staat los van de vraag ;)
12-07-2018, 10:00 door Anoniem
We melden in ieder geval niet iedere verloren laptop/telefoon/USB-stick, dat heeft echt geen zin.

De wet schrijft ook niet voor dat je moet melden dat je hardware kwijt bent. Je moet melden dat je privacy gevoelige gegevens kwijjt bent. Als je gaat melden dat je USB sticks zonder dergelijke gegevens bent verloren, is niemand in je melding geinteresseerd.
12-07-2018, 10:46 door Anoniem
Wat ik me wel eens afvraag is of de hele wetgeving alleen uit gaat van de verwerkingen zoals deze functioneel bedoeld
zijn en zichtbaar voor de gebruiker, of dat er ook gekeken wordt naar de diepere technische lagen die normaal verborgen
worden door software maar die door een "hacker" wel zichtbaar kunnen worden gemaakt.

Bijvoorbeeld die USB stick die je verliest en waarvan je zeker weet dat er alleen een bestandje op stond waar geen
persoonsgegevens in staan, maar die daarvoor wellicht gebruikt is om een groot bestand vol gegevens over te zetten wat
daarna verwijderd is (en wellicht de stick zelfs "geformatteerd") daar kan best nog een hoop op te vinden zijn.

Idem voor die "goed beveiligde server" die je van buitenaf wellicht alleen encrypted verbindingen levert maar die op
disk of in RAM wellicht allerlei gegevens heeft staan die niet meer "normaal" zichtbaar zijn maar er nog wel staan.

Ik krijg een beetje het idee dat dit niet meetelt. Alles wat je moet documenteren, registreren, etc betreft altijd het
functionele niveau.
12-07-2018, 13:11 door MathFox
Door Anoniem:
Bijvoorbeeld die USB stick die je verliest en waarvan je zeker weet dat er alleen een bestandje op stond waar geen
persoonsgegevens in staan, maar die daarvoor wellicht gebruikt is om een groot bestand vol gegevens over te zetten wat
daarna verwijderd is (en wellicht de stick zelfs "geformatteerd") daar kan best nog een hoop op te vinden zijn.
Je hebt een USB stick waarop iemand die weet hoe hij met forensische tools moet omgaan mogelijk persoonsgegevens kan vinden. Naar mijn mening is het datalek er pas als de gegevens in handen van een onbevoegde komen, in dit geval dus als ze met de forensische tool gekopieerd worden. De kans dat iemand een forensische tool op een USB stick loslaat is in de praktijk niet zo groot en de kans op misbruik door die persoon is ook klein. Ik zie "zeer kleine kans op schade" als reden om dit lek niet te melden.
12-07-2018, 14:07 door [Account Verwijderd]
Door Anoniem:

Het UWV wilde graag weten waarom ze 2 dagen ziek geweest was.

Ja. Werkgever heeft ten onrechte persoonsgegevens verstrekt aan organisatie X.

Wel kan je je afvragen of je, indien de werkgever dit niet doet, er iets aan hebt om hier achteraan te zitten; lijkt mij een verspilling van je tijd. Maar dat staat los van de vraag ;)

Bedankt voor de input. ;-)
13-07-2018, 09:50 door Anoniem
Bij ons in de organisatie melden we een datalek als bekend is dat een onbevoegde toegang heeft (gehad) tot persoonsgegevens, en alleen als dit de privacy van betrokkenen ernstig aantast of kan aantasten. De functionaris gegevensbescherming beslist uiteindelijk wat wel en niet wordt gemeld.

Bij ons in de organisatie melden we een datalek, indien we daar wettelijk toe verplicht zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.