image

Juridische vraag: Is er sprake van een datalek wanneer je als security-onderzoeker bij een opdracht op persoonsgegevens stuit?

woensdag 5 september 2018, 13:28 door Arnoud Engelfriet, 20 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Als ik als security-onderzoeker wordt ingehuurd bij een bedrijf en ik ontdek dat persoonsgegevens onbedoeld voor mij toegankelijk zijn, is dat dan een datalek en moet dat worden gemeld?

Antwoord: Is er sprake van een datalek wanneer je als ingehuurde security-onderzoeker ontdekt dat persoonsgegevens onbedoeld voor jou toegankelijk zijn?

Antwoord: Van een datalek is onder de AVG/GDPR sprake bij "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens" (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als "onrechtmatig" te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen 'inbreuk' in de zin van de wet noemen - die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security-onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security-onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (20)
05-09-2018, 13:33 door Anoniem
Als ik als security-onderzoeker wordt ingehuurd bij een bedrijf en ik ontdek dat persoonsgegevens onbedoeld voor mij toegankelijk zijn, is dat dan een datalek en moet dat worden gemeld?

Vergeet je niet dat je bent ingehuurd - en dat de beslissing of iets gemeld wordt niet bij jou ligt, maar bij je klant ? Ook wanneer hij wettelijk verplicht is om wel een melding te doen ? Jij rapporteert je bevindingen, en jij moet je aan je geheimshoudingsplicht houden.

Indien jij je bevindingen aan externe partijen gaat doorgeven, dan denk ik dat je carriere wel van korte duur zou kunnen zijn, aangezien dit niet legaal is, en evenmin ethisch.
05-09-2018, 13:44 door Anoniem
Vraag: Als ik als security-onderzoeker wordt ingehuurd bij een bedrijf en ik ontdek dat persoonsgegevens onbedoeld voor mij toegankelijk zijn, is dat dan een datalek en moet dat worden gemeld?

Denk je dat het niet veel uitmaakt of deze toegang bijvoorbeeld van buitenaf mogelijk is ? Of dat je intern een pentest aan het doen bent, binnen een verder beveiligd netwerk waar je vanaf de buitenwereld helemaal niet bij kan ? Het feit dat jij ergens ''onbedoeld bij kan'' zegt uiteindelijk niet zoveel, zonder verdere context.

Los van de vraag dat het aan je klant is om wel/geen melding te doen, en dat het aan jou is om je aan je NDA te houden ?
05-09-2018, 13:57 door Anoniem
Door Anoniem:
Vraag: Als ik als security-onderzoeker wordt ingehuurd bij een bedrijf en ik ontdek dat persoonsgegevens onbedoeld voor mij toegankelijk zijn, is dat dan een datalek en moet dat worden gemeld?

Denk je dat het niet veel uitmaakt of deze toegang bijvoorbeeld van buitenaf mogelijk is ? Of dat je intern een pentest aan het doen bent, binnen een verder beveiligd netwerk waar je vanaf de buitenwereld helemaal niet bij kan ? Het feit dat jij ergens ''onbedoeld bij kan'' zegt uiteindelijk niet zoveel, zonder verdere context.

Los van de vraag dat het aan je klant is om wel/geen melding te doen, en dat het aan jou is om je aan je NDA te houden ?

Naast te terechte vraag of hier in juridische zin sprake is van een datalek en de vraag of het voor de interne beheersing van je informatiebeveiliging relevant is om intern te melden, is het ook zinvol te weten of de wet van mening is dat je dit moet melden (bij toezichthouder en/of betrokkenen). Art 33 en art 34 geven hierover uitsluitsel; is er sprake van een risico voor betrokkenen, dan melden bij toezichthouder. Is er sprake van een hoog risico, dan ook melden bij betrokkenen. Een nadere analyse van niet alleen hoe het beveiligingsincident zich kon voordoen, maar ook welke persoonsgegevens zichtbaar zijn geweest, lijken mij voor de hand liggende stappen.
05-09-2018, 14:28 door Anoniem
Ik denk dat een security expert die privegegens niet enkel ontdekt, maar ook inziet of overneemt, knap slordig bezig is. Een goeie hoort "een blind oog" te hebben. Wat dat betreft zou een ouderwetse beëdiging geen slecht idee zijn. Een ambtseed. Privegegevens grijpen tegenwoordig zo diep in het priveleven dat ermee meer aan de weet te komen is dan je huisarts, je advocaat en drie roddelende buurvrouwen te samen over je weten.

Een beëdigd security-expert lijkt me geen slecht plan. Zeker als je weet dat iemand gaat zitten testen op databases waar je zelf in staat.
05-09-2018, 22:46 door Ron625
Door Anoniem:
Vergeet je niet dat je bent ingehuurd - en dat de beslissing of iets gemeld wordt niet bij jou ligt, maar bij je klant ?
Ook wanneer hij wettelijk verplicht is om wel een melding te doen ?
Jij rapporteert je bevindingen, en jij moet je aan je geheimshoudingsplicht houden.
Een kleine kanttekening:
We hebben het ook over veiligheid en veiligheid is iets dat iedere burger aangaat en iedere burger mag dan ook iets zeggen en/of melden wanneer iets onveilig is.
Zowel in de ICT, als in het dagelijks leven b.v. in het verkeer.
Is het een misdrijf, dan ben je zelfs verplicht om aangifte te doen.
06-09-2018, 08:42 door Anoniem
Het lijkt dat Ron625 niet goed op de hoogte is van het recht: bij enkele specifiek genoemde misdrijven moet dat gemeld worden, aangifte is iets anders. De wet noemt bijvoorbeeld over verkrachting en levendelicten. Bij andere dan die specifiek genoemde misdrijven is er geen wettelijke meldplicht. Voor ambtenaren kunnen in het ambtenarenreglement uitgebreider regels zijn vastgesteld.
06-09-2018, 11:06 door Anoniem
Naast te terechte vraag of hier in juridische zin sprake is van een datalek en de vraag of het voor de interne beheersing van je informatiebeveiliging relevant is om intern te melden, is het ook zinvol te weten of de wet van mening is dat je dit moet melden (bij toezichthouder en/of betrokkenen). Art 33 en art 34 geven hierover uitsluitsel; is er sprake van een risico voor betrokkenen, dan melden bij toezichthouder. Is er sprake van een hoog risico, dan ook melden bij betrokkenen.

Indien jij als externe contractor onder NDA staat, dan kan jij dit *alleen* intern melden.

De plicht om eventueel extern te melden licht bij de klant. De klant is jou geen enkele verantwoording verschuldigd over de vraag of zij dit wel/niet doen. Verzaken zij hun verplichting, dan zijn zij hiervoor juridisch aansprakelijk.

De wet waar jij mee te maken hebt is niet de meldplicht datalekken - het is de wettelijke verplichting aan jouw kant om geheimhouding te waarborgen, en om de contractuele overeenkomsten met de klant te eerbiedigen.

De vraag of een issue waarop jij stuit gemeld extern gemeld dient te worden is *niet* jouw probleem, of jouw verantwoordelijkheid (buiten een adviserende rol, richting je klant).
06-09-2018, 11:09 door Ron625 - Bijgewerkt: 06-09-2018, 11:09
Door Anoniem: Het lijkt dat Ron625 niet goed op de hoogte is van het recht
Het lijkt mij, dat je het verschil niet weet tussen een misdrijf en een overtreding.
06-09-2018, 11:10 door Anoniem
We hebben het ook over veiligheid en veiligheid is iets dat iedere burger aangaat en iedere burger mag dan ook iets zeggen en/of melden wanneer iets onveilig is.

Als ingehuurde contractant onder NDA ben je niet ''elke burger''. En je hebt te maken met wettelijke verplichtingen richting je eigen klant omtrent geheimhouding van je bevindingen.

Jij meldt het aan je klant, en daarbij stopt jouw verantwoordelijkheid. Doe je dat niet, dan neem je nogal een groot juridisch risico. Ook is het vrij slecht voor de carriere, indien je de geheimhoudingsclausule schendt in je contractuele overeenkomsten, bij je opdrachten.

Ga er altijd vanuit dat klanten, conform hun wettelijke verplichtingen handelen, en dat ze dus zaken melden die ze zouden moeten melden. Of ze dat doen, dat is verder aan henzelf, en daarmee moet je je niet bemoeien.
06-09-2018, 11:15 door Anoniem
Ik denk dat een security expert die privegegens niet enkel ontdekt, maar ook inziet of overneemt, knap slordig bezig is. Een goeie hoort "een blind oog" te hebben. Wat dat betreft zou een ouderwetse beëdiging geen slecht idee zijn. Een ambtseed.

Wat is het nut van een ambtseed boven op de contractuele geheimhoudingsclausule ? Iedere beveiligingsonderzoeker weet dat dit hoort bij het vak. Kan je daar niet mee om gaan, ga dan wat anders doen.

Voorbeelden als inzien en overnemen van data van de klant tijdens een opdracht is ook een absolute no-go, en is eveneens strijdig met contractuele overeenkomsten. Iedere klant zal je daarvoor meer dan terecht voor de rechter kunnen slepen.

Als pentester wil je overigens ook vooraf duidelijkheid, in een juridische overeenkomsten, omtrent wat wel/niet van je wordt verwacht tijdens de opdracht. Zodat je geen discussie achteraf krijgt met de klant, en zodat je niet opeens geconfronteerd wordt met juridische procedures.
06-09-2018, 12:55 door Eric-Jan H te D
Het probleem zit hem er alleen in dat het ontdekken van een aanwezig lek ook betekent dat dat lek misbruikt kan zijn. En volgens mij moet daar melding van worden gemaakt.
06-09-2018, 15:17 door Anoniem
Door Eric-Jan H te A: Het probleem zit hem er alleen in dat het ontdekken van een aanwezig lek ook betekent dat dat lek misbruikt kan zijn. En volgens mij moet daar melding van worden gemaakt.

Dat lijkt mij juist, maar de meldplicht ligt bij de klant. Volgens de VGA moet die binnen de gestelde voorwaarden melding doen aan de instanties en de betrokken personen.
06-09-2018, 19:25 door Anoniem
Door Anoniem:
Ik denk dat een security expert die privegegens niet enkel ontdekt, maar ook inziet of overneemt, knap slordig bezig is. Een goeie hoort "een blind oog" te hebben. Wat dat betreft zou een ouderwetse beëdiging geen slecht idee zijn. Een ambtseed.

Wat is het nut van een ambtseed boven op de contractuele geheimhoudingsclausule ? Iedere beveiligingsonderzoeker weet dat dit hoort bij het vak. Kan je daar niet mee om gaan, ga dan wat anders doen.

Voorbeelden als inzien en overnemen van data van de klant tijdens een opdracht is ook een absolute no-go, en is eveneens strijdig met contractuele overeenkomsten. Iedere klant zal je daarvoor meer dan terecht voor de rechter kunnen slepen.

Als pentester wil je overigens ook vooraf duidelijkheid, in een juridische overeenkomsten, omtrent wat wel/niet van je wordt verwacht tijdens de opdracht. Zodat je geen discussie achteraf krijgt met de klant, en zodat je niet opeens geconfronteerd wordt met juridische procedures.

Het nut van een ambtseed lijkt me duidelijk. Het contract regelt immers enkel de relatie tussen opdrachtgever en opdrachtnemer. Een ambtseed kan daarnaast toch een prettiger gevoel geven voor de derde, waar de persoonsgegevens eigenlijk van zijn.

Bovenstaand commentaar zelf bevestigt daar het nut van. Want daar was wellicht ook teveel geredeneerd vanuit het "onze database" gedachte. Terwijl je toch echt met gegevens VAN DERDEN in aanraking kunt komen, als balpentester.
06-09-2018, 20:55 door karma4
Door Ron625: ...
Zowel in de ICT, als in het dagelijks leven b.v. in het verkeer.
Is het een misdrijf, dan ben je zelfs verplicht om aangifte te doen.
….
Het lijkt mij, dat je het verschil niet weet tussen een misdrijf en een overtreding.
Die doortrekkend naar het verkeer, jij geeft iedere "te hard rijder" en "foutparkeerder" aan?
Doorrijden na een ernstig ongeluk is een misdrijf, die andere twee zijn overtredingen.


Het niet op orden van de cyber security is op zijn best hooguit een overtreding. Als je er aan werkt op het opgelost te krijgen is het niet verwijtbaar. Bij inhuur externe pentester is het juist de bedoeling het onbekende te weten te komen.


Neem ING met dat witwas gedoe. Het instellen van limieten om fraude te detecteren met een commerciële reden is een misdrijf. Een fout in de programmatuur waardoor de systeemfunctie van betalingen uitvalt wordt niet eens als een overtreding gezien maar als bedrijfsrisico voor de klant.
06-09-2018, 21:27 door Ron625
Door karma4:
Door Ron625: ...
Zowel in de ICT, als in het dagelijks leven b.v. in het verkeer.
Is het een misdrijf, dan ben je zelfs verplicht om aangifte te doen.
….
Het lijkt mij, dat je het verschil niet weet tussen een misdrijf en een overtreding.
Die doortrekkend naar het verkeer, jij geeft iedere "te hard rijder" en "foutparkeerder" aan?
Doorrijden na een ernstig ongeluk is een misdrijf, die andere twee zijn overtredingen.
Inderdaad, daarom kan ik een "te hard rijder", of een "foutparkeerder" niet aangeven, dit zijn geen misdrijven.
Maar ik mag een mede weggebruiker daar wel op aanspreken, zeker wanneer b.v. gaat om parkeren op een invalide parkeerplek.
Ook mag ik hardrijders aanspreken op hun overtreding, zodra zij mij in gevaar brengen met hun (asociale) rijgedrag.
06-09-2018, 23:55 door Anoniem
Door Ron625:
Door Anoniem:
Vergeet je niet dat je bent ingehuurd - en dat de beslissing of iets gemeld wordt niet bij jou ligt, maar bij je klant ?
Ook wanneer hij wettelijk verplicht is om wel een melding te doen ?
Jij rapporteert je bevindingen, en jij moet je aan je geheimshoudingsplicht houden.
Een kleine kanttekening:
We hebben het ook over veiligheid en veiligheid is iets dat iedere burger aangaat en iedere burger mag dan ook iets zeggen en/of melden wanneer iets onveilig is.
Zowel in de ICT, als in het dagelijks leven b.v. in het verkeer.
Is het een misdrijf, dan ben je zelfs verplicht om aangifte te doen.

Misschien moet je voortaan de NDA die je tekent ook eens lezen. In feite weet je niks na het tekenen van de NDA, hoe wil je dan iets melden? Het is aan een organisatie het te melden en voor betrokkene ook mogelijk, maar feitelijk was jij daar actief door je werkgever en in die zin zou het zeer onethisch zijn dat jij het gaat melden zonder overleg met je werkgever los van de NDA.
06-09-2018, 23:58 door Anoniem
Door Ron625:
Door karma4:
Door Ron625: ...
Zowel in de ICT, als in het dagelijks leven b.v. in het verkeer.
Is het een misdrijf, dan ben je zelfs verplicht om aangifte te doen.
….
Het lijkt mij, dat je het verschil niet weet tussen een misdrijf en een overtreding.
Die doortrekkend naar het verkeer, jij geeft iedere "te hard rijder" en "foutparkeerder" aan?
Doorrijden na een ernstig ongeluk is een misdrijf, die andere twee zijn overtredingen.
Inderdaad, daarom kan ik een "te hard rijder", of een "foutparkeerder" niet aangeven, dit zijn geen misdrijven.
Maar ik mag een mede weggebruiker daar wel op aanspreken, zeker wanneer b.v. gaat om parkeren op een invalide parkeerplek.
Ook mag ik hardrijders aanspreken op hun overtreding, zodra zij mij in gevaar brengen met hun (asociale) rijgedrag.

Je spreekt ze toch aan? Je maakt een rapport ofwel je deelt je bevindingen.... dat is juist je werk geweest in dit voorbeeld;)
07-09-2018, 00:06 door Anoniem
Ik lees veel reacties die zeggen dat in deze situatie een melding gemaakt moet worden of zou moeten omdat er een lek / ernstig lek is gevonden...

Dat lijkt me niet, de "Pentest" is juist een maatregel (technische en organisatorische maatregelen moet je nemen) die ervoor zorgt dat je niets of eigenlijk beter gezegd (uitgaande van niets is 100% veilig) zo weinig mogelijk lekt...

Bovendien, het gat hebben wil niet zeggen dat er gelekt is dat wil zeggen dat er mogelijk gelekt is of gelekt had kunnen worden. Heb je dus goede monitoring in beeld en je kan zien dat niemand de bestanden heeft aangeraakt dan heb je ook niets gelekt ook al was er een lek. Dus je kan niet stellen een lek moet je melden. Als je elk hoog risico zou moeten melden, dan had de autoriteit miljoenen meldingen of hebben we allemaal altijd 100% clean vulnerability scans?!

Je moet de AVG toepassen zoals die bedoeld is, niet doorslaan.
07-09-2018, 09:48 door Anoniem
Het nut van een ambtseed lijkt me duidelijk. Het contract regelt immers enkel de relatie tussen opdrachtgever en opdrachtnemer. Een ambtseed kan daarnaast toch een prettiger gevoel geven voor de derde, waar de persoonsgegevens eigenlijk van zijn.

Bovenstaand commentaar zelf bevestigt daar het nut van. Want daar was wellicht ook teveel geredeneerd vanuit het "onze database" gedachte. Terwijl je toch echt met gegevens VAN DERDEN in aanraking kunt komen, als balpentester.

Sorry, maar als pentester heb je te maken met de klant. En dat je dient te gedragen op een manier die ethisch en juridisch acceptabel is, dat geldt *altijd*.

Verder heb je nog duizenden andere beroepen, waar men in aanraking komt met persoonsgegevens, en waar men zich wettig en ethisch dient te gedragen. Moeten die ook allemaal een ambtseed gaan afleggen, zodat jij je prettig voelt ?

De vraag of jij je wel/niet prettig voelt wanneer ik naar eer en geweten mijn werk doe, waarbij ik mij hou aan wet en regelgeving, als ook aan ethiek, vind ik volstrekt irrelevant.

Ik ga jou ook niet vragen om een eed af te leggen, om ervoor te zorgen dat ik mijzelf prettig voel. En ik voel mij pas onprettig indien er indicaties zouden zijn dat je *niet* integer handelt.

Een ambtseed is verder, zoals het woord al impliceert, voor ambtenaren, met een openbare functie. Ik leg verantwoording af aan werkgever, klant (en indien nodig, aan de rechter), als medewerker van een private onderneming.
07-09-2018, 09:58 door Anoniem
Als je elk hoog risico zou moeten melden, dan had de autoriteit miljoenen meldingen of hebben we allemaal altijd 100% clean vulnerability scans?!

Onzin, want de AVG schrijft niet voor dat je vulnerabilities moet melden. Verder gaat deze discussie over persoonsgegevens, welke wel vallen onder de AVG. Ja, de klant is meldingplichtig, indien er sprake is van een onveilige verwerking van persoonsgegevens, dat een lek van deze gegevens tot gevolg kan hebben.

De pentester moet zijn bevindingen melden aan de klant, en daar houdt zijn verantwoordelijkheid op. De beslissing om wel/niet te melden bij CBP ligt bij de klant, en daarover hoef je aan de pentester als klant geen feedback over de geven.

Je moet de AVG toepassen zoals die bedoeld is, niet doorslaan.

Je moet je ook afvragen in welke gevallen je wel, en in welke gevallen je niet, meldingsplichtig bent onder de AVG. Immers zullen 99% van bevindingen van pentesters, die niets met persoonsgegevens te maken hebben, niets te maken hebben met deze meldplicht.

Wel moet je voldoen aan je wettelijke verplichtingen. Of je vindt dat de wetgever wel/niet doorslaat, heeft met dergelijke verplichtingen niets van doen.

Heb je dus goede monitoring in beeld en je kan zien dat niemand de bestanden heeft aangeraakt dan heb je ook niets gelekt ook al was er een lek.

Indien er sprake was van onveilige verwerking van persoonsgegevens, waardoor je meldingsplichtig bent, dan *moet* je dit melden. Verder kan goede monitoring ook zaken missen. De vraag of je moet melden ligt aan de voorgeschreven criteria, niet aan jouw persoonlijke mening. En de boete die kan gegeven worden als je je niet houdt aan deze regelgeving. Ongeacht jouw verdere mening.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.