Nieuws
image

Citrix-lek zorgt voor 29 meldingen bij Autoriteit Persoonsgegevens

woensdag 22 januari 2020, 14:21 door Redactie, 2 reacties

De Autoriteit Persoonsgegevens heeft naar aanleiding van de kwetsbaarheid in Citrix 29 meldingen van mogelijke datalekken ontvangen. Of het daadwerkelijk om datalekken gaat wordt nog uitgezocht, zo laat een woordvoerder van de privacytoezichthouder aan de NOS weten. Eerder stelde Het Nationaal Cyber Security Centrum (NCSC) dat organisaties die na 9 januari de mitigatiemaatregelen van Citrix hebben doorgevoerd ervan moeten uitgaan dat hun systemen zijn gecompromitteerd.

Organisaties moeten een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens melden, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van de betrokken personen. Wanneer organisaties bij de eerste melding nog niet alle informatie hebben adviseert de toezichthouder om het datalek binnen 72 uur te melden en later een vervolgmelding te doen.

De AVG definieert een inbreuk in verband met persoonsgegevens als volgt: "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens."

Via de kwetsbaarheid in Citrix kunnen aanvallers toegang tot vertrouwelijke systemen met persoonlijke informatie krijgen. Er zijn nog geen organisaties bij naam bekend die door het beveiligingslek in de software met een datalek te maken hebben gekregen.

Reacties (2)
22-01-2020, 14:40 door Erik van Straten - Bijgewerkt: 22-01-2020, 14:43
Dat veel meer incidenten onder datalek vallen, wist ik. Uit https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf:
5.9.1 Wanneer is er sprake van een inbreuk in verband met persoonsgegevens?
Een inbreuk in verband met persoonsgegevens, beter bekend als een datalek, is een inbreuk op debeveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boos opzet in het spel is. Hoewel een hack van uw systemen waarbij persoonsgegevens worden buitgemaakt een schoolvoorbeeld is van een datalek, kunnen ook gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat ook kwalificeren als een datalek.

Wat ik nog niet wist is wat daar direct onder staat:
Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, en de preventieve maatregelen die u eventueel heeft getroffen waren niet toereikend om dit te voorkomen.
Moet je dit uitleggen als dat iedereen die niet tijdig de workaround op zijn Citrix "gateway" geïnstalleerd heeft, of dat heeft gedaan op een oudere versie waarop de workaround niet werkt, (en over voldoende privacygevoelige gegevens beschikt dat een melding vereist is) dit binnen 24 uur als incident had moeten melden bij de AP? Dan lijkt 29 me aan de lage kant.

Of moet ik het bovenstaande anders interpreteren in dit geval? D.w.z. als een beveiligingsincident nog niet tot een datalek heeft geleid, moet je dat dan wel of niet melden bij de AP? Immers er lijkt geen meldplicht voor beveiligingsincidenten te bestaan.
22-01-2020, 14:45 door Anoniem
GROEP GEGEVENOBEOCHERMING ARTIKEL 29, WP250rev.01, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 stelt dat conform eerder advies 03/2014 sprake kan zijn van 3 soorten inbreuken, volgens de bekende informatiebeveiligingsprincipes vertrouwelijkheid, integriteit en beschikbaarheid. Er kan ook sprake zijn van verlies van beschikbaarheid als de normale dienstverlening van een
organisatie ernstig is verstoord, bijvoorbeeld in het geval van een stroomstoring of een "denial of
service"-aanval (DoS-aanval), waardoor persoonsgegevens niet beschikbaar zijn.
Als voorbeeld wordt ook genoemd:
In de context van een ziekenhuis kan de onbeschikbaarheid van cruciale medische gegevens over patiënten, zelfs tijdelijk, een risico voor de rechten en vrijheden van natuurlijke personen inhouden. Het kan bijvoorbeeld tot gevolg hebben dat operaties worden geannuleerd en dat levens in gevaar komen.

Een organisatie kan dus ook melden als ze van mening is dat de beschikbaarheid in het geding is, bijvoorbeeld bij afsluiten van het patiëntenportaal.
Hierover is volop discussie mogelijk als je dit preventief doet (wat is dan de inbreuk versus stilleggen voor onderhoud) en de gegevens ook nog via andere weg (binnen het ziekenhuiis) toegankelijk zijn.

Kan dan altijd zijn dat organisaties de voorzichtige kant kiezen om niet het risico te lopen op boetes van de AP.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search