Ik heb een datalek ontdekt. Moet ik dit melden bij de Autoriteit Persoonsgegevens?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?
Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)
Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.
Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.
Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.
Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Lijkt me nogal essentieel welke van bovenstaande het om gaat. Bij een klant bijvoorbeeld, zal je snel gebonden zijn aan een geheimhoudingsplicht. En de verantwoordelijkheid voor het melden, die ligt bij je klant. Niet bij jou. Er vanuitgaande dat je bijvoorbeeld een ingehuurde pentester bent. Bizar als jij zelf de openbaarheid zoekt, met bevindingen die je doet, bij je klant.
De ervaring leert dat een melding bij de organisatie zelf niet altijd goed ontvangen wordt. Men vindt je lastig of gedoe. Voordat je wat meldde was er immers niets aan de hand.
De ervaring leert dat een melding bij de organisatie zelf niet altijd goed ontvangen wordt. Men vindt je lastig of gedoe. Voordat je wat meldde was er immers niets aan de hand.
Deze houding is onbegrijpelijk voor mensen met meer 2 hercencellen. Maar het klopt wel. De praktijk is wegkijken, dan gaat het probleem vanzelf wel weg is de redenering. Het lastige is: daar hebben ze vaak ook gelijk in. Tenzij je een melding doet bij de AP en die voor de verandering er ook eens iets mee gaan doen. Of als er publiciteit komt en managers verantwoordelijk worden gehouden voor falen.
De ervaring leert dat een melding bij de organisatie zelf niet altijd goed ontvangen wordt. Men vindt je lastig of gedoe. Voordat je wat meldde was er immers niets aan de hand.
Deze houding is onbegrijpelijk voor mensen met meer 2 hercencellen. Maar het klopt wel. De praktijk is wegkijken, dan gaat het probleem vanzelf wel weg is de redenering. Het lastige is: daar hebben ze vaak ook gelijk in. Tenzij je een melding doet bij de AP en die voor de verandering er ook eens iets mee gaan doen. Of als er publiciteit komt en managers verantwoordelijk worden gehouden voor falen.
Hoe zou jij reageren als er een wildvreemd iemand aanbelt met de melding dat je je hek niet op slot gedraaid hebt en dat
hij je schuurdeur met een breinaald open kan maken en de daarin staande fiets kan stelen?
En dan liefst ook nog met de melding of suggestie erbij dat als je dat niet direct serieus gaat oppakken en de sloten
gaat vervangen en een beter sleutelbeleid gaat voeren, hij het wel eens even zal doorgeven aan de buurtwacht, de
politie en het lokale krantje?
En als klap op de vuurpijl gaat die persoon ook nog eens vertellen dat jouw niet- of negatieve reactie "wegkijken" is?
Hoe zou jij reageren als er een wildvreemd iemand aanbelt met de melding dat je je hek niet op slot gedraaid hebt en dat
hij je schuurdeur met een breinaald open kan maken en de daarin staande fiets kan stelen?
En dan liefst ook nog met de melding of suggestie erbij dat als je dat niet direct serieus gaat oppakken en de sloten
gaat vervangen en een beter sleutelbeleid gaat voeren, hij het wel eens even zal doorgeven aan de buurtwacht, de
politie en het lokale krantje?
En als klap op de vuurpijl gaat die persoon ook nog eens vertellen dat jouw niet- of negatieve reactie "wegkijken" is?
Ik zou die meneer dankbaar zijn voor de melding, maar alle reactie is persoonlijk.
Het gegeven van "direct" zou overkomen kunnen komen als een dreigement. Hiervoor staan meestal termijnen van reageren en meerdere, in mijn persoonlijke ogen, vervelende zaken.
In een normaal gesprek denk ik dat er normaal wordt gereageerd en normaal wordt gehandeld.
Hier wordt uitgegaan van onwil en crimineel gedrag. Persoonlijk denk dat het veelal onwetendheid is waarom zaken niet worden gedaan of uitgevoerd. Kosten zijn ook vaak een afweging waardoor zaken niet worden gedaan.
(Bovenstaand voorbeeld, men weet dat het slot slecht is maar heeft geen geld over om een nieuw slot te kopen, ik stel wel uit totdat iemand ontdekt dat het slot slecht is)
Ofwel ik doe er iets aan als er iemand anders er iets van vindt. Op die manier wordt een hoop geld bespaard. de uitgifte hoeft immers pas gedaan te worden als de melding is geweest. Voor iedere reactie is iets te vermelden of vind iemand iets van. Zoveel personen zoveel meningen.
Het nemen van een maatregel is het mitigeren van een risico, dit zal in de basis bij een bedrijf een kosten afweging zijn en blijven.
Melden helpt en het gesprek aangaan zeker ook, op deze manier kan de economie ook mooi blijven draaien. :-)
Datalek gemeente Schouwen-Duiveland mogelijk veel groter
ZIERIKZEE - Geen 350, maar mogelijk veel meer mailadressen van ondernemers die een steunaanvraag hebben ingediend liggen op straat door een fout van de gemeente Schouwen-Duiveland. Hoeveel het er precies zijn, kan wethouder Cees van de Bos nog niet zeggen. Maar een eerste analyse wijst uit dat het aantal vermoedelijk hoger ligt dan de gemeente gisteren bekendmaakte.
https://www.pzc.nl/schouwen-duiveland/datalek-gemeente-schouwen-duiveland-mogelijk-veel-groter~acde8158/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior securityspecialist
Agentschap Telecom
De cyberveiligheid van Nederland valt of staat met veilige producten, diensten en processen. Agentschap Telecom houdt Nederland veilig verbonden. Binnenkort krijgen wij een nieuwe taak als toezichthouder op cybercertificeringen. Jouw professionaliteit als senior securityspecialist en pioniersgeest zijn essentieel om deze nieuwe unit succesvol op poten te zetten.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.