Organisaties informeren consumenten onvoldoende over datalekken, hoe moet het dan wel?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De waarschuwingen die organisaties bij datalekken aan getroffen gebruikers geven zijn vaak onduidelijk, waardoor die onnodig extra risico lopen. Dat las ik eind maart bij Security.nl. Er staat te weinig concrete informatie in, en vaak ontbraken ook de stappen die je zelf kunt nemen om de schade te beperken. Wat voor mij als CISO de vraag opriep, hoe zou het dan wel moeten, nog meer informatie?
Antwoord: Het onderzoek betrof 69 datalekmeldingen waarvan er 37 onder de maat waren. Een kwart van de berichten vermeldt bijvoorbeeld niet welke informatie is gelekt. Ook zijn de berichten over datalekken vaak onvoldoende alarmerend en vertellen bedrijven niet welke maatregelen ze hebben genomen om verder misbruik te voorkomen. In een derde van de mails staat niet wat gebruikers zelf kunnen doen om de schade te beperken. En dat zijn allemaal dingen die er eigenlijk wel in horen van de AVG.
Ik kreeg even juridische jeuk van de passage over modebedrijf Livera, die ik jullie dan ook niet wil onthouden:
In het bericht met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’ wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.
Deze is wel erg cru, maar berichten met koppen als “Mededeling naar aanleiding van publiciteit” zie ik ook met enige regelmaat voorbij komen. Gelukkig zijn er ook bedrijven die mensen wel adequaat informeren, door een keurig bericht met uitleg wat er is gelekt, welke stappen men nu heeft genomen en op welke risico’s je nu in het bijzonder zou kunnen letten. Een mooi voorbeeld blijft voor mij het datalek bij de Philips-personeelsadministratie, waarbij men zowaar een dark net monitoring service inhuurde om in de gaten te houden of NAW+bsn gegevens werden verhandeld op het nietdoorzoekbareweb.
Het achterliggende punt blijft natuurlijk: wat zou je nog meer, of nog anders moeten doen? Dan kom je al snel uit bij een schadevergoeding, wat juridisch lastig ligt omdat de schade moeilijk te kwantificeren is. Als de Shell diesel verkoopt vanuit de benzine-pomp, dan kun je vrij eenvoudig je factuur voor het reinigen van je injectiesysteem bij de pomp indienen. Maar bij persoonsgegevens? Ja, je bent kwetsbaarder voor phishing en er zal vast een AI op je profiel worden getraind, maar welk bedrag zet je daar op?
Er zijn vele stichtingen bezig met allerlei massaclaims, waarbij vaak 500 euro opduikt omdat dat eenmalig is toegekend (bij een concreet lek van medische gegevens). Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard? Ook is er altijd die weerstand dat die stichting dan “al dat geld pakt” terwijl het gaat om vergoeding van andermans schade. Maar als de wetgever de bal laat liggen, dan springen particuliere partijen in het gat.
Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
Als er een redelijke schade vergoeding uitbetaald moet worden als er data lekt, is er opeens ruim voldoende budget beschikbaar om te data lekken te voorkomen.
Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
Maar ook een wedervraag: zou het schadebedrag ook afhankelijk moeten zijn van of de verwerker de betreffende gegevens wel nodig had?
Toelichting: ik had laatst collectant aan de deur voor een collecte: graag naam en adres opgeven. En ook je geboortedatum!
Ik: die geef ik niet, waar is dat voor nodig?
Collectant: om te controleren of ik ouder dan 18 ben!
Ik: Dat kan je toch zien? En ik wil best ergens aankruisen dat ik ouder dan 18 ben hoor
Collectant: belt met hoofdkantoor: Nee, moet echt geboortedatum zijn.
Ofwel: een bedrijf vraagt naar gegevens die het niet nodig heeft (immers: vinkje "18+" is voldoende). Dan mag wat mij betreft de te betalen schadevergoeding veel hoger: ten eerste omdat er meer data gelekt is (en dus potentieel de schade hoger) en ten tweede omdat het bedrijf aandrong op persoonlijke gegevens die niet nodig waren, en daarmee willens en wetens een extra risico introduceert bij lekken.
p.s. toen maar geen geld gegeven: collectant wil iets van mij én dwingt mij tot geven van onnodige informatie, zo werkt dat niet, ik geef alleen onder mijn eigen voorwaarden. Jammer dat bedrijven dat niet begrijpen
p.p.s. er zit dus ergens iemand op kantoor die denkt dat hij/zij in staat is om vast te stellen dat ik ouder dan 18 ben op basis van een door mij opgegeven geboortedatum die door de collectant niet geverifieerd is in bv. m'n paspoort... Dat geeft te denken wat de verstandelijke vermogens van de betreffende persoon zijn. En dus of geld geven aan de betreffende organisatie wel een juist idee is...
Ik heb het vermoeden dat dat niet gaat gebeuren. Misschien "nu is het afgelopen met klanttevredenheids onderzoeken houden"...?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.