To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Huidige situatie meldplicht datalekken

Tot op heden zijn er in 2016 (5700) en 2017 (10000) in totaal 15700 meldingen van datalekken gedaan aan de AP. In 2017 ging het in 47% van de gevallen om het verkeerd versturen van persoonsgegeven aan de verkeerde afzender. De meest gelekte gegevens waren NAW-gegevens, geslacht, leeftijd en het Burgerservicenummer (BSN). Het aantal mensen per datalek varieerde van een enkel persoon tot honderdduizenden in-enkele- gevallen.[2]

Wat is een datalek?

De wettelijke definitie voor een datalek luidt als volgt:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Voorbeelden van datalekken zijn:

  • Fysieke diefstal of verlies van niet beveiligde informatiedragers zoals USB-sticks, laptops, tablets, mobiele telefoons
  • Het kopiëren of meenemen of aan anderen verstrekken van vertrouwelijke gegevens
  • Het verzenden van een e-mailbericht met vertrouwelijke gegevens aan de verkeerde ontvanger

Let wel een datalek moet in ieder geval wel intern worden vastgelegd als een van de onderdelen van de verantwoordingsplicht. Alleen de datalekken die een risico vormen voor de rechten en vrijheden van personen moeten naast de interne vastlegging ook worden gemeld bij de Autoriteit Persoonsgegevens[3] of in sommige gevallen ook aan de personen zelf[4].

Welke maatregelen moeten organisaties treffen?

Voorafgaand aan het datalek

Organisaties moeten zorgen voor:

  • Structurele voorlichting aan werknemers over datalekken
  • Het creëren van bewustwording bij werknemers
  • Een duidelijke laagdrempelige procedure voor het intern melden en detecteren van datalekken

Bovenvermelde punten helpen bij het voorkomen en beheersen van datalekken. Uit het jaarverslag 2017 van de AP is gebleken dat 47% van alle datalekken een gevolg is van menselijk falen[5]. Het is dus erg belangrijk dat organisaties een datalekprocedure opstellen en hun personeel regelmatig trainen omtrent datalekken, hierbij is het van belang dat het management het goede voorbeeld geeft en een cultuur stimuleert waarin elkaar aanspreken normaal is, bijvoorbeeld in het geval dat een werknemer slachtoffer wordt van gijzelsoftware. Gijzelsoftware is een veelvoorkomend en groot probleem voor het Nederlandse bedrijfsleven[6]. Gijzelsoftware is kwaadaardige software die een computer blokkeert of de bestanden onbeschikbaar maakt door ze te versleutelen. Pas wanneer het losgeld(ransom) wordt betaald zou er weer toegang worden verkregen tot de computer dan wel de bestanden. In het geval dat gijzelsoftware de toegang tot computers of bestanden die persoonsgegevens bevatten onmogelijk maakt, is dat dus een datalek in de zin van de AVG. Daarnaast kan er ook sprake zijn van ongeautoriseerde kennisname door de partij die de gijzelsoftware gebruikt in het geval dat de data voorafgaand aan de gijzelsoftware niet versleuteld was.

Voorkomen is beter dan genezen. Om de kans om slachtoffer te worden van een gijzelsoftware-aanval te verkleinen moet een organisatie in ieder geval de volgende maatregelen treffen:

  • Besturingssystemen en programma’s d.m.v. een patchproces altijd up-to-date houden
  • Virus en malware detectie en bescherming hebben ingericht
  • Het toepassen van een gedragscode waarin het openen van e-mail, links of bijlage(n) van vreemden wordt verboden
  • Het alert zijn bij het openen van bijlagen en links in e-mails van bekenden die men eigenlijk niet verwacht

Tijdens het datalek

In het geval dat een datalek zich voordoet dan kan het zijn dat het datalek gemeld moet worden via het meldloket van de AP[7]. Het is essentieel dat er zo snel mogelijk gemeld wordt ook in het geval dat nog niet alle informatie over de datalek bekend is, deze informatie kan alsnog later worden gemeld[8]. Vervolgens zal een organisatie herstelmaatregelen moeten uitvoeren. Om een afgewogen beslissing over de aanpak van het datalek te kunnen nemen, zal een organisatie onderzoek moeten uitvoeren betreffende de impact van het datalek voor de personen van wie de gegevens zijn gelekt enerzijds en de mogelijke (negatieve) impact op de organisatie anderzijds.

De volgende aspecten zullen ten minste worden opgenomen in het onderzoek:

  • Startdatum van incident
  • Omschrijving incident inbreuk beveiliging van persoonsgegevens
  • Het aantal betrokkenen: minimum en maximum
  • Omschrijving type betrokkenen
  • Aard van de inbreuk
    • lezen(vertrouwelijkheid)
    • veranderen (integriteit)
    • verwijderen (beschikbaarheid)
  • Omschrijving type persoonsgegevens: regulier (naw) bijzonder
  • Aard van het risico
  • Beveiligingsmaatregelen voorafgaand aan het incident: data versleuteld in opslag

Na het datalek

Een organisatie (verwerkersverantwoordelijke) moet een datalek uiterlijk binnen 72 uur na kennisname melden aan de AP wanneer het waarschijnlijk is dat er een risico is voor de rechten en vrijheden van betrokken. In het geval dat het waarschijnlijk is dat er een hoog risico is voor de rechten en vrijheden van betrokkenen dan dient de organisatie (verwerkersverantwoordelijke) ook de betrokkenen zelf op de hoogte stellen van de datalek. Een organisatie(verwerkingsverantwoordelijke) kan door het treffen van passende beveiligingsmaatregelen, zoals door de toepassing van versleuteling, het risico verkleinen dan wel minimaliseren, waardoor melding aan de AP of aan de betrokkenen (mogelijkerwijs) achterwege kan blijven. Uiteraard dient er een uitvoerige afweging vooraf te gaan aan het al dan niet melden van een datalek.

Beveiligingsmaatregelen datalekken

  • Implementeer een procedure datalekken en stel een coördinator datalekken aan
  • Versleutel privacygevoelige data in transport en in opslag
  • Pas DLP technieken toe
  • Patch systemen en applicaties regelmatig
  • Zorg voor regelmatige back-ups
  • Scan inkomend mailverkeer op malware en monitor uitgaande data, zorg voor de vertrouwelijkheid van privacygevoelige data

Verwerkers en datalekken

Op grond van de AVG mag een organisatie (verwerkersverantwoordelijke) alleen een beroep doen op verwerkers die afdoende garanties met betrekking tot de toepassing van passende technische en organisatorische maatregelen bieden[9]. Belangrijke afspraken die in het kader van een datalek moeten worden gemaakt tussen de verwerkersverantwoordelijke en de verwerker zijn de volgende:

  • Vastleggen wie de melding aan de Autoriteit Persoonsgegevens of aan de betrokkene doet: de verwerker of de verwerkersverantwoordelijke
  • Vastleggen meldingstermijn waarbinnen een verwerker een melding doet aan de verwerkersverantwoordelijke (een datalek moet binnen 72 uur gemeld worden)
  • Vastleggen van het periodiek testen, evalueren en bespreken van de datalekken en de gemaakte afspraken met de verwerker

Tot slot

Fouten zijn menselijk, maar zorg dat uw organisatie leert van een datalek zodat een dergelijk datalek in de toekomst voorkomen kan worden. Train uw medewerkers, zorg ervoor dat u een duidelijke datalekprocedure heeft en stimuleer goed gedrag top-down. Vanaf 25 mei 2018 is de Autoriteit Persoonsgegevens begonnen met de handhaving van de AVG. Mocht er onverhoopt toch een datalek plaatsvinden, heeft een organisatie een goed verhaal als er uitgebreide documentatie met toegelichte afwegingen inzake meldingen beschikbaar is.

 

Referenties

[1] Artikel 33 lid 1 AVG Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

[2] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ap_jaarverslag_2017.pdf

[3] https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1

[4]  Artikel 34 lid 1 AVG Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.

[5] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ap_jaarverslag_2017.pdf

[6] https://www.agconnect.nl/artikel/34-miljoen-nederlanders-slachtoffer-van-cybercrime-2017

[7] https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0

[8] Artikel 33 lid 4 AVG Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.

[9] Artikel 28 lid 1 AVG Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *