Datalekken
Wat is een datalek?
We spreken van een datalek of inbreuk in verband met persoonsgegevens als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.Andere voorbeelden: cyberaanvallen (incl. ddos-aanvallen), e-mails verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren USB-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder een datalek in de zin van de Algemene verordening gegevensbescherming (AVG). Dit is alleen anders als de bedrijfsgegevens ook persoonsgegevens bevatten.
Als een bedrijfstelefoon verloren raakt of gestolen wordt, is er mogelijk sprake van een datalek. Een zoekgeraakte privételefoon is in de regel geen datalek. Dit komt doordat de AVG niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Dit kan anders zijn als de privételefoon ook zakelijke contactgegevens, e-mails e.d. bevat (bijvoorbeeld in het kader van Bring-Your-Own-Device of BYOD).
Zie ook: bescherming persoonsgegevens
Wat betekent de meldplicht datalekken?
Op grond van de meldplicht datalekken is een organisatie verplicht om datalekken te melden bij de toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Daarnaast moeten ook de personen van wie de gegevens gelekt zijn worden geïnformeerd. Er zijn uitzonderingen van toepassing - meer hierover in de paragrafen hieronder.Naast de meldplicht is in de AVG ook de verplichting voor organisaties opgenomen om datalekken te registreren in hun interne datalekregister. Deze verplichting geldt ook voor datalekken die niet aan de toezichthouder of betrokken personen hoeven te worden gemeld.
Meldplicht datalekken Telecom
De meldplicht datalekken uit de AVG moet niet worden verward met de telecom-meldplicht, die al sinds 2011 bestaat. Laatstgenoemde meldplicht geldt voor aanbieders van openbare elektronische communicatiediensten en is opgenomen in de Telecommunicatiewet (artikel 11.3a Telecommunicatiewet).
Wat is het doel van de Meldplicht Datalekken?
- Bewustwording. Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen.
- Op niet-naleving van de meldplicht staat een maximale boete van 10 miljoen euro (of 2% van de wereldwijde jaaromzet). Een datalek dat ten onrechte niet gemeld wordt aan de toezichthouder én niet gemeld wordt aan de betrokkenen terwijl dat wel had gemoeten, kan twee overtredingen (boetes) opleveren. Daar kan dan ook nog een boete voor ontoereikende beveiliging of een gebrekkige administratie bij komen.
- Personen van wie de gegevens zijn gelekt worden door de meldplicht waarschijnlijk sneller op de hoogte gesteld van het feit dat hun gegevens in verkeerde handen zijn gevallen. Vaak zullen zij naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om loginnaam en wachtwoord die veranderd moeten worden of een rekening die geblokkeerd moet worden.
Voorwaarden voor melding aan de AP
Elk datalek moet worden gemeld bij de toezichthouder. Dit is alleen anders als het onwaarschijnlijk is dat er risico's zijn voor de privacy van de betrokken personen. Het is niet van belang of de organisatie zich bevindt in de publieke of private sector.Alle datalekken - ook lekken die niet bij de toezichthouder hoeven te worden gemeld - moet worden geregistreerd in het datalekregister van de verantwoordelijke organisatie. Naast de informatie over het lek zelf en de genomen maatregelen moeten de overwegingen voor het wel of niet melden worden opgenomen.
Als het datalek waarschijnlijk een hoog risico voor de betrokken personen inhoudt, moeten ook de betrokkenen geïnformeerd worden (art 34 AVG).
advertentie
Wanneer is er sprake van een inbreuk in verband met persoonsgegevens?
Een inbreuk in verband met persoonsgegevens (datalek) hoeft niet te betekenen dat de beveiliging tekort is geschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. Voorbeelden: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.Daarnaast kan de inbreuk het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.
Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek. Het niet adequaat beveiligen van persoonsgegevens geldt overigens wel als een inbreuk op de AVG die tot sancties kan leiden.
Inhoud van de datalekmelding aan de AP
Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het moment dat de verantwoordelijke er kennis van heeft genomen.De melding aan de toezichthouder omvat in elk geval:
- De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters, inclusief het geschatte aantal daarvan.
- Naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen.
- Een beschrijving van de waarschijnlijke gevolgen van de inbreuk.
- De maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken, waaronder de maatregelen ter beperking van de nadelige gevolgen.
Melden datalek : meldloket datalekken
Wil je als organisatie een datalek melden? De juiste plaats hiervoor is het Meldloket datalekken van de Autoriteit Persoonsgegevens.Je krijgt een ontvangstbevestiging met meldingsnummer na indiening van de melding. Met dit meldingsnummer kun je de melding aanpassen of intrekken. Soms blijkt bij nadere inventarisatie dat het incident ernstiger was dan aanvankelijk werd verondersteld, of juist dat er sprake was van vals alarm.
Wie niet namens de organisatie maar op persoonlijke titel een melding wilt doen om de aandacht van de AP te vestigen op een vermeend datalek, gebruikt het meldingsformulier klachten.
Melding van privacylek aan de betrokken persoon
Artikel 34 van de AVG geeft aan dat een melding aan de betrokkenen niet verplicht is als de gelekte persoonsgegevens op de juiste wijze zijn versleuteld en daardoor voor onbevoegden onbegrijpelijk zijn geworden.Een melding aan betrokkenen omvat in elk geval een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk, de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen, de waarschijnlijke gevolgen van de inbreuk en de voorgestelde of genomen maatregelen om de inbreuk aan te pakken, waaronder maatregelen ter beperking van de negatieve gevolgen.
Een verloren USB-stick met persoonsgegevens die met de juiste encryptie is beveiligd, hoeft niet gemeld te worden aan de betrokken personen. Dit kan in een later stadium alsnog anders zijn, als de toegepaste versleuteling niet meer veilig is in verband met een gewijzigde stand van de techniek.
Registratie van datalekken: datalekregister
Elke organisatie heeft de plicht een register bij te houden van alle lekken, dus niet alleen van de meldingsplichtige datalekken. In dit datalekregister moeten worden opgenomen de informatie over het lek zelf, de gevolgen daarvan en de genomen corrigerende maatregelen. Dit logboek maakt onderdeel uit van de privacyboekhouding van een organisatie, net als het verwerkingsregister en de DPIA-documentatie.Loggen toegang tot persoonsgegevens
Door de toegang tot persoonsgegevens in applicaties te loggen, kunnen inbreuken op de beveiliging aan het licht worden gebracht. Op deze manier kunnen datalekken door ongeautoriseerde toegang worden opgespoord. Het omgekeerde is ook het geval: uitsluiten dat een datalek heeft plaatsgevonden.Medewerkers in een organisatie mogen alleen toegang hebben tot de gegevens die zij voor de uitvoering van hun werkzaamheden nodig hebben: toegang op need-to-know-basis (en niet: 'nice-to-know-basis'). Door gemakzucht of functiewijziging blijken werknemers nogal eens inzage te hebben in te veel gegevens. Controle van die toegang middels logbestanden kan dit tijdig opmerken. Wanneer een export van (bulk)data mogelijk is, moet ook het gebruik van deze functie gelogd worden. Export van persoonsgegevens heeft de potentie om tot een datalek te leiden, bijvoorbeeld door verspreiding via e-mail naar verkeerde adressen, of zelfs door verkoop van de data.
Ransomware
Ransomware is een vorm van malware die bestanden blokkeert of versleutelt. Om weer toegang te krijgen tot de data moet losgeld betaald worden. In veel gevallen kwalificeert een ransomwareaanval als een datalek. Enerzijds doordat derden toegang tot computers en randapparatuur hebben gekregen. Anderzijds doordat door de gijzelsoftware persoonsgegevens niet meer toegankelijk zijn, waardoor de beschikbaarheid van deze gegevens is aangetast. De Autoriteit Persoonsgegevens geeft in haar datalekkenrapportage 2021 aan dat datalekken door ransomware moeten worden gemeld aan zowel de toezichthouder als de betrokkenen.Meer informatie: wat is ransomware?
Inbraak en datalek - clean desk policy
Wanneer er een fysieke inbraak is geweest en dossiers of ordners met gegevens over personen, cliënten of leden (mogelijk) zijn ingezien, kan er sprake zijn van een datalek. Dat is niet het geval als alle gegevens achter slot en grendel worden bewaard en de archiefkasten e.d. niet zijn opengebroken. Een clean desk policy kan dergelijke problemen voorkomen.Stappenplan datalekken - wat te doen bij datalekken
Naast de verplichtingen omtrent het officieel melden aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen, zijn er praktische stappen te nemen:- Bij grotere organisaties bestaat vaak al een incident response team dat in actie komt bij beveiligingsincidenten.
- Bij kleinere organisaties: inschakelen juridische afdeling. Zo nodig juridische hulp van buitenaf inroepen.
- Formeren werkgroep die deze inbreuk monitort en afhandelt.
- Contacten met betrokken partijen vastleggen en een logboek van alle acties en gebeurtenissen bijhouden.
- Veiligstellen data en bewijs, waaronder logfiles van de servers.
- Persverklaring opstellen / berichten aan betrokkenen.
- Wanneer er sprake is van ransomware, volg dan ook het stappenplan ransomware
Gevolgen van niet-melden
Een instinctieve reactie is om een voorval van een datalek niet te melden. Dat is een struisvogelreactie.- Het melden van een datalek leidt niet automatisch tot een boete of andere sanctie.
- Juist het niet-melden levert een (extra zware) boete op, als het datalek uitkomt.
- Het is de vraag of men van werknemers überhaupt kan eisen dat zij een datalek geheimhouden. Werknemers wier gegevens gelekt zijn, kunnen bovendien een klacht indienen bij de Autoriteit Persoonsgegevens.
- Het verhullen van een datalek voorkomt in eerste instantie publieke aandacht. Wanneer het lek alsnog boven tafel komt, is de (reputatie)schade mogelijk des te groter.
- Betrokkenen worden niet geïnformeerd. Dat is vervelend voor hen omdat ze geen maatregelen kunnen nemen zoals het wijzigen van wachtwoorden. Het ligt voor de hand dat mensen die hierdoor schade lijden dit willen verhalen. De claims en rechtszaken hierover brengen kosten met zich mee en leveren negatieve publiciteit op.
Er bestaat een zekere schroom om datalekken te melden, zeker bij twijfel. Doe juist bij twijfel wel een melding, het is immers mogelijk een (voorlopige) melding, die achteraf niet nodig was geweest, weer in te trekken. Er zijn zelfs vraagtekens te plaatsen bij organisaties die zelden of nooit een melding van een datalek indienen. Zaken als verlies of diefstal van een telefoon of laptop komen immers regelmatig voor en zijn algauw als datalek te kwalificeren.
Ontdekken datalek door een gebruiker
Het is pijnlijk en kwalijk als een gebruiker, doordat anderen misbruik van zijn persoonsgegevens maken, ontdekt dat zijn gegevens bij een datalek betrokken zijn, en dat hij niet geïnformeerd was over dat datalek.Er zijn websites waar informatie over hacks verzameld wordt en waar een kopie van de getroffen data aanwezig is. Hier zijn loginnamen, e-mailadressen en domeinnamen te controleren op aanwezigheid in gehackte databases. Als je je account of adres hier aantreft is het belangrijk om het wachtwoord van dat account te wijzigen. Gebruik je hetzelfde wachtwoord ook bij andere websites of diensten, pas het dan ook daar aan. Hackers speculeren erop dat wachtwoorden (en vaak ook accountnamen) worden hergebruikt en zullen dit proberen uit te buiten.
Controleer misbruik bij Have I been pwned
Ethisch hacken - responsible disclosure - bug bounty's
Ethische hackers zoeken beveiligingsproblemen maar maken geen misbruik van gevonden fouten of datalekken. Ze melden problemen bij de verantwoordelijken, ze maken de fouten normaal gesproken niet openbaar.Bedrijven die hiervoor openstaan, stellen een responsible disclosure (beleid) op. Ze vermelden op hun website hoe ze omgaan met gemelde fouten, hoe snel ze die oplossen. Een bedrijf nodigt hiermee hackers uit om fouten te zoeken en te melden zonder dat de hackers bang hoeven te zijn voor de gevolgen van het zoeken naar een lek. De hackers die hier op ingaan doen dit om hun kennis te vergroten en hun cv als ethisch hacker of consultant een boost te geven met een gevonden - en erkend - lek.
Grote techbedrijven kunnen premies beschikbaar stellen voor het vinden van fouten in hun systemen. Er zijn hackers die kunnen leven van het geld van deze bug bounty's.
Cloud shadow IT
Het gemak van tools als Dropbox, WeTransfer, fotobewerkers en pdf-converters is groot. Zulke tools zijn voor iedereen direct beschikbaar en vaak gratis waardoor deze cloudapplicaties veel gebruikt worden. Ze worden meestal op individuele basis en ad-hoc ingezet en vallen buiten de formele inkoop- en IT-processen, met risico's op het gebied van beveiliging. Bewustwording, beleid en monitoring zijn nodig om datalekken te voorkomen.Voorkomen van datalekken - datahonger
In de honger naar data wordt zelden een kosten-baten analyse gemaakt. Wat leveren (klant)gegevens op en wat kost het om ze op te slaan? Gegevens verouderen waardoor hun juistheid en dus hun waarde verminderen. De kosten voor opslag, doorzoekbaarheid en alle procedures er omheen worden groter naarmate de hoeveelheid data toeneemt. Verder geldt dat hoe ouder de gegevens zijn, des te minder waarde ze vertegenwoordigen. De kosten voor naleving van wetgeving zoals de AVG daarentegen blijven gelijk, hoe oud de informatie ook is.Het niet opslaan van persoonsgegevens of het (eerder) verwijderen ervan kan per saldo wel eens voordeliger uitpakken dan het eindresultaat van het verzamelen en gebruiken van veel data.
Zie ook: dataretentie.
Voorkomen van datalekken - fysieke beveiliging
Het is een open deur, maar laat geen computers of datadragers onbeheerd achter (met de auto als bekend voorbeeld). Laat ook niets achter in een hotelkamer of café, als je even wegloopt. Gebruik in een hotelkamer een kluisje. In een openbare ruimte is een kabel ('Kensington-lock') aan een laptop de aangewezen beveiliging.Daarnaast is een VPN bij het gebruik van een hotspot een must.
Het komt (nog) niet zo vaak voor, maar juice jacking is ook een gevaar. Bij het opladen van een mobiele telefoon via een openbaar oplaadpunt of met een powerbank van een vreemde kan data worden gelezen of malware worden geïnstalleerd. De USB-poort die voor het laden wordt gebruikt, is ook een doorvoermechanisme voor data. Een soortgelijk gevaar bestaat er bij het aansluiten van een gevonden USB-stick.