Zin en onzin van het melden van datalekken

Zin en onzin van het melden van datalekken

Door Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group*

In de recente periode waren er de nodige berichten over datalekken. Zo klagen gemeenten over de administratieve ballast die datalekken met zich meebrengen. Het aantal datalekken dat ze hebben gemeld is de afgelopen jaren flink gestegen: van 400 in 2017 tot 5000 in 2021. Een gemiddelde melding kost tussen de 2,5 en 4 uur aan tijd. Dat legt dus een flink beslag op de tijd van de ambtenaren.

Tegelijkertijd verscheen het jaarverslag van de toezichthouder. De toezichthouder in Nederland, de Autoriteit Persoonsgegevens (AP), ontving in 2021 25.000 datalekken. Dit was maar een lichte stijging ten opzichte van het jaar ervoor. Wel constateert de AP dat de gemelde datalekken ernstiger waren.

Daarnaast deden zich weer de nodige datalekken voor. Om er een paar te noemen: een ransomware aanval op de gemeente Buren, gestolen persoonsgegevens bij het beveiligingsbedrijf I-Sec, of een aanval op schoonmaakbedrijf CWS.

Voor mij reden om een aantal zaken over datalekken op een rijtje te zetten.

1. Waarom moeten datalekken eigenlijk gemeld worden?
Als er een datalek is betekent dit dat betrokkenen (denk aan werknemers of consumenten) van wie de data gelekt zijn, dus verloren zijn gegaan en mogelijk toegankelijk zijn voor derden, een risico lopen. Hun gegevens kunnen misbruikt worden door cybercriminelen voor phishing-doeleinden of ID-fraude. Andere risico’s zijn bijvoorbeeld imagoschade als gegevens openbaar gemaakt worden, of anderszins schade als persoonsgegevens niet meer gebruikt kunnen worden (eind vorig jaar was er een hack bij een Amerikaans salarisprovider waardoor klanten wekenlang geen salaris konden overmaken aan hun werknemers!).

Doel van de melding is dus om ervoor te zorgen dat bedrijven en betrokkenen snel maatregelen kunnen nemen om de risico’s zoveel mogelijk tegen te gaan of te verhelpen.

2. Moet ik alle datalekken melden aan de AP?
Je hoeft (beveiligings-)incidenten alleen te melden als er een privacy-risico van een betrokkene mee gemoeid is. Deze afweging moet je altijd zelf maken en vastleggen in het interne incidentenregister.

De toezichthouder noemt zelf als uitzondering het lekken van persoonsgegevens naar iemand die te vertrouwen is. Dan volstaat het om deze persoon te informeren en te vragen de persoonsgegevens te wissen.

Ook moet het gaan om persoonsgegevens. Dus zijn er alleen zakelijke contactadressen gelekt dan zal dit vaak niet als een datalek gezien worden.

Ook is er geen sprake van een datalek als de persoonsgegevens niet benaderbaar zijn. Een verdwenen device met versleutelde persoonsgegevens is geen datalek. Wel natuurlijk onder de voorwaarde dat de er een back-up is van de persoonsgegevens en dat de sleutel apart is gehouden.

Nota bene: als het gaat om datalekken die waarschijnlijk een hoog risico voor betrokkenen opleveren dan moet je ook deze informeren. Dat is vaak aan de orde als het gaat om gevoelige of bijzondere persoonsgegevens, er veel persoonsgegevens bij betrokken zijn en als het gaat om kwetsbare betrokkenen (bijvoorbeeld kinderen).

3. Hoe bepaal ik wat het risico is en of ik moet melden?
De toezichthouder heeft op haar website een aantal voorbeelden uitgewerkt: voorbeelden datalekken. En wil je echt meer weten lees dan vooral eens de voorbeelden van de Europese toezichthouder: voorbeelden datalekken EDPB.

4. Moet ik als verwerker ook datalekken melden?
Ja, dat moet je. Maar niet aan de AP maar aan je opdrachtgever, zijnde de verwerkingsverantwoordelijke. In de verwerkersovereenkomst zijn hier nadere afspraken over gemaakt. De melding moet in ieder geval zo snel mogelijk doorgegeven worden, en niet binnen 72 uur zoals zo vaak gedacht wordt. Als je nog niet alle informatie hebt kan je deze ook in delen verstrekken.

5. Wat is het risico als ik een datalek niet meld?
Het grootste risico ligt natuurlijk bij de betrokkenen. Als een datalek niet gemeld wordt kan het gebeuren dat er onvoldoende of te laat maatregelen worden genomen om het privacy-risico te verkleinen.

Voor een bedrijf ligt er het risico dat het datalek uiteindelijk toch bekend wordt. Bijvoorbeeld door klachten van betrokkenen of meldingen van klokkenluiders. Of gewoon doordat een hacker de gelekte persoonsgegevens te koop aan biedt. In dat geval loopt je het risico dat de AP achter je aan gaat of dat je claims van betrokkenen of klanten aan je broek krijgt. Zo kreeg de PVV in 2021 een boete van 7500 euro voor het niet mededelen van een datalek.

Uber en Booking.com kregen boetes opgelegd van respectievelijk 600.000 en 475.000 euro. Maar dat was omdat ze de datalekken te laat hadden doorgegeven.

6. Wat is het risico als ik een datalek wel meld?
De toezichthouder kan optreden naar aanleiding van je melding. Dit kan variëren van voorlichting tot het opleggen van boetes.

De ‘pakkans’ lijkt echter laag te zijn. In hun jaarverslag lees je dat slechts in ‘enkele honderden’ (van de 25.000) gevallen actie ondernomen is. Vorig jaar zocht Netkwesties uit dat het zelfs maar in 0,15% van de gevallen gebeurde.

7. Wat zijn voorbeelden van datalekken?
Datalekken komen in alle vormen voor. Een overzicht van datalekken vind je bijvoorbeeld hier: overzicht datalekken.

Voor de duidelijkheid. Bij datalekken gaat het vaak om data die onbevoegd door anderen (kunnen) worden ingezien, maar het kan ook gaan om persoonsgegevens die niet meer beschikbaar, of niet meer juist zijn.

8. Het beste kan je natuurlijk datalekken voorkomen. Maar hoe doe je dat?
Dat doe je door de AVG en beveiliging in je bedrijf serieus te nemen. Zorg dat je de risico’s kent en dat je maatregelen treft. Ik ga hier geen uitputtend lijstje opnemen maar denk vooral aan het updaten van je systemen en software, het beveiligen van de toegang met een tweede factor, het hebben van werkende back-ups en het scheiden van data. Maar met technische maatregelen alleen ben je er niet. De meeste datalekken ontstaan door (onbewust) menselijk handelen. Informeer en train medewerkers om hun veiligheidsawareness op orde te houden. En tenslotte: pas altijd de beginselen van de AVG toe. Denk hierbij vooral aan het alleen verzamelen van gegevens die je nodig hebt en het wissen ervan als je die niet meer nodig hebt. Of aan het versleutelen van persoonsgegevens zodat niemand er iets mee kan.

9. Is ransomware een datalek dat je moet melden?
Dat kan zeker het geval zijn. Bijvoorbeeld omdat hackers de data eerst gekopieerd hebben om je daar later mee te chanteren. Of als je geen back-up hebt gemaakt of als deze gegevens niet meer bruikbaar zijn. In het document van de EDPB (zie onder vraag 2) zijn een aantal voorbeelden uitgewerkt.

10. Wat kost een datalek?
IBM houdt bij wat een datalek in de VS kost. Ze hebben berekend dat er meer dan 4 miljoen dollar gemoeid is met een datalek. Het gaat hierbij om gederfde omzetten, uitgaven in het kader van onderzoek en het nemen van maatregelen, en kosten van juridische ondersteuning en claims. De kosten van het melden van datalekken tenslotte zijn maar 5% van het totaal. Dus gemeenten kunnen zich wat mij betreft beter druk maken om het voorkomen van datalekken!

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.

Lees ook:
Inge Brattinga: verwerking persoonsgegevens en inzageverzoek AVG
AVG: AI, algoritmes en automatische besluitvorming bij recruitment
AVG en gezondheidsgegevens
AVG en gebruik van social media bij recruitment