Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

Datalekken

Meldplicht Datalekken AVG

Vooruitlopend op de AVG trad in Nederland op 1 januari 2016 de Wet Meldplicht Datalekken in werking. De AVG heeft deze wet in 2018 vervangen.
Datalekken moeten bij de toezichthouder worden gemeld. Dit hoeft alleen niet als het onwaarschijnlijk is dat er risico's zijn voor de privacy van de betrokken personen. Het niet melden van een datalek vormt een overtreding van de AVG. De toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP), kan in dat geval een boete opleggen van maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet van de organisatie.
De melding bij de toezichthouder moet in principe binnen 72 uur na ontdekking plaatsvinden.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder een datalek in de zin van de AVG.

Als een bedrijfstelefoon verloren raakt of gestolen wordt, is dat mogelijk een datalek. Een zoekgeraakte privételefoon is in de regel geen datalek. Dit komt doordat de AVG niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Dit kan anders zijn als de privételefoon ook zakelijke contactgegevens, e-mails e.d. bevat (bijvoorbeeld in het kader van Bring-Your-Own-Device of BYOD).

Zie ook: bescherming persoonsgegevens

Meldplicht datalekken Telecom


Excuus voor het datalek Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten van inbreuken op de beveiliging van persoonsgegevens (artikel 11.3a Telecommunicatiewet). Dit werd de smalle meldplicht genoemd ter onderscheid van de Wet Meldplicht Datalekken uit 2016 die de brede meldplicht werd genoemd.


Wat is het doel van de Meldplicht Datalekken?

  • Bewustwording. Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen.
  • De sanctie op niet-naleving van de meldplicht is een maximale boete van 10 miljoen euro (of 2% van de jaarlijkse omzet, wereldwijd). Een datalek dat niet gemeld wordt aan de verantwoordelijke én niet gemeld wordt aan de betrokkenen terwijl dat wel had gemoeten, kan twee overtredingen (boetes) opleveren. Daar kan dan ook nog een boete voor ontoereikende beveiliging of een gebrekkige administratie bijkomen.
  • Personen van wie de gegevens zijn uitgelekt, zullen waarschijnlijk sneller op de hoogte worden gesteld van het feit dat hun gegevens in verkeerde handen zijn gevallen. Vaak zullen zij naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om loginnaam en wachtwoord die veranderd moeten worden of een rekening die geblokkeerd moet worden.
De beoordeling of er een melding bij de AP moet worden gedaan ligt bij de verwerkingsverantwoordelijke. Voor de inschatting hiervan kan een Data Protection Officer goede diensten bewijzen. En als de verwerkingsverantwoordelijke een verwerker inschakelt, moeten beide partijen duidelijke afspraken maken over de rol die ieder van hen heeft wanneer zich een datalek voordoet.

Voorwaarden voor melding aan de AP

Elk datalek moet worden gemeld bij de toezichthouder. Dit is alleen anders als het onwaarschijnlijk is dat er risico's zijn voor de privacy van de betrokken personen. Het is niet van belang of de organisatie zich bevindt in de publieke of private sector.
Elke datalek -ook lekken die niet bij de toezichthouder hoeven te worden gemeld- moet worden gelogd in het datalekkenregister van de verantwoordelijke organisatie. Naast de informatie over het lek zelf en de genomen maatregelen moeten de overwegingen voor het wel of niet melden worden opgenomen.

Als het datalek waarschijnlijk een hoog risico inhoudt, moeten ook de betrokkenen geïnformeerd worden (art 34 AVG).

Wanneer is er sprake van inbreuk op de beveiliging?

Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. Voorbeelden: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.

Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.

Op de genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. Voorbeeld: een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.

Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen geen datalek. Dat is pas het geval als de gegevens op straat liggen.
Niet adequaat beveiligde gegevens zijn wel strafbaar.

Inhoud van de datalekmelding aan de AP

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het moment dat de verantwoordelijke er kennis van heeft genomen.
De melding aan de toezichthouder omvat in elk geval:
  • De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters, inclusief het geschatte aantal daarvan.
  • Naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen.
  • Een beschrijving van de waarschijnlijke gevolgen van de inbreuk.
  • De maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken, waaronder de maatregelen ter beperking van de nadelige gevolgen.

Melden datalek : meldloket datalekken

Wilt u als organisatie een datalek melden? De juiste plaats hiervoor is het Meldloket datalekken van Autoriteit Persoonsgegevens.
U krijgt een meldingsnummer aan het einde van de procedure. Met dit meldingsnummer kunt u de melding aanpassen of intrekken. Soms blijkt na nadere inventarisatie van de casus dat hij ernstiger is dan werd verondersteld, of dat er sprake was van vals alarm.
Als u de organisatie niet vertegenwoordigt of op persoonlijke titel een melding wilt doen om de aandacht van de AP te vestigen op een vermeend datalek, gebruik dan het tipformulier datalekken.

Melding aan de betrokken persoon

Excuses voor het datalekkage Artikel 34 van de AVG geeft aan dat een melding aan de betrokkenen niet verplicht is als de gelekte persoonsgegevens op de juiste wijze zijn versleuteld en daardoor voor onbevoegden onbegrijpelijk zijn geworden.
Een melding aan betrokkenen omvat in elk geval een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk, de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen, de waarschijnlijke gevolgen van de inbreuk en de voorgestelde of genomen maatregelen om de inbreuk aan te pakken, waaronder maatregelen ter beperking van de negatieve gevolgen.

Een verloren usb-stick met persoonsgegevens die met de juiste encryptie is beveiligd hoeft niet gemeld te worden aan de betrokken personen (mogelijk wel aan de Autoriteit Persoonsgegevens).

Logboek met datalekken : datalekkenregister

Elke organisatie heeft de plicht een logboek bij te houden van alle lekken, dus niet alleen van de meldingsplichtige datalekken. In dit datalekkenregister moeten worden opgenomen de informatie over het lek zelf, de gevolgen daarvan en de genomen corrigerende maatregelen. Dit logboek maakt onderdeel uit van de privacyboekhouding, net als het verwerkingsregister en de DPIA's.

Overige relevante meldplichten

  • Meldplichten Telecommunicatiewet

    De Telecommunicatiewet voorziet in diverse meldplichten voor aanbieders van openbare elektronische communicatiediensten en netwerken. Met name de meldplicht voor datalekken van artikel 11.3a van deze wet is van belang. Lees meer hierover op Loket Meldplicht Telecomwet.
  • Meldplicht voor financiële instellingen

    Deze meldplicht betreft incidenten in de financiële sector en zijn opgenomen in de Wet op het Financieel Toezicht.
    Meldingen misstanden bij AFM

Afspraken met leverancier

Het is voor bedrijven raadzaam om afspraken te maken met leveranciers over beveiligingsmaatregelen. Hiermee kan achteraf worden getoetst of de leverancier de verplichtingen is nagekomen.
Er zijn leveranciers die in hun voorwaarden vermelden dat ze niet, of beperkt, gehouden zijn aan beveiliging.
Ook zijn afspraken nodig over het melden aan de toezichthouder: het is de verwerkingsverantwoordelijke die de melding moet doen. Dat moet in principe binnen 72 uur gebeuren.

Mogelijke extra kosten na datalekken

Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de meldplicht zullen fouten eerder bekend worden. Dat kan leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

Vernietiging van persoonsgegevens kan een datalek zijn

Als persoonsgegevens vernietigd worden dan kunnen ze niet in handen van derden vallen. Maar een onbedoelde vernietiging kan gevolgen hebben voor de betrokkenen. Om die reden kan er bij een vernietiging toch sprake zijn van een datalek.

Ransomware

Ransomware is een vorm van malware die bestanden blokkeert of versleutelt. Om weer toegang te krijgen tot de data moet een losprijs betaald worden.
Bij malware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Dat betekent dat er mogelijk sprake is van een datalek. Daarnaast zijn door de ransomware de geblokkeerde gegevens niet meer toegankelijk; ook om deze reden kan een ransomware attack een datalek tot gevolg hebben.
Meer informatie: wat is ransomware?

Inbraak en datalek - clean desk policy

Wanneer er een fysieke inbraak is geweest en dossiers of ordners met gegevens over personen, cliënten of leden (mogelijk) zijn ingezien, kan er sprake zijn van een datalek. Dat is niet het geval als alle gegevens achter slot en grendel worden bewaard en de archiefkasten e.d. niet zijn opengebroken. Een clean desk policy kan dergelijke problemen voorkomen.

Wat te doen bij datalekken

Naast de verplichtingen omtrent het officieel melden aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen, zijn er praktische stappen te nemen:
  • Inschakelen juridische afdeling. Zonodig juridische hulp van buitenaf inroepen.
  • Formeren werkgroep die deze inbreuk monitort en afhandelt.
  • Contacten met betrokken partijen vastleggen en een logboek van alle acties en gebeurtenissen bijhouden.
  • Veiligstellen data en bewijs, waaronder logfiles van de servers.
  • Persverklaring opstellen / berichten aan betrokkenen.

Gevolgen bij niet-melden

Een instinctieve reactie is om een voorval van een datalek niet te melden. Dat is een struisvogelreactie.
  • Het melden van een datalek leidt niet automatisch tot een boete of andere sanctie.
  • Juist het niet-melden levert een (extra zware) boete op, als het datalek uitkomt.
  • Het is de vraag of men van werknemers überhaupt kan eisen dat zij een datalek geheimhouden. Werknemers wier gegevens gelekt zijn, kunnen bovendien een klacht indienen bij de Autoriteit Persoonsgegevens.
  • Het verhullen van een datalek voorkomt in eerste instantie publieke aandacht. Wanneer het lek alsnog boven tafel komt, is de (reputatie)schade mogelijk des te groter.
  • Betrokkenen worden niet geïnformeerd. Dat is vervelend voor hen omdat ze geen maatregelen kunnen nemen zoals het wijzigen van wachtwoorden. Het ligt voor de hand dat mensen die hierdoor schade lijden dit willen verhalen. De claims en rechtszaken hierover brengen kosten met zich mee en leveren negatieve publiciteit op.
De overwegingen voor het niet-melden moeten worden opgenomen in het datalekregister.
Er bestaat een zekere schroom om datalekken te melden, zeker bij twijfel. Doe juist bij twijfel wel een melding, het is immers mogelijk een (voorlopige) melding, die achteraf niet nodig was geweest, weer in te trekken. Er zijn zelfs vraagtekens te plaatsen bij organisaties die zelden of nooit een melding van een datalek indienen. Zaken als verlies of diefstal van een telefoon of laptop komen immers regelmatig voor en zijn algauw als datalek te kwalificeren.

Ontdekken datalek door een gebruiker

Het is pijnlijk en kwalijk als een gebruiker, doordat anderen misbruik van zijn persoonsgegevens maken, ontdekt dat zijn gegevens bij een datalek betrokken zijn, en dat hij niet geïnformeerd was over dat datalek.
Er zijn websites waar informatie over hacks verzameld wordt en waar een kopie van de betroffen data aanwezig is. Hier zijn loginnamen, e-mailadressen en domeinnamen te controleren op aanwezigheid in gehackte databases. Als een account of adres aangetroffen wordt dan is het belangrijk om het wachtwoord van dat account te wijzigen. Wanneer dat wachtwoord ook bij andere websites of diensten gebruikt wordt, moet het daar ook gewijzigd worden. Hackers speculeren erop dat wachtwoorden (en vaak ook account-namen) worden hergebruikt en zullen dit proberen uit te buiten.

Controleer misbruik bij Have I been pwned

Ethisch hacken - responsible disclosure - bug bounty's

Ethische hackers zoeken beveiligingsproblemen maar maken geen misbruik van gevonden fouten of datalekken. Ze melden problemen bij de verantwoordelijken, ze maken de fouten normaal gesproken niet openbaar.
Bedrijven die hiervoor openstaan, stellen een responsible disclosure (beleid) op. Ze vermelden op hun website hoe ze omgaan met gemelde fouten, hoe snel ze die oplossen. Een bedrijft nodigt hiermee hackers uit om fouten te zoeken en te melden zonder dat de hackers bang hoeven te zijn voor de gevolgen van het zoeken naar een lek. De hackers die hier op ingaan doen dit om hun kennis te vergroten en hun cv als ethisch hacker of consultant een boost te geven met een gevonden - en erkend - lek.
Grote techbedrijven kunnen premies beschikbaar stellen voor het vinden van fouten in hun systemen. Er zijn hackers die kunnen leven van het geld van deze bug bounty's.

Cloud shadow IT

Het gemak van tools als Dropbox, WeTransfer, fotobewerkers en pdf-converters is groot. Zulke tools zijn voor iedereen direct beschikbaar en bijna altijd gratis waardoor deze cloudapplicaties veel gebruikt worden. Ze worden meestal op individuele basis en ad-hoc ingezet en vallen buiten de formele inkoop- en IT-processen, met risico's op het gebied van beveiliging. Bewustwording, beleid en monitoring zijn nodig om datalekken te voorkomen.