Datalekken voorkomen in een ingewikkeld IT-landschap

Op 1 januari 2016 is de nieuwe Meldplicht Datalekken ingegaan. Wanneer een datalek optreedt, moet de verantwoordelijke partij melding maken van het datalek. Laat zij dat na, kan haar dat in het meest ongunstige geval op twee boetes van €820.000,- komen te staan. Volgens de wet zijn er dan namelijk twee overtredingen begaan: 1) er is geen melding van het lek gedaan bij de Autoriteit Persoonsgegevens, 2) er is geen melding van het lek gedaan bij de mogelijke slachtoffers van het lek. Er is nog veel onduidelijkheid over hoe de wet precies in elkaar zit en hoe deze moet worden toegepast. Vandaag spijkeren wij u bij.

Niet nieuw, wel anders

De wet niet nieuw: persoonlijke data moesten altijd al goed beschermd worden volgens de Wet bescherming persoonsgegevens (Wbp) en ook gold altijd al een meldplicht. Nieuw is dat het in strijd handelen met de wet direct kan leiden tot een sanctie, die kan worden opgelegd door de Autoriteit Persoonsgegevens (AP). Het beoogde effect is dat ondernemingen die persoonsgegevens verzamelen, opslaan, beheren of bewerken een belangrijke financiële prikkel hebben om datalekken te melden. Onlosmakelijk daaraan verbonden is de vergrote wens om geen datalekken te laten plaatsvinden, aangezien het voor de reputatie van een onderneming schadelijk is als een datalek aan het licht komt. Dat zou moeten leiden tot een beter beleid ten aanzien van de bescherming van persoonsgegevens.

Beleidsregels als leidraad

ecrime_gangster_2009_RGB-300x231 De wettekst is niet erg expliciet. Om ondernemingen op weg te helpen bij een correcte toepassing van de wet, heeft de AP beleidsregels opgesteld. Het is een groot document, maar het geeft duidelijke inzichten. Zo valt te lezen dat het ene persoonsgegeven het andere niet is. Er worden verschillende categorieën persoonsgegevens aangeduid als ‘persoonsgegevens van gevoelige aard’, waarbij het lekken ervan kan leiden tot ernstige gevolgen voor het slachtoffer, zoals stigmatisering of uitsluiting van de betrokkene, schade aan de gezondheid, financiële schade of (identiteits)fraude. Er worden opmerkelijk veel persoonsgegevens als gevoelig gekenmerkt. Voorbeelden zijn gegevens over iemands godsdienst, ras, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens, salaris, verslavingen, kopieën van identiteitsbewijzen, burgerservicenummers en biometrische gegevens, maar ook onschuldiger lijkende gegevens als gebruikersnamen, wachtwoorden en andere inloggegevens behoren tot deze speciale categorie. Bijna elk bedrijf beschikt wel over dergelijke gegevens van klanten of personeelsleden. Bij ‘normale’ persoonsgegevens is het, onder bepaalde voorwaarden, niet altijd noodzakelijk om een mogelijk datalek te melden. Maar bij dit soort ‘gegevens van gevoelige aard’, zijn de regels strenger en zullen mogelijke datalekken vaker wel worden gemeld bij de AP.

Verantwoordelijkheid

In de beleidsregels staat, dat de verantwoordelijkheid voor de bescherming van de persoonsgegevens ligt bij de partij die de persoonsgegevens heeft verzameld en niet bij de bewerker van de gegevens. Bij een bewerker van gegevens kan gedacht worden aan een datacenter waar de gegevens worden opgeslagen, of aan de leverancier van een Cloud-oplossing. De beleidsregel stelt dat de verantwoordelijke moet nagaan of de bewerker de nodige maatregelen treft om de persoonsgegevens te beschermen. Maar hoe stel je dat vast?

Safe Harbor

Eén handvat hiertoe wordt geboden door de EU-wetgeving over dataprotectie. Deze stelt dat de persoonsgegevens van Europese burgers niet de grenzen van de EU mogen overschrijden, omdat er buiten de EU geen garanties zijn voor een goede databescherming. Tot voor kort was voor de VS een uitzondering gemaakt in de vorm van het Safe Harbor-verdrag. In dit verdrag werd gesteld dat de persoonsgegevens van EU-burgers ook inde VS veilig zouden zijn. Er waren dan ook geen wettelijke restricties voor Europese bedrijven om gebruik te maken van Cloud-diensten van bijvoorbeeld Microsoft, Google en Apple. Echter, op 6 oktober 2015 werd Safe Harbor ongeldig verklaard. Daarmee is een juridisch lastige situatie ontstaan. Formeel zijn Nederlandse bedrijven, die gebruik maken van een Amerikaanse Cloud, sinds 6 oktober in overtreding van de Europese Dataprotectie-wet en sinds 1 januari zijn zij wettelijk verplicht om deze overtreding, die wordt gezien als een datalek, te melden bij de Autoriteit Persoonsgegevens. Om deze situatie voor te zijn, is er een overgangsperiode afgesproken, waarin het (zakelijke) gebruik van Amerikaanse Cloud-oplossingen toegestaan bleef. Deze periode liep tot 31 januari 2016. Er wordt naarstig gewerkt aan een opvolger van Safe Harbor en de onderhandelaars hebben begin februari een principeakkoord bereikt. Maar de precieze details zijn nog lang niet uitgewerkt. Zolang dat nog niet het geval is, blijven wij in een juridisch schemergebied als het gaat om Amerikaanse IT-leveranciers.

Malware

Danielle-van-Leeuwen-200x300 Daniëlle van Leeuwen

Malware wordt vaak buiten beschouwing gelaten als het gaat over informatiebescherming. Volledig ten onrechte, zo blijkt ook uit de beleidsregel van AP. Deze stelt: ‘Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller’. Dat is nogal een understatement: bijna alle typen malware hebben dit doel. Het is dan ook goed dat de conclusie van de AP luidt: ‘Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek’. Melding van een malware-infectie aan de AP is dan ook verplicht. Aangezien er elke minuut 12 compleet nieuwe vormen van malware bijkomen, is het risico op malware elke minuut zeer wezenlijk. Als een onderneming niet regelmatig aan de AP wil moeten melden ‘dat er toch een stukje malware doorheen is geglipt’, kan die maar beter kiezen voor een goede antimalware-oplossing die zoveel mogelijk van die malware afweert.

Daniëlle van Leeuwen is Communicatie Manager Benelux bij G DATA