Naar aanleiding van recente gebeurtenissen bij organisaties waarbij sprake was van een (poging tot) een hack met gijzelsoftware, wil onze gemeente weten of er in zo’n geval sprake is van een datalek. Zo ja, welke stappen moeten wij dan nemen om dit op te lossen?
Antwoord in het kort
De Algemene verordening gegevensbescherming (AVG) bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’, ook wel een datalek genoemd. Bij een hack met gijzelsoftware kan inderdaad sprake zijn van een datalek en moeten decentrale overheden handelen volgens de AVG. Het datalek moet in bepaalde gevallen gemeld worden aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Ook kan het verplicht zijn de betrokken personen op de hoogte te stellen van een datalek. Daarnaast moet een datalek altijd geregistreerd worden in het interne datalekkenregister van de organisatie.
Datalek bij een hack
De AVG bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’. We noemen zo’n inbreuk meestal een datalek. In grote lijnen zijn er drie categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid: onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
- Inbreuk op de integriteit: onbevoegde of onopzettelijke wijziging van persoonsgegevens.
- Inbreuk op de beschikbaarheid: onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan meer omvatten dan alleen het verliezen van persoonsgegevens bij een cyberaanval of het per ongeluk openbaar maken van de administratie op internet. Het omvat ook gevallen waarbij bijvoorbeeld een gemeentelijk netwerk wordt gehackt en gijzelsoftware wordt geïnstalleerd. Hackers eisen dan losgeld voor het vrijgeven van het netwerk of toegang tot belangrijke bestanden. De gegevens zijn dan niet verloren, maar zijn wel tijdelijk onbereikbaar voor de gemeentelijke organisatie. Als er persoonsgegevens in het spel zijn kan ook dat een datalek vormen.
Boetes en aansprakelijkheid
Een datalek kan ernstige gevolgen hebben voor decentrale overheden, zoals imagoschade, politieke schade en financiële schade. De AP heeft de bevoegdheid om boetes op te leggen aan decentrale overheden, bijvoorbeeld omdat er geen adequate en passende informatiebeveiligingsmaatregelen zijn genomen (artikel 32 AVG) of omdat niet is voldaan aan de meldplicht uit de AVG (zie hieronder). Daarnaast kunnen de mensen die schade hebben ondervonden van dit datalek, bijvoorbeeld door identiteitsfraude, de organisatie daarvoor aansprakelijk stellen en schadevergoeding eisen. Als veel benadeelden een schadevergoeding toegekend krijgen kan de totale vergoeding flink oplopen.
Wat te doen bij een datalek?
De AP heeft een aantal stappen opgesteld die genomen moeten worden in geval van een datalek:
- Zorg voor overzicht op de situatie.
- Neem onmiddellijk maatregelen om de schade te beperken en schat de risico’s in.
- Bepaal of u het datalek wel of niet moet melden aan de AP. Zo ja, doe dit onmiddellijk.
- Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
- Registreer het datalek in uw datalekregister.
Stappen 3 (meldplicht aan AP), 4 (meldplicht aan betrokkenen) en 5 (datalekkenregister) worden hieronder kort toegelicht.
Meldplicht aan Autoriteit Persoonsgegevens en aan betrokkenen
Artikel 33 AVG bevat een meldplicht aan de AP. Een datalek moet zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat er kennis van is genomen, aan de AP worden gemeld. Deze verplichting geldt tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
Artikel 34 AVG bevat een meldplicht aan de betrokkenen: de personen over wie de gegevens gaan die zijn gelekt. De betrokkenen moeten alleen geïnformeerd worden als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Denk daarbij aan fysieke, materiële of immateriële schade, bijvoorbeeld discriminatie, (identiteits-)fraude, financiële schade of reputatieschade. De lat voor het melden aan betrokkenen ligt daarmee iets hoger dan voor een melding aan de AP.
Afweging meldplicht: hoe maak je een risico inschatting in de praktijk?
In beide gevallen moet in ieder geval een risico-inschatting worden gemaakt, waarbij de uitkomst (wel/niet melden) sterk afhankelijk is van de omstandigheden van het geval. Hieronder geven wij enkele voorbeelden van (potentiële) datalekken met daarbij de afweging om wel/niet te melden aan AP of betrokkenen.
Hack met ransomware
Hoewel dit van geval tot geval beoordeeld moet worden is de kans groot dat bij een hack met gijzelsoftware, de AP op de hoogte moet worden gesteld. Waarschijnlijk heeft de hack gevolgen voor personen, zeker wanneer geen back-ups beschikbaar zijn en de gegevens niet hersteld kunnen worden. Betrokkenen moeten worden geïnformeerd, afhankelijk van de aard van de betrokken persoonsgegevens (eerder bij gevoelige gegevens, zoals gezondheidsgegevens en financiële gegevens) en andere mogelijke gevolgen. Als er geen permanent verlies van beschikbaarheid of vertrouwelijkheid is geweest, omdat de organisatie wel back-ups heeft en de gegevens tijdig konden worden hersteld, kan de afweging anders uitvallen. Houd bij een hack met ransomware wel in het achterhoofd dat de hacker misschien een kopie van bestanden heeft gemaakt en dat op basis van die omstandigheid een melding aan de AP en/of betrokkenen in de rede ligt.
Verlies mobiele telefoon
Als een medewerker een werktelefoon verliest kan dit mogelijk een datalek zijn. Een mobiele telefoon geeft immers toegang tot verschillende databestanden, waarbij ook persoonsgegevens in het spel zijn. Denk niet alleen aan contacten en e-mail, maar ook aan andere werkgerelateerde applicaties. Van belang bij de afweging om wel/niet te melden, is hoe de telefoon is beveiligd. Wanneer bijvoorbeeld de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt door encryptie, is het soms niet nodig om de AP en/of betrokkenen op de hoogte te stellen, omdat het risico dan meevalt. Als de mobiel op afstand ‘leeggetrokken’ kan worden, kan dit zelfs betekenen dat er eigenlijk geen sprake is van een datalek en dat er zodoende niet gemeld hoeft te worden aan de AP of betrokkenen.
Brief of e-mail naar foutief adres
Of het naar een foutief adres versturen van een brief of e-mail meldenswaardig is, hangt onder meer af van de inhoud van het bericht (de ‘soort’ gegevens) en de hoeveelheid berichten (één fout geadresseerde brief of berichten naar een mailinglijst met duizenden personen). Het kan verplicht zijn deze inbreuk te melden aan de AP als een groot aantal personen erdoor getroffen is, als er gevoelige gegevens zijn onthuld (bijvoorbeeld een lijst met mensen die financiële steun krijgen van de gemeente) of als andere factoren zorgen voor een hoog risico (bijvoorbeeld als de mail wachtwoorden bevat). Betrokkenen moeten worden geïnformeerd, afhankelijk van de omvang en het type persoonsgegevens en de ernst van de mogelijke gevolgen. Als de uitnodiging voor de nieuwjaarsreceptie per ongeluk naar het oude adres van betrokkene is gestuurd, is het niet nodig een melding te doen aan betrokkene (overigens ook niet aan de AP). Dit ligt anders als iemand anders dan de betrokkene een brief ontvangt met daarin gevoelige gegevens, bijvoorbeeld met medische details.
Op de website van de AP vindt u meer informatie in welke gevallen er wel of geen melding gedaan moet worden aan de toezichthouder en aan betrokkenen. Hier is ook een uitgebreide Voorbeeldlijst wel/niet melden datalek te vinden.
Register datalekken
Decentrale overheden moeten, net als andere organisaties die verwerkingsverantwoordelijke zijn in de zin van de AVG, een datalekkenregister bijhouden. Dit register bevat niet alleen de datalekken die aan de AP zijn gemeld, maar ook alle andere datalekken (hoe klein ook). Ook potentiële datalekken of andere beveiligingsincidenten worden voor de zekerheid vaak opgenomen in dit register.
De AP geeft hier tien praktische tips voor een betere registratie van datalekken.
Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Autoriteit Persoonsgegevens
Factsheet meldplicht datalekken, Informatiebeveiligingsdienst VNG
