Management

IT beheer
Beveiliging

De rol van de IT’er onder de Wet meldplicht datalekken

De IT-afdeling heeft een specifieke verantwoordelijkheid bij het voldoen aan de meldplicht datalekken.

© Shutterstock
19 augustus 2016

De IT-afdeling heeft een specifieke verantwoordelijkheid bij het voldoen aan de meldplicht datalekken.

De Wet meldplicht datalekken heeft verstrekkende gevolgen voor elk van de betrokken partijen. De omvang van de meldplicht is groot en bovendien geldt: ‘the devil is in the details’.

PER 1 JANUARI 2016 IS DE WET MELDPLICHT DATALEKKEN (Wmd) in werking getreden als aanvulling op de Wet bescherming persoonsgegevens (Wbp). Wanneer zich een ‘inbreuk op de beveiliging’ voordoet met ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ [1] is er sprake van een ‘datalek’ en moet dit gemeld worden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP) (tot 1 januari College Bescherming Persoonsgegevens) [2]. Kan dit datalek bovendien leiden tot ‘ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen’, dan moeten ook zij op de hoogte worden gesteld. Aan de inhoud van de meldingen worden vergaande inhoudelijke en kwaliteitseisen gesteld.
Wij gaan uit van de volgende situatie. De entiteit of rechtspersoon waar het beveiligingsincident zich voordoet is de verantwoordelijke in de zin van de Wbp. Dit houdt in dat deze entiteit – die het doel van en de middelen voor3 de betreffende gegevensverwerking bepaalt – formeel de adressant en het aanspreekpunt voor de AP en de betrokkene(n) is en de verplichting heeft om het datalek te melden. De IT-afdeling bevindt zich in deze voorbeeldsituatie (juridisch gezien) onder hetzelfde dak als de directie en de juridische afdeling of privacy organisatie (PO). Wij gaan er verder vanuit dat de datalekkende organisatie een PO heeft en dat deze afdeling eigenaar is van of verantwoordelijk voor beoordelingen het doen van de melding.

Beveiligingsincident = datalek?

Duidelijkheid over en uniformiteit in de gebruikte terminologie is van belang, want niet ieder beveiligingsincident is een meldingsplichtig datalek. Het is daarom raadzaam om in eerste instantie van een (beveiligings)incident te spreken in plaats van een datalek. De meldplicht is namelijk geclausuleerd en/of voorwaardelijk. Enkel beveiligingsincidenten waarbij sprake is van (een aanzienlijke kans op) ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ moeten gemeld worden. De AP maakt in haar beleidsregels helaas geen eenduidig en consequent onderscheid in de benaming van een datalek vóór en na deze afweging.4 Het is voor de verantwoordelijke wel van belang om voornoemd onderscheid te maken. Dit om de scheidslijn te markeren tussen de taken en verantwoordelijkheid van de IT-professional en die van de PO. Zolang niet vaststaat dát er gemeld moet worden is het raadzaam om te spreken over (beveiligings)incident. Afhankelijk van de uitkomst van de beoordeling van het incident kan dan, eventueel, sprake zijn van een meldingsplichtig datalek.

Tijdigheid

Op het moment van detectie van een beveiligingsincident is het tijdig informeren de eerste taak van de IT’er. De essentie zit in de combinatie: tijdigheid en informatie. De termijn om te melden bij de AP gaat namelijk lopen op het moment dat het beveiligingsincident wordt ontdekt. Vanaf het moment van ontdekking heeft de verantwoordelijke 72 uur de tijd om het besluit om te melden te nemen.5
Om te kunnen voldoen aan het vereiste van tijdigheid moeten duidelijke afspraken gemaakt worden tussen de IT-afdeling en de PO die in een protocol of werkproces zijn vastgelegd. Korte lijnen zijn daarbij van belang. Dit naast een praktisch ingestoken intern meldingsbeleid tussen de IT-afdeling en de PO inzake afspraken over 24/7-bereikbaarheid of noodnummers, maar ook over de vervulling van de documentatieplicht, waarover nader meer. Dit geldt overigens zowel voor de informatievoorziening richting AP en betrokkenen, en voor registratie van het aantal incidenten en, daarop gebaseerde, mitigerende maatregelen.

Bij twijfel, melden!

De AP instrueert6 om te melden, ook wanneer nog niet alle informatie over de omvang of de impact beschikbaar is. Een melding kan namelijk achteraf nog worden aangevuld of ingetrokken. Dat biedt in de praktijk de mogelijkheid om altijd op tijd te zijn met een melding: bij twijfel, melden. Is bijvoorbeeld ten tijde van het incident nog niet zeker of gevoelige gegevens7 verloren zijn gegaan, maar blijkt dat later toch het geval te zijn, dan moet er wél een melding zijn gedaan die nog is aan te vullen. Zo niet dan is de organisatie in overtreding. Is er na enkele dagen toch minder aan de hand dan aanvankelijk gedacht, dan kan de melding eenvoudig worden ingetrokken. Dit betekent concreet dat ook wanneer alle informatie over een incident nog niet boven tafel is, de IT’er onmiddellijk de PO zal moeten inlichten. De PO kan dan, in overleg met de IT’er, inschatten of een voorlopige melding geboden is.

Informeren

Is alles in het werk is gesteld voor een tijdige melding, de blinde doorgifte, dan moet de IT’er degene die het besluit tot melding moet nemen, toelichten of voorleggen aan het management – doorgaans de PO – van duidelijke en volledige informatie voorzien. Blinde doorgifte geldt ook bij incidenten met effectief versleutelde persoonsgegevens – en óók als de mogelijkheid van remote wiping onmiddellijk na een incident kon worden ingezet. Dat deze maatregelen zijn ingezet moet de PO weten, want de PO moet snel inschatten of een melding noodzakelijk is. Dat vereist dat men ernst en omvang van het incident overziet, maar ook weet wat gedaan is om schade te voorkomen of verminderen.

Gevoelige gegevens?

Primair bij deze besluitvorming is of het datalek gevoelige persoonsgegevens betreft. ‘Gevoelig’ zijn, naast bijzondere persoonsgegevens over bijvoorbeeld gezondheid, etniciteit, seksuele geaardheid, strafrechtelijk verleden, politieke voorkeur of lidmaatschap van een vakvereniging, ook financiële en/of economische gegevens – bankgegevens, salarisinformatie, informatie over leningen en loonbeslagen. Accountinformatie – inlognamen en wachtwoorden – is ook gevoelig, want ze vormen vaak de sleutel tot online te regelen zaken. Bijzondere identiteitsgegevens zoals BSN en biometrische data zijn vanzelfsprekend privacygevoelig. Eveneens gevoelig zijn: omvangrijke incidenten waarbij ofwel veel gegevens van één persoon bij betrokken zijn (verzameleffect), incidenten waarbij de gegevens van een grote groep betrokkenen getroffen zijn, of incidenten waarbij een bepaalde kwetsbare groep betrokken is – denk aan patiënten of jonge kinderen.
In de tweede plaats is van belang door te geven hoeveel betrokkenen geraakt worden door het incident – veel, of slechts een minimaal aantal? In de derde plaats is het van belang door te geven of er sprake kan zijn van een verzameleffect en/of er een kwetsbare groep betrokken is.
Lijkt een beveiligingsincident betrekking te hebben op voornoemde categorieën gegevens, lijkt een grote groep geraakt te zijn, of is er sprake van een verzameleffect of een kwetsbare groep, dan wordt het beveiligingsincident gekwalificeerd als datalek en direct gemeld.

Melding bij de AP

Voor de melding heeft de PO nadere informatie nodig. De AP vraagt als eerste een samenvatting van het incident. Daarna komen de details. Er is een mogelijkheid om aan te geven dat exacte gegevens van de inbreuk niet bekend zijn. Ook kan een langere periode worden aangegeven. In ieder geval moet aangegeven worden wanneer de inbreuk ontdekt is.
De PO heeft mogelijk ook begeleiding nodig bij het bepalen van de aard van de inbreuk. Kan de ‘inbreker’ de persoonlijke gegevens eenvoudig lezen, kopiëren, muteren? Kan de inbreuk leiden tot vernietiging of verwijdering van persoonlijke gegevens?
Vervolgens eist de AP om aan te geven welke gevolgen de inbreuk kan hebben op de persoonlijke levenssfeer van betrokkenen. Deze inschatting kan de PO maken, maar de IT’er kan misschien inzicht verschaffen inzake de kans op identiteitsfraude of spam en phishing. Ook kan mogelijk worden geanticipeerd op andere nadelige gevolgen voor de persoonlijke levenssfeer.

Melding aan de betrokkene?

Als er sprake is van nadelige gevolgen op de persoonlijke levenssfeer van de betrokkene moet er een melding aan de betrokkene volgen. De AP denkt hierbij aan aantasting van de eer en goede naam, identiteitsfraude of discriminatie. Het onderscheid tussen inbreuk op de bescherming van persoonsgegevens en nadelige gevolgen voor de persoonlijke levenssfeer is niet duidelijk.

Voetnoten

1.  Dit betreft een zogenaamde ‘open norm’. De invulling hiervan hangt af van de omstandigheden van het geval. Open normen komen veelvuldig voor in de Wbp, zoals ‘passende beveiligingsmaatregelen’. Enerzijds kan en zal de overheid of de toezichthouder handvatten geven om deze normen in te vullen, maar bij de invulling wordt ook gelet op hetgeen gebruikelijk is in de branche, waarin de organisatie actief is en het door de organisatie zelf nagestreefde volwassenheidsniveau.
2.  De melding dient digitaal te geschieden bij met Meldloket datalekken.
3.  Artikel 1 sub d Wbp.
4.  De meldplicht datalekken in de Wet bescherming persoonsgegevens – Beleidsregels voor de toepassing van artikel 34a van de Wbp, 8 december 2015.
5.  Zoals aangegeven wordt er hier van uit gegaan dat de juridische afdeling/PO deze melding feitelijk zal doen namens de organisatie.
6.  https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken.
7.  Gevoelige persoonsgegevens is niet gedefinieerd in de Wbp. Dit in tegenstelling tot bijzondere persoonsgegevens. Wij gaan hier onder 4.3.1 nader op in.
8.  https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf.

Een beveiligingsincident is vaak een-op-een te kwalificeren als een inbreuk op de beveiliging van persoonsgegevens, maar hoeft pas gemeld te worden als de inbreuk ernstig is. Onzes inziens zal al snel ook aan betrokkenen gemeld moeten worden.
Van belang is dat de Wbp een interessant onderscheid maakt tussen de meldplicht aan de AP en aan betrokkene. Want de tweede melding kan achterwege blijven als de persoonsgegevens  onbegrijpelijk of ontoegankelijk zijn gemaakt voor de eventuele onrechtmatige verwerker. In de beleidsregels wordt gesproken van versleutelde gegevens of encryptie. Deze encryptie moet wel adequaat zijn. De PO moet in samenspraak met de IT’er kunnen beoordelen of er een acceptabel restrisico is, en een melding aan betrokkenen dus niet nodig is.

Mitigerende maatregelen

Tot slot zal de PO de AP en in voorkomend geval ook de betrokkenen moeten informeren over technische- en organisatorische maatregelen om de gevolgen van het incident te beperken. Ook hier zal de PO nader informatie nodig hebben van de IT’er om de vertaalslag te maken naar het meldingsformulier en om inzicht te verschaffen in de effectiviteit van de maatregelen. Via de plan-do-check-act-cyclus, zoals voorgeschreven door de AP8 kan dit deel uitmaken van een continue monitoring en verbetering van de beveiliging van persoonsgegevens.

Lees meer over
Zie ook Management op AG Connect Intelligence
2
Reacties
Davila 24 september 2016 22:46

Hallo,
Ik ben Mevrouw DAVILA is op zoek naar een lening voor meer dan 3 maanden,
Ik ben al vele malen in de maling nemen, op websites lening tussen bepaalde
willen is een lening tussen individu in verschillende mensen.
Maar elke keer als ik heb door valse kredietverstrekkers en
op het einde krijg ik niets op mijn rekening. Maar gelukkig ben ik
gevallen op een dame met de naam LYSE heel simpel en vriendelijk ik helpen
het vinden van mijn lening van 70.000€ die ik heb ontvangen op mijn rekening 48 uur
na zonder al te veel protocollen.
Zodat je die in nood zijn als ik je kan schrijven naar hem en
lysemarie3@gmail.com

Jeroen de Vries 22 augustus 2016 09:47

Melden van incidenten in het kader van deze wet dient duidelijk niet te liggen bij de IT afdeling. Datalekken kunnen op allerlei manieren plaatsvinden, ook zonder dat daar IT bij betrokken is. Denk aan een inbraak waarbij papieren worden ontvreemd, een aantekenboek of agenda dat wordt gestolen of in de trein blijft liggen etc. etc.
Derhalve dient op stafniveau een procedure te worden ontwikkeld ten behoeve van het melden.
De IT afdeling kan fungeren als SPOC voor ICT-gerelateerde datalekken en de informatie aanleveren bij de daarvoer bevoegde staffunctionaris.

Reactie toevoegen