Privacy, de fundamenten: Datalekken

Show Notes

​Wat is precies een datalek? Wat moet je doen als je een datalek ontdekt? Hoe maak je een goede inschatting van het risico? En wat is de rol van de privacy professional en de Autoriteit Persoonsgegevens? In deze aflevering wordt hierop ingegaan door Barend Bon, Senior Inspecteur Datalekken bij de Autoriteit Persoonsgegevens.

Deze serie is mede mogelijk gemaakt door CIO Rijk.

Transcript

Walter van Wijk: Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming. Dit is een aflevering in de serie 'Privacy, de Fundamenten'. Deze keer gaan we in op datalekken. Bij ons te gast is Barend Bon, senior inspecteur datalekken bij de Autoriteit Persoonsgegevens. Barend, kun je omschrijven wat een datalek inhoudt?

Barend Bon : Een datalek is een begrip dat we niet tegenkomen in de privacywet, de Algemene Verordening Gegevensbescherming. Daarin staat de term inbreuk in verband met persoonsgegevens. Het houdt in dat er een inbreuk heeft plaatsgevonden op een technische of organisatorische maatregel, die ertoe heeft geleid dat er onbedoeld of onrechtmatig toegang is geweest tot persoonsgegevens. Het kan ook zo zijn dat die inbreuk leidt tot vernietiging, verlies, wijziging, of het onbedoeld of onrechtmatig verstrekken van persoonsgegevens. Er zijn drie typen datalekken. De eerste categorie is een inbreuk op de vertrouwelijkheid. Iemand krijgt onbedoeld inzage of toegang tot persoonsgegevens. De tweede categorie is een inbreuk op de integriteit.

Barend Bon : Persoonsgegevens worden onbedoeld of onrechtmatig gewijzigd. De derde categorie is een inbreuk op de beschikbaarheid van persoonsgegevens. Je persoonsgegevens zijn tijdelijk of voor langere tijd onbereikbaar of onbeschikbaar. Iedereen kent met name de eerste categorie, de inbreuk op de vertrouwelijkheid. Daar denk je aan als je het woord lek hoort. Ook de tweede en derde categorie vallen onder het datalek. Voorbeelden van datalekken zijn het verkeerd versturen van een brief of e-mail waarin persoonsgegevens staan, die bij een verkeerde ontvanger terechtkomen. Het kan gaan om ongeoorloofde inzage in een elektronisch patiëntdossier, verlies van USB-stick of andere datadrager. Een ander voorbeeld is cyberaanvallen. Je kunt dan denken aan een hack waarbij een hacker toegang krijgt tot systemen waarop persoonsgegevens zijn opgeslagen.

Walter van Wijk: Als een organisatie op de een of andere manier een datalek heeft vastgesteld, hoe moeten zij daarop reageren?

Barend Bon : De eerste stap wat je als organisatie dient te doen wanneer je een inbreuk of een datalek ontdekt, is: vaststellen en informatie verzamelen om te kijken wat er exact gebeurd is. Tegelijkertijd is het ook belangrijk om direct maatregelen te nemen om de inbreuk te beëindigen. Waar kun je dan aan denken? Bij een verkeerd verstuurde mail of brief zou je kunnen proberen om contact op te nemen met de onjuiste ontvanger om te vragen om de verkeerd verzonden brief of e-mail te wissen, te vernietigen of, als het gaat om een brief, terug te sturen. Als een systeem gehackt is, dien je ervoor te zorgen dat zo snel mogelijk de toegang voor de hacker wordt beëindigd. Je kunt denken aan resetten van wachtwoorden en ontkoppelen van systemen van het internet. Die maatregelen kun je nemen om een inbreuk te beëindigen.

Barend Bon : Ondertussen start je een onderzoek naar wat er gebeurd is. Wat voor soort persoonsgegevens zijn getroffen door dit incident? Wat is er exact met die gegevens gebeurd? Die informatie heb je nodig om een risicoanalyse te kunnen maken. Dat is de volgende stap. Je dient vast te stellen of er sprake is van een risico of hoog risico voor de bescherming van persoonsgegevens en voor de gevolgen voor de betrokkenen. Wanneer er volgens de analyse sprake is van een hoog risico of wanneer het waarschijnlijk is dat een datalek een risico oplevert voor de bescherming van persoonsgegevens, dient het datalek gemeld te worden aan de toezichthouder, de Autoriteit Persoonsgegevens. Als er sprake is van een hoog risico dient ook de betrokkene te worden geïnformeerd.

Barend Bon : Dat is de volgende stap: analyse maken en kijken of er een melding nodig is aan de AP en aan de betrokkenen. Mocht het antwoord 'ja' zijn, dien je dat zo snel mogelijk te doen. Melding aan de Autoriteit Persoonsgegevens dient binnen 72 uur te gebeuren nadat je het datalek hebt ontdekt. Het informeren van betrokkenen dient ook zo snel mogelijk te gebeuren.

Walter van Wijk: Hoe kun je organisaties praktische handvatten geven om dat in te schatten of te bepalen wat groot of wat klein is? Het heeft waarschijnlijk te maken met de hoeveelheid gelekte gegevens of de potentiële impact ervan. Kun je daar iets over zeggen?

Barend Bon : Het is niet altijd meteen eenvoudig vast te stellen wat het risico is. Wanneer je de feiten hebt verzameld en het is duidelijk wat er is gebeurd en wat voor soort gegevens zijn gelekt, is het belangrijk om te kijken naar het type persoonsgegevens. Een hoofdlijn die je kunt aanhouden is het moment dat er persoonsgegevens zijn getroffen van gevoelige aard. Dat kunnen bijzondere persoonsgegevens zijn, zoals gegevens over de gezondheid, gegevens die vatbaar zijn voor misbruik, bijvoorbeeld BSN-gegevens, financiële gegevens of creditcardgegevens. Je kunt er dan vanuit gaan dat een melding aan de AP en betrokkenen nodig is. Er zijn uitzonderingen op de meldplicht aan de AP en aan betrokkenen. Daarom raden wij altijd aan om goed te kijken op de richtlijnen die wij als AP op de website hebben gepubliceerd.

Barend Bon : De Europese toezichthouders, de EDPB, hebben hier richtsnoeren voor opgesteld, waarin je aan de hand van een aantal vragen kunt vaststellen of er sprake is van een risico of een hoog risico.

Walter van Wijk: Meer gegevens op autoriteitpersoonsgegevens.nl. Barend, wat is bij een vastgesteld datalek de rol van privacy professionals, de privacy officer of een functionaris gegevensbescherming? Wat voor functie hebben zij daarbij?

Barend Bon : Per organisatie zal dat verschillen. Het is heel belangrijk om een draaiboek te hebben voor het geval een datalek plaatsvindt, zodat op het moment dat een medewerker een datalek ontdekt en dat intern meldt, die melding op de goede plek terechtkomt. Het komt vaak voor dat de security-afdeling een eerste inschatting maakt om te kijken of hier sprake is van een datalek. Waren er überhaupt persoonsgegevens betrokken bij dit incident? Het is altijd belangrijk om ook de FG, de Functionaris Gegevensbescherming, te betrekken bij de afhandeling van een datalek, vanuit een adviserende rol. Hij zou dan de directie kunnen adviseren om een datalek wel of niet te melden aan de AP en aan betrokkenen. Het bestuur neemt dan uiteindelijk het besluit.

Barend Bon : Verder is het belangrijk om security officers te betrekken om te kijken welke maatregelen er nodig zijn om het datalek te beëindigen en om nieuwe, soortgelijke datalekken in de toekomst te voorkomen. Zijn er nog mensen nodig om eventueel de melding aan de AP te doen? Communicatie kan ingeschakeld worden op het moment dat betrokkenen moeten worden geïnformeerd. Uiteindelijk zal het datalek in het interne register moeten worden geregistreerd. Het zal per organisatie verschillen wie dat allemaal doen, maar in hoofdlijnen zal het altijd op deze inrichting lijken.

Walter van Wijk: Dit zijn korte video's. Ter afronding van deze boodschap over datalekken: wanneer komen jullie als AP in actie bij datalekken, richting de partijen waar dat gespeeld heeft?

Barend Bon : Wij ontvangen jaarlijks 20.000 of meer meldingen van datalekken. We moeten daarin keuzes maken. Meldingen die bij ons het meeste aandacht krijgen zijn de cyberaanvallen. Je kunt denken aan ransomware-aanvallen en phishing-aanvallen. We zien dat daar de potentiële impact en ook het risico voor de betrokkenen het hoogst is. Er gaan vaak dingen niet goed als het gaat om risico-inschatting door de organisatie. Dat zijn datalekken die extra aandacht krijgen. Uiteraard krijgen incidenten waarbij veel betrokkenen geraakt worden en datalekken waarbij gevoelige gegevens betrokken zijn aandacht van ons. Er zijn verschillende factoren die ervoor kunnen zorgen dat een melding bij ons hogere prioriteit heeft.

Barend Bon : Op het moment dat wij een melding ontvangen waarin er een laag aantal betrokkenen is, de gegevens niet supergevoelig zijn en de betrokkenen al geïnformeerd worden - dat is ook een belangrijk onderdeel van de melding - komen wij minder snel in actie, omdat wij zien dat de juiste stappen zijn genomen door de organisatie. Wij komen pas in actie op het moment dat wij zien dat er bijvoorbeeld een onjuiste inschatting wordt gemaakt of betrokkenen moeten worden geïnformeerd en wij toch meer risico's zien dan de organisatie aangeeft. Of wij zien dat er misschien nog aanvullende maatregelen nodig zijn om de inbreuk te beëindigen of om nieuwe inbreuken te voorkomen.

Walter van Wijk: Een heel verhaal over een belangrijk onderwerp, wat helaas nog steeds vaak voorkomt. Barend Bon van de Autoriteit Persoonsgegevens, dank je wel voor je inzichten hierover en je adviezen hierbij. Beluister ook de andere afleveringen, waarin we aandacht besteden aan onderwerpen als: de definitie van persoonsgegevens, verwerkingsverantwoordelijkheid, DPIA'S,inzagerechten en nog meer. Deze serie is geproduceerd door het Centrum Informatiebeveiliging en Privacybescherming en wordt mede mogelijk gemaakt door CIO-Rijk. Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.