Ondanks dat de Autoriteit Persoonsgegevens (‘AP’) stelt te kampen met onderbezetting, is er het afgelopen jaar (2021) toch een elftal aan boetes gepubliceerd. Een groot deel van die boetes had betrekking op ondermaatse beveiligingsmaatregelen en/of het niet (tijdig) melden van datalekken. Tijd voor een opfrisser dus.
In dit blog worden de vereisten die verbonden zijn aan het al dan niet melden van datalekken in vogelvlucht uiteengezet aan de hand van drie boeterapporten, zodat ook duidelijk wordt waar de AP (voornamelijk) naar kijkt. Dit zijn de drie boeterapporten:
- PVV Overijssel: EUR 7.500,-
- com: EUR 475.000,-
- Transavia: EUR 400.000,-
Kort samengevat blijkt dat het voorkomen of verhelpen van datalekken allereerst intern moet worden opgepakt. Zo is het allereerst van belang dat de beveiliging op orde is, interne processen zijn ingeregeld en medewerkers goed zijn geïnstrueerd om de maatregelen en processen na te leven. Dergelijke interne maatregelen en processen moeten periodiek worden beoordeeld op geschiktheid.
Mocht een incident zich voordoen, dan is het zaak dat het incident zo snel mogelijk wordt gekwalificeerd. Pas na kwalificatie kan worden bepaald welke stappen (wettelijk) vereist zijn,
Wat is een datalek?
De AVG kent geen concrete definitie van een ‘datalek’, maar spreekt in de plaats daarvan van een inbreuk in verband met persoonsgegevens. Een dergelijke inbreuk wordt gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Ook al worden persoonsgegevens dus niet opzettelijk buit gemaakt, dan kan er nog steeds sprake van een inbreuk in verband met persoonsgegevens. Een datalek dus. Hierbij kan worden gedacht aan het veelgebruikte voorbeeld van het verliezen van een USB-stick in de trein.
Het is overigens belangrijk dat altijd de vraag wordt gesteld of persoonsgegevens in het geding zijn. Is dat niet het geval, dan kan er nog wel sprake zijn van een beveiligingsincident dat moet worden verholpen, maar niet van een datalek ten aanzien waarvan op grond van de AVG een eventuele meldplicht geldt. Het komt er in wezen op neer dat alle datalekken beveiligingsincidenten zijn, maar dat niet alle beveiligingsincidenten noodzakelijkerwijs datalekken zijn.
Onlangs publiceerde de European Data Protection Board (‘EDPB’) een overzicht met voorbeelden van datalekken. Daaruit kan dus ook informatie worden geput die relevant kan zijn bij de beantwoording van de vraag of al dan niet sprake is van een datalek.
Meldplicht AP
Als hoofdregel geldt dat de verantwoordelijke een datalek binnen 72 uur na ontdekking dient te melden bij de AP. Dit is slechts anders als kan worden aangetoond dat het ‘niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’.
Het doel van de meldplicht is dat een datalek tijdig en op een passende wijze kan worden aangepakt, zodat schade voor betrokkenen zo veel mogelijk kan worden voorkomen. Of sprake kán zijn van schade zal, net als de aard en omvang van de verwerking getroffen door de inbreuk en de betrouwbaarheid van en eventuele ontvanger, meespelen bij de vraag of er (mogelijk) een risico voor betrokkenen aan de orde is.
Zaak PVV Overijssel
Een fractiemedewerker verstuurde een e-mail aan 101 geadresseerden. Alle geadresseerden waren zichtbaar in de verzendlijst. Het niet opnemen van ontvangers in ‘bcc’ kan, zeker wanneer politieke opvattingen daarmee zichtbaar worden, worden gezien als een datalek. Een betrokkene die op de verzendlijst stond, heeft vervolgens een klacht ingediend bij de AP. Zo kwam de AP erachter dat geen datalekmelding was gedaan.
Anders dan de PVV Overijssel was de AP van mening dat het hier wel degelijk ging om gegevens over politieke opvattingen – wat in dit boeterapport een grote rol lijkt te spelen. Immers, volgens de AP “moet materiële of immateriële schade (…) als waarschijnlijk worden beschouwd wanneer de inbreuk betrekking heeft op persoonsgegevens waaruit een politieke opvatting blijkt”. Daarbij hebben de aard en de rol van de politieke partij als verantwoordelijke ook invloed op de mate van risico. Als laatste stelt de AP dat het in dit geval ging om een relatief groot aantal ongeoorloofde ontvangers.
De 72-uurstermijn is er vooral op gericht verantwoordelijken aan te moedigen om bij een inbreuk onmiddellijk op te treden, de inbreuk in te perken, de gecompromitteerde persoonsgegevens indien mogelijk te herstellen en de toezichthoudende autoriteit om advies te vragen. In de AVG wordt echter erkend dat verantwoordelijken niet altijd over alle noodzakelijke informatie met betrekking tot een datalek beschikken binnen 72 uur nadat zij daarvan kennis hebben gekregen, aangezien de volledige details van het incident tijdens deze eerste periode niet altijd beschikbaar zijn. Om die reden wordt een melding in stappen toegestaan.
Zaak Booking.com
Bij Booking.com lijkt niet te kunnen worden gesproken van een melding in stappen. De boekingssite was namelijk 22 dagen te laat, nadat een onbekende derde toegang had verkregen tot het reserveringssysteem door zich voor te doen als medewerker. Uiteindelijk is gebleken dat deze derde gegevens van meer dan 4.000 gebruikers heeft ingezien, waaronder de creditcardgegevens van 283 personen. Het interne privacyteam is pas meer dan 3 weken na het incident op de hoogte gesteld. Een dag later, op 7 februari 2019, is een datalekmelding gedaan.
De AP is van mening dat na het eerste incident – dat plaatsvond op 9 januari 2019 – direct melding had moeten worden gemaakt aan het Security Team van Booking.com. Te meer nu er al duidelijke aanwijzingen leken te bestaan dat sprake as van een datalek en dit op grond van datalekkenprotocol vereist is. Dit werd nog duidelijker – en duidelijk genoeg om over te gaan tot een datalekmelding – na een tweede incident op 13 januari 2019. Dit lijkt ook te volgen uit interne communicatie, waarin werd gesproken over een “SECURITY BREACH”. Het argument van Booking.com dat zij pas op 4 februari 2019 op de hoogte was van het lek volgt de AP dus niet.
Meldplicht betrokkenen
In bepaalde gevallen moet de verantwoordelijke een inbreuk niet alleen melden aan de toezichthoudende autoriteit, maar moet hij deze ook meedelen aan de betrokkenen. Dat is het geval wanneer ‘het waarschijnlijk is dat een inbreuk resulteert in een hoog risico voor de rechten en vrijheden van natuurlijke personen’. De drempel voor het meedelen van een inbreuk aan betrokkenen ligt dus hoger dan die voor het melden van een inbreuk aan de toezichthoudende autoriteiten.
Ook hier zijn alle omstandigheden van het geval van belang, zoals bijvoorbeeld de aard en omvang van verwerking. Uit de voorbeeldlijst van de AP kan bijvoorbeeld worden opgemaakt dat het datalek dat heeft plaatsgevonden bij de PVV Overijssel ook gemeld had moeten worden aan betrokkenen, nu bijzondere persoonsgegevens in het geding waren.
Overigens geldt dat ongeacht of sprake is van een meldplichtig datalek, het incident altijd moet worden opgenomen in interne documentatie, zoals een datalekkenregister. Ook is het van belang om hierin op te nemen waarom een bepaald incident niet gemeld is, zodat op grond van de verantwoordingsplicht altijd kan worden aangetoond dat de verantwoordelijke in elk geval een afweging heeft afgemaakt.
Is een datalek altijd ‘boete-waardig’?
Ondanks dat een datalek een onrechtmatige verwerking is, is er niet altijd een schuldcomponent verbonden aan een datalek. Wanneer de verantwoordelijke kan aantonen dat redelijkerwijs alle stappen zijn genomen om een mogelijk datalek te voorkomen, zal een autoriteit niet snel overgaan tot handhavende maatregelen.
Een belangrijk voorbeeld van een dergelijke stap is artikel 32 AVG, dat passende beveiligingsmaatregelen vereist. ‘Passend’ moet worden ingevuld door alle relevante omstandigheden, zoals de aard van de te verwerken gegevens en de stand van de techniek in de relevante sector. Het is hierbij dus niet zo dat per definitie álle denkbare maatregelen getroffen moeten worden om een passend niveau te bereiken. De hierboven aangehaalde publicatie van de EDPB bevat overigens ook verschillende beveiligingsmaatregelen die in specifieke situaties relevant kunnen zijn.
Zaak Transavia
Transavia heeft een boete gekregen in het kader van een datalek. Niet omdat het datalek heeft plaatsgevonden, maar omdat het datalek heeft kunnen plaatsvinden vanwege gebrekkige maatregelen. Hierdoor heeft een derde potentieel toegang gehad tot persoonsgegevens van 25 miljoen passagiers. In elk geval zijn de gegevens van 83.000 personen gedownload.
Het datalek heeft kunnen plaatsvinden omdat geen gebruik werd gemaakt van tweefactor-authenticatie. Het wachtwoord dat werd gebruikt was vrij eenvoudig te raden. Daarnaast was geen sprake van segmentatie; één account gaf toegang tot het gehele netwerk. Volgens de AP had dit wel verwacht mogen worden van een professionele partij zoals Transavia.
De AP was samengevat van mening dat, gelet op de stand van de techniek ten tijde van de inbreuk, het zeker mogelijk was om beveiligingsmaatregelen te implementeren voor het risico dat zich heeft gerealiseerd in de inbreuk. Gezien de grootschalige verwerking van persoonsgegevens acht de AP de beveiliging van Transavia ten tijde van de inbreuk niet adequaat en heeft geleid tot een (gerealiseerd) risico voor de rechten en vrijheden van betrokkenen.
Kort samengevat
Uit bovenstaande kan worden opgemaakt dat het voorkomen of verhelpen van datalekken allereerst intern moet worden opgepakt. Zo is het allereerst van belang dat de beveiliging op orde is, interne processen zijn ingeregeld en medewerkers goed zijn geïnstrueerd om de maatregelen en processen na te leven. Dergelijke interne maatregelen en processen moeten periodiek worden beoordeeld op geschiktheid.
Mocht een incident zich voordoen, dan is het zaak dat het incident zo snel mogelijk wordt gekwalificeerd. Pas na kwalificatie kan immers worden bepaald welke stappen (wettelijk) vereist zijn. Bij voorkeur wordt dit – zo snel als mogelijk – bepaald door een team van deskundigen, zoals een jurist, privacy officer, security officer en/of FG (adviserende rol).
Ongeacht welke stappen uiteindelijk worden genomen, moet het incident worden vastgesteld in een intern register.
Ondanks dat de Autoriteit Persoonsgegevens (‘AP’) stelt te kampen met onderbezetting, is er het afgelopen jaar (2021) toch een elftal aan boetes gepubliceerd. Een groot deel van die boetes had betrekking op ondermaatse beveiligingsmaatregelen en/of het niet (tijdig) melden van datalekken. Tijd voor een opfrisser dus.
In dit blog worden de vereisten die verbonden zijn aan het al dan niet melden van datalekken in vogelvlucht uiteengezet aan de hand van drie boeterapporten, zodat ook duidelijk wordt waar de AP (voornamelijk) naar kijkt. Dit zijn de drie boeterapporten:
- PVV Overijssel: EUR 7.500,-
- com: EUR 475.000,-
- Transavia: EUR 400.000,-
Kort samengevat blijkt dat het voorkomen of verhelpen van datalekken allereerst intern moet worden opgepakt. Zo is het allereerst van belang dat de beveiliging op orde is, interne processen zijn ingeregeld en medewerkers goed zijn geïnstrueerd om de maatregelen en processen na te leven. Dergelijke interne maatregelen en processen moeten periodiek worden beoordeeld op geschiktheid.
Mocht een incident zich voordoen, dan is het zaak dat het incident zo snel mogelijk wordt gekwalificeerd. Pas na kwalificatie kan worden bepaald welke stappen (wettelijk) vereist zijn,
Wat is een datalek?
De AVG kent geen concrete definitie van een ‘datalek’, maar spreekt in de plaats daarvan van een inbreuk in verband met persoonsgegevens. Een dergelijke inbreuk wordt gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Ook al worden persoonsgegevens dus niet opzettelijk buit gemaakt, dan kan er nog steeds sprake van een inbreuk in verband met persoonsgegevens. Een datalek dus. Hierbij kan worden gedacht aan het veelgebruikte voorbeeld van het verliezen van een USB-stick in de trein.
Het is overigens belangrijk dat altijd de vraag wordt gesteld of persoonsgegevens in het geding zijn. Is dat niet het geval, dan kan er nog wel sprake zijn van een beveiligingsincident dat moet worden verholpen, maar niet van een datalek ten aanzien waarvan op grond van de AVG een eventuele meldplicht geldt. Het komt er in wezen op neer dat alle datalekken beveiligingsincidenten zijn, maar dat niet alle beveiligingsincidenten noodzakelijkerwijs datalekken zijn.
Onlangs publiceerde de European Data Protection Board (‘EDPB’) een overzicht met voorbeelden van datalekken. Daaruit kan dus ook informatie worden geput die relevant kan zijn bij de beantwoording van de vraag of al dan niet sprake is van een datalek.
Meldplicht AP
Als hoofdregel geldt dat de verantwoordelijke een datalek binnen 72 uur na ontdekking dient te melden bij de AP. Dit is slechts anders als kan worden aangetoond dat het ‘niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’.
Het doel van de meldplicht is dat een datalek tijdig en op een passende wijze kan worden aangepakt, zodat schade voor betrokkenen zo veel mogelijk kan worden voorkomen. Of sprake kán zijn van schade zal, net als de aard en omvang van de verwerking getroffen door de inbreuk en de betrouwbaarheid van en eventuele ontvanger, meespelen bij de vraag of er (mogelijk) een risico voor betrokkenen aan de orde is.
Zaak PVV Overijssel
Een fractiemedewerker verstuurde een e-mail aan 101 geadresseerden. Alle geadresseerden waren zichtbaar in de verzendlijst. Het niet opnemen van ontvangers in ‘bcc’ kan, zeker wanneer politieke opvattingen daarmee zichtbaar worden, worden gezien als een datalek. Een betrokkene die op de verzendlijst stond, heeft vervolgens een klacht ingediend bij de AP. Zo kwam de AP erachter dat geen datalekmelding was gedaan.
Anders dan de PVV Overijssel was de AP van mening dat het hier wel degelijk ging om gegevens over politieke opvattingen – wat in dit boeterapport een grote rol lijkt te spelen. Immers, volgens de AP “moet materiële of immateriële schade (…) als waarschijnlijk worden beschouwd wanneer de inbreuk betrekking heeft op persoonsgegevens waaruit een politieke opvatting blijkt”. Daarbij hebben de aard en de rol van de politieke partij als verantwoordelijke ook invloed op de mate van risico. Als laatste stelt de AP dat het in dit geval ging om een relatief groot aantal ongeoorloofde ontvangers.
De 72-uurstermijn is er vooral op gericht verantwoordelijken aan te moedigen om bij een inbreuk onmiddellijk op te treden, de inbreuk in te perken, de gecompromitteerde persoonsgegevens indien mogelijk te herstellen en de toezichthoudende autoriteit om advies te vragen. In de AVG wordt echter erkend dat verantwoordelijken niet altijd over alle noodzakelijke informatie met betrekking tot een datalek beschikken binnen 72 uur nadat zij daarvan kennis hebben gekregen, aangezien de volledige details van het incident tijdens deze eerste periode niet altijd beschikbaar zijn. Om die reden wordt een melding in stappen toegestaan.
Zaak Booking.com
Bij Booking.com lijkt niet te kunnen worden gesproken van een melding in stappen. De boekingssite was namelijk 22 dagen te laat, nadat een onbekende derde toegang had verkregen tot het reserveringssysteem door zich voor te doen als medewerker. Uiteindelijk is gebleken dat deze derde gegevens van meer dan 4.000 gebruikers heeft ingezien, waaronder de creditcardgegevens van 283 personen. Het interne privacyteam is pas meer dan 3 weken na het incident op de hoogte gesteld. Een dag later, op 7 februari 2019, is een datalekmelding gedaan.
De AP is van mening dat na het eerste incident – dat plaatsvond op 9 januari 2019 – direct melding had moeten worden gemaakt aan het Security Team van Booking.com. Te meer nu er al duidelijke aanwijzingen leken te bestaan dat sprake as van een datalek en dit op grond van datalekkenprotocol vereist is. Dit werd nog duidelijker – en duidelijk genoeg om over te gaan tot een datalekmelding – na een tweede incident op 13 januari 2019. Dit lijkt ook te volgen uit interne communicatie, waarin werd gesproken over een “SECURITY BREACH”. Het argument van Booking.com dat zij pas op 4 februari 2019 op de hoogte was van het lek volgt de AP dus niet.
Meldplicht betrokkenen
In bepaalde gevallen moet de verantwoordelijke een inbreuk niet alleen melden aan de toezichthoudende autoriteit, maar moet hij deze ook meedelen aan de betrokkenen. Dat is het geval wanneer ‘het waarschijnlijk is dat een inbreuk resulteert in een hoog risico voor de rechten en vrijheden van natuurlijke personen’. De drempel voor het meedelen van een inbreuk aan betrokkenen ligt dus hoger dan die voor het melden van een inbreuk aan de toezichthoudende autoriteiten.
Ook hier zijn alle omstandigheden van het geval van belang, zoals bijvoorbeeld de aard en omvang van verwerking. Uit de voorbeeldlijst van de AP kan bijvoorbeeld worden opgemaakt dat het datalek dat heeft plaatsgevonden bij de PVV Overijssel ook gemeld had moeten worden aan betrokkenen, nu bijzondere persoonsgegevens in het geding waren.
Overigens geldt dat ongeacht of sprake is van een meldplichtig datalek, het incident altijd moet worden opgenomen in interne documentatie, zoals een datalekkenregister. Ook is het van belang om hierin op te nemen waarom een bepaald incident niet gemeld is, zodat op grond van de verantwoordingsplicht altijd kan worden aangetoond dat de verantwoordelijke in elk geval een afweging heeft afgemaakt.
Is een datalek altijd ‘boete-waardig’?
Ondanks dat een datalek een onrechtmatige verwerking is, is er niet altijd een schuldcomponent verbonden aan een datalek. Wanneer de verantwoordelijke kan aantonen dat redelijkerwijs alle stappen zijn genomen om een mogelijk datalek te voorkomen, zal een autoriteit niet snel overgaan tot handhavende maatregelen.
Een belangrijk voorbeeld van een dergelijke stap is artikel 32 AVG, dat passende beveiligingsmaatregelen vereist. ‘Passend’ moet worden ingevuld door alle relevante omstandigheden, zoals de aard van de te verwerken gegevens en de stand van de techniek in de relevante sector. Het is hierbij dus niet zo dat per definitie álle denkbare maatregelen getroffen moeten worden om een passend niveau te bereiken. De hierboven aangehaalde publicatie van de EDPB bevat overigens ook verschillende beveiligingsmaatregelen die in specifieke situaties relevant kunnen zijn.
Zaak Transavia
Transavia heeft een boete gekregen in het kader van een datalek. Niet omdat het datalek heeft plaatsgevonden, maar omdat het datalek heeft kunnen plaatsvinden vanwege gebrekkige maatregelen. Hierdoor heeft een derde potentieel toegang gehad tot persoonsgegevens van 25 miljoen passagiers. In elk geval zijn de gegevens van 83.000 personen gedownload.
Het datalek heeft kunnen plaatsvinden omdat geen gebruik werd gemaakt van tweefactor-authenticatie. Het wachtwoord dat werd gebruikt was vrij eenvoudig te raden. Daarnaast was geen sprake van segmentatie; één account gaf toegang tot het gehele netwerk. Volgens de AP had dit wel verwacht mogen worden van een professionele partij zoals Transavia.
De AP was samengevat van mening dat, gelet op de stand van de techniek ten tijde van de inbreuk, het zeker mogelijk was om beveiligingsmaatregelen te implementeren voor het risico dat zich heeft gerealiseerd in de inbreuk. Gezien de grootschalige verwerking van persoonsgegevens acht de AP de beveiliging van Transavia ten tijde van de inbreuk niet adequaat en heeft geleid tot een (gerealiseerd) risico voor de rechten en vrijheden van betrokkenen.
Kort samengevat
Uit bovenstaande kan worden opgemaakt dat het voorkomen of verhelpen van datalekken allereerst intern moet worden opgepakt. Zo is het allereerst van belang dat de beveiliging op orde is, interne processen zijn ingeregeld en medewerkers goed zijn geïnstrueerd om de maatregelen en processen na te leven. Dergelijke interne maatregelen en processen moeten periodiek worden beoordeeld op geschiktheid.
Mocht een incident zich voordoen, dan is het zaak dat het incident zo snel mogelijk wordt gekwalificeerd. Pas na kwalificatie kan immers worden bepaald welke stappen (wettelijk) vereist zijn. Bij voorkeur wordt dit – zo snel als mogelijk – bepaald door een team van deskundigen, zoals een jurist, privacy officer, security officer en/of FG (adviserende rol).
Ongeacht welke stappen uiteindelijk worden genomen, moet het incident worden vastgesteld in een intern register.