Het zal niemand zijn ontgaan dat met inging van dit jaar de Meldplicht datalekken van kracht is, inclusief waarschuwingen voor schrikbarend hoge boetes. Als organisaties deze waarschuwingen hebben opgevat als een call tot action om de beveiliging te verbeteren, is dat mooi meegenomen. Maar dat daarmee een datalek altijd voorkomen kan worden, is een illusie. Wat te doen met de wetenschap dat een datalek toch kan optreden, met ogen van de Autoriteit Persoonsgegevens in de rug?
Zodra het vermoeden van een datalek ontstaat, moeten er direct verschillende processen van start gaan. Aan zowel de juridische kant als aan de technisch kant moet er van alles gebeuren. Soms is zo’n lek eenvoudig vast te stellen en is direct na te gaan om welke gegevens het gaat en of het lek daadwerkelijk aan de Autoriteit gemeld moet worden. Denk aan een gestolen harde schijf. Die is ook echt weg en het is meestal wel bekend of er gevoelige gegevens op staan. Maar als er sprake is van een indringer op het netwerk, is het helemaal niet zo eenvoudig na te gaan wat er precies aan de hand is. Om te beginnen moet je zien te achterhalen óf er wel iets gelekt is, en zo ja om wat voor (persoons)gegevens het dan gaat. Als de indringer die gegevens kopieert, is er immers niets verdwenen.
Onderzoek kost tijd
Probleem daarbij is dat als je het niet weet, je ook geen juiste melding kunt doen. Dat betekent dat er forensisch onderzoek moet komen. Ik zie in de praktijk dat enorm wordt onderschat hoe moeilijk zo’n onderzoek kan zijn en welke expertise hiervoor nodig is. Na de ontdekking van een mogelijk (!) lek heeft nog niemand een idee van wat er precies is gebeurd. Tegelijk moet er snel actie worden ondernomen. Er moet een crisisteam komen en alle belanghebbenden (leveranciers, partners, interne medewerkers, klanten et cetera) moeten geïnformeerd worden. Alleen is dan de vraag óf er al wat gemeld kan worden en zo ja, wat dan precies. Het antwoord is afhankelijk van de uitkomsten van het forensisch onderzoek. En dat kost tijd, meestal veel meer dan men graag zou willen. Erger nog is dat de resultaten van zo’n onderzoek niet altijd ondubbelzinnig zijn. Er zijn dan vaak wel hypotheses over wat er is gebeurd, maar sluitende bewijzen zijn er niet.
Vooraf bedenken
Die situatie kan zoveel mogelijk worden voorkomen door vóóraf te bedenken wat voor soort informatie nodig is om te achterhalen wat er precies heeft plaatsgevonden. Dat kan betekenen dat hier al rekening mee wordt gehouden tijdens de bouw van de it-infrastructuur. Je moet ook nagaan wat er moet worden opgenomen in logbestanden. In de praktijk wordt meestal alleen bijgehouden wat voor de operatie noodzakelijk is, bijvoorbeeld vanwege de impact op de performance of het beslag op de opslagruimte. Voor forensisch onderzoek kan dat onvoldoende zijn.
Als er daadwerkelijk sprake is van een datalek, zal de getroffen organisatie moeten aantonen dat er maatregelen zijn genomen om snel te kunnen reageren op incidenten en om de kans op én de impact van een lek te verkleinen. Wie adequaat antwoord kan geven op dergelijke procesvragen, zal de toezichthouder ongetwijfeld gunstig stemmen. Want niemand, ook de toezichthouder niet, heeft de illusie dat een lek altijd te voorkomen is. Vergelijk het met de brandweer, die is er omdat we ondanks alle preventie toch zijn voorbereid op een brand. En aan de brandweer worden strenge eisen gesteld: na een melding moet die binnen acht minuten ter plekke zijn. Alles klaar hebben staan en snel kunnen uitrukken geldt net zo goed voor it-security.
Forensisch onderzoek
Is het verstandig om zelf het forensisch onderzoek te doen, of is beter om dat uit te besteden? Dat hangt af van de aard en omvang van de organisatie. Kleine organisaties hebben brandblussers en bedrijfshulpverleners (BHV’ers) die weten er moet gebeuren als er iets misgaat. Maar voor de brandweer zullen zij toch 112 moeten bellen. Luchthavens en petrochemische bedrijven hebben gezien de risico’s zelf brandweer in huis. Maar ook deze organisaties moeten kunnen terugvallen op andere brandweerkorpsen als de brand uit de hand loopt. Hetzelfde geldt voor security: weet wat je in gang moet zetten als er een incident plaatsvindt en schakel voor de verdere afwikkeling experts in.
Essentieel is dat een organisatie achteraf moet kunnen bepalen wat er precies is gebeurd. De toezichthouder klopt immers ook achteraf aan om informatie. Als wij worden ingeschakeld nadat er een incident heeft plaatsgevonden, blijkt dat we niet altijd meer kunnen nagaan wat er is gebeurd op basis van de beschikbare informatie. Dat onderstreept het belang om vooraf na te denken over wat nodig is om na een incident terug te kunnen kijken. Dat gebeurt nog veel te weinig, mede doordat de kans op een lek sterk wordt onderschat. Maar er speelt in de voorbereiding op de meldplicht nog iets. Security kost geld, maar security is niet voor elke organisatie even belangrijk. Daarom is het verstandig om dat geld met beleid uit te geven. En ook dát vraagt om goed na te denken over waar de prioriteiten precies liggen. Vooraf!
Erik de Jong, Lead expert cybercrime bij Fox-IT
Interessant en vlot geschreven artikel wat de vraag doet rijzen wie precies moet bewijzen dat er data wel of niet is gelekt: de AP dat de boete oplegt of het bedrijf dat de boete krijgt opgelegd.
Artikel 49 lid 4 Wbp stelt:
“De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.”
Omgekeerde bewijslast dus. Maar wat als de informatie in die logs en trace files ook tegen je gebruikt kan worden en je dus als aansprakelijke wordt aangewezen richting de AP door diezelfde (dure) forensisch specialist die je hebt ingehuurd? Huur je dan nog wel een zo’n specialist in?
Klinkt als een ongezonde sigaar uit eigen doos.