Het is een goed moment om eens te kijken wat voor trends en ontwikkelingen we zien, een half jaar nadat de nieuwe Wet Bescherming Persoonsgegevens (Wbp) is ingegaan. Met de nieuwe Wbp kwamen er een hogere boetebevoegdheid van de Autoriteit Persoonsgegevens (AP) en een meldplicht voor datalekken waarbij persoonsgegevens betrokken zijn. Inmiddels zijn er diverse incidenten geweest waarop de meldplicht van toepassing was. Welke overeenkomsten, uitdagingen en andere opvallende zaken waren er?
Een probleem dat ik nu een aantal keer ben tegengekomen is dat soms niet evident is welke data er eigenlijk gestolen en/of vernietigd zijn. Neem het geval waarin er onderzoek is gedaan naar de inhoud van een niet versleutelde gestolen laptop, zonder dat we die laptop zelf in bezit hadden (die was immers ontvreemd).
Het bedrijf was er zeker van dat zich op die laptop persoonsgegevens bevonden, dat daar in een aantal gevallen ook hele gevoelige persoonsgegevens tussen zaten, maar niet van welke personen er precies data aanwezig waren en in welke vorm en hoeveelheid. Wat volgde was een complex proces waarbij door het analyseren van mailboxen, netwerkmappen en back-ups alsnog werd getracht een beeld te krijgen van de op de laptop aanwezige gegevens. Natuurlijk was dat beeld zeker niet 100 procent, maar dat bleek ook onmogelijk in dit geval. Dus een goede reden om laptops te versleutelen en werknemers te laten werken vanaf centraal beheerde databronnen (netwerkmappen, documentmanagementsystemen, et cetera).
Gehackt, maar ook melden?
Het lijkt zo simpel: als je een datalek ontdekt volg je de stroomschema’s uit de beleidsregels van de AP en dan weet je of en zo ja aan wie (alleen de AP of ook de betrokkenen) je het lek moet melden. De praktijk blijkt in veel gevallen een stuk weerbarstiger. Zo was er een bedrijf waar een webserver was gehackt. Het leek te gaan om een zogenaamde ‘defacement’, het zodanig aanpassen van de website dat deze alleen nog een boodschap van de hacker laat zien. Over het algemeen wordt dat soort aanvallen gedaan vanuit een activistisch motief, of als vorm van wedstrijd tussen digitale kwajongens (wie kan de meeste websites defacen). In dit geval leek het, op basis van informatie uit het onderzoek, te gaan om de laatste variant.
Klare zaak zou je zeggen, dat heeft dan niets met persoonsgegevens te maken. De aanvaller heeft het bij dit soort aanvallen in de regel niet voorzien op de data op de server. Toch werd een melding bij de AP hier uiteindelijk door de advocaat van onze klant noodzakelijk geacht. De reden? In dit geval viel niet redelijkerwijs uit te sluiten dat de aanvaller zich wellicht ook toegang had verschaft tot op de server aanwezige persoonsgegevens. Let wel, er waren ook geen sporen die wezen op toegang tot die gegevens door de aanvaller, maar de AP hanteert hierin een omgekeerde bewijslast: als je het niet uit kunt sluiten, moet je melden.
Met uitgebreidere logging en netwerkmonitoring had er veel meer onderzocht kunnen worden en had een melding wellicht achterwege kunnen blijven. Uit dergelijke gegevens kun je in veel gevallen veel meer te weten komen over de precieze activiteiten van de aanvaller en of, en zo ja, welke data mogelijk ontvreemd zijn. Een goede business case dus voor het uitvoeren van een forensic readiness assessment, waarin wordt vastgesteld welke gegevens verzameld worden (en hoe lang die bewaard moeten blijven) ten behoeve van onderzoek naar fraude en cyberincidenten.
Ik zie, ik zie, wat jij niet ziet
Dan ook nog een verhaal met een positievere wending, het gaat gelukkig ook wel eens goed. In dit geval betrof het een organisatie die van ons een melding kreeg dat op een van de computers in het netwerk mogelijk malware aanwezig was. De malware was dermate serieus dat deze een aanvaller volledige toegang zou kunnen geven tot het systeem en alle daarop aanwezige data.
De melding kwam binnen enkele minuten nadat de malware ongemerkt door een medewerker was gedownload. Door razendsnel handelen door het security team van de organisatie kon de computer van het netwerk worden losgekoppeld, nog voordat de malware echt actief kon worden. Dit laatste kon worden vastgesteld door te kijken naar het netwerkverkeer dat de betrokken computer genereerde na het downloaden van de malware. Dat zag er echter niet verdacht uit. Bovendien heeft parallel forensisch onderzoek op de computer zelf nog uitgewezen dat de malware in dit geval hoogstwaarschijnlijk niet kon starten.
Hoewel deze computer persoonsgegevens bevatte en er malware gedownload was, kon door aanwezigheid van de juiste loggegevens en gegevens over het netwerkverkeer een duidelijk beeld geschetst worden van activiteit op de computer. Daarmee werd voldaan aan de strenge eis van de AP: het viel uit te sluiten dat persoonsgegevens hier onrechtmatig waren verwerkt.
Kevin Jonkers, manager forensics en incident response bij Fox-IT
Goed stuk om te lezen, helaas merk ik dat in de praktijk dat er veel datalekken gewoon niet worden gemeld.
Als voorbeeld kwamen we erachter dat een conculega te maken had met een ernstig datalek. Door een configuratiefout was het hele backoffice systeem openbaar te gebruiken zonder enige authenticatie en waren klantgegevens/cleartext wachtwoorden en betalingsgegevens van klanten in te zien, aan te passen en zelfs vindbaar via Google.
We hebben besloten dit direct te melden bij het betreffende bedrijf, maar na een week stond alles nog open.
Vervolgens hebben we zonder namen te noemen advies gevraagd bij AP, deze gaven aan:
“Het bedrijf dat te maken heeft met het datalek moet het melden, een anders kan dat niet doen”
Onze vraag was: “Maar ze melden het niet, hoe moet dat dan?”
Antwoord: “Ze moeten het melden want het is verplicht”
We hebben nogmaals contact gehad met het bedrijf en ze hebben het kort daarop dichtgezet. Een melding is nooit gemaakt en 2 maanden later stond alles weer open.
Het gaat nog niet helemaal soepel dus 😉
@Jan de Vrhap
Interessant inkijkje in de werkelijkheid! Ik vraag mij dan ook af wat de drijfveer voor een bedrijf zou zijn om een datalek nog zelf te melden als dat bestraft kan worden met een boete. En er bij niet melden er geen enkele consequentie is.
Opzettelijk niet melden van een datalek is een groot risico. Vergelijk het een beetje met het continue negeren van rode stoplichten. Dat gaat goed totdat het fout gaat. Je veroorzaakt een ongeluk of je wordt geflitst of betrapt. En dan zijn de rapen gaar. Zo gaat het ook met de privacy-wetgeving. De Autoriteit vraagt van bedrijven om aantoonbaar inzicht te hebben in de gegevensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s. Deze informatie moet beschikbaar zijn in een actuele privacy administratie. Handhaving gebeurt met hoge (bestuurlijke!) boetes. Als je als bedrijf/organisatie die administratie niet beschikbaar hebt loop je kans op hoge boetes en krijg je discussies met je accountant: Je risicoprofiel gaat drastisch omhoog .. kan de jaarrekening wel goedgekeurd worden? Op het moment dat er een datalek ontstaat (ja, dat kan ieder bedrijf zomaar gebeuren!) dien je het te melden. “Ze” komen er niet toch achter? Wees voorzichtig: realiseer je wel dat er klachten bij de Autoriteit Persoonsgegevens aangemeld kunnen worden. Bewust niet melden is “aantoonbaar verwijtbaar gedrag” en dan wil je niet aan tafel met de Autoriteit Persoonsgegevens … Dat is dan een “lastig katje”. Je loopt ook nog eens de kans om met naam en toenaam op de website van de Autoriteit Persoonsgegevens genoemd te worden. (Ga maar kijken!) Da’s niet goed voor je reputatie. Wij propageren het gedachtengoed om het om te draaien. Gebruik de nieuwe wetgeving om aan je klanten en relaties te tonen dat hun persoonsgegevens bij jou in goede handen zijn . “Uw privacy is onze zorg”. Dat werkt véél beter op lange termijn.
@KJ
Niet melden terwijl dat wel zou moeten kan een boete opleveren tot 5 ton. Dan moet de AP er natuurlijk wel achter komen dat er een lek heeft plaatsgevonden dat gemeld had moeten worden, maar 5 ton is een risico dat je niet wil lopen als het niet hoeft. Wél melden leidt niet direct tot een boete, dat is eigenlijk pas het geval als je opzettelijk of roekeloos hebt gehandeld. Dus in dat opzicht kun je beter het zekere voor het onzekere nemen.