Meldplicht bij datalekken en beveiligingsinbreuken

Meldplicht bij datalekken en beveiligingsinbreuken

Datalekken en beveiligingsinbreuken zijn aan de orde van de dag. Van eenvoudige klantendatabases tot kritieke infrastructuur: veel organisaties en bedrijven blijken kwetsbaar. Niet alleen gebruikers maken zich zorgen. Ook beleidsmakers beginnen zich te roeren. Eén van de maatregelen die Europese en Nederlandse wetgevers steeds vaker overwegen – en deels al hebben geïntroduceerd – is een meldplicht bij dit soort inbreuken. Een overzicht van de ontwikkelingen op dat gebied, met een aantal tips voor de praktijk.

Ot van Daalen

Er zijn ruwweg twee soorten meldplicht te onderscheiden. De eerste is een meldplicht voor het lekken van persoonlijke gegevens. Zo’n plicht is meer privacy-gerelateerd. Denk bijvoorbeeld aan een lek in een online-boekingssysteem dat bezoekers in staat stelt om eenvoudig ook de bestelling van anderen te achterhalen.

De tweede is een meldplicht voor inbreuken op de informatiebeveiliging. Zo’n meldplicht is meer security-gerelateerd. Denk aan een inbreuk op de beveiliging van een waterzuiveringsinstallatie, waarmee de machines kunnen worden stopgezet.

Een inbreuk op de informatiebeveiliging kan gepaard gaan met een datalek, wanneer door die inbreuk persoonlijke gegevens toegankelijk worden. Dat hoeft niet zo te zijn. Als een kwaad­willende door slechte beveiliging toegang krijgt tot een kernreactor, zullen waarschijnlijk geen persoonlijke gegevens worden gecompromit­teerd, maar is wel sprake van een inbreuk. Een strikte interpretatie van de Nederlandse definitie van een datalek zou overigens betekenen dat bij een datalek altijd sprake moet zijn van een beveiligingsinbreuk, maar daarover later meer.

Meldplicht datalekken telecomsector

De eerste meldplicht datalekken waar Neder­landse en Belgische bedrijven mee te maken kregen, is van Europese makelij. In 2009 is regelgeving aangenomen die geldt voor heel Europa.1 Het is meteen ook de meest uitge­werkte regelgeving en sectorspecifiek: ze is gericht op ‘aanbieders van openbare elektro­nische communicatiediensten’. Dat is een nauw omschreven definitie, die zich beperkt tot bedrijven die diensten zoals telefonie- en internettoegang aanbieden. Aanbieders van niet-openbare diensten, zoals aanbieders van zakelijke huurlijnen, zijn uitgesloten van deze definitie.

Datalekken zijn omschreven als een bevei­ligingsinbreuk die resulteert in vernietiging, verlies of wijziging van persoonsgegevens of ongeautoriseerde toegang daartoe. De belangrijk­ste datalekken vallen hier in ieder geval onder, zoals slecht beveiligde databases die online toegankelijk zijn. Maar het is de vraag wanneer precies sprake is van een beveiligingsinbreuk. Is er ook sprake van zo’n inbreuk als er helemaal geen beveiligingsmaatregelen zijn genomen? Een te strikte interpretatie van die eis zou leiden tot de onwenselijke situatie dat het verlies van een onversleutelde USB-stick met persoonlijke gege­vens buiten deze meldplicht zou vallen. Het lijkt erop dat de regering zich dat ook realiseerde. In de toelichting op een voorstel voor een vergelijk­bare meldplicht, die verderop wordt besproken, heeft ze aangegeven dat ook in dat geval sprake is van een datalek.

Aanbieders moeten datalekken melden aan de toezichthouder op de telecommarkt, de Autori­teit Consument en Markt (ACM), de voormalige OPTA. Zo’n melding moet ‘onverwijld’ worden gedaan. De Europese Commissie heeft in lagere regelgeving ingevuld dat de melding waar moge­lijk binnen 24 uur na ontdekking moet worden gedaan. Het is mogelijk om de initiële melding binnen drie dagen aan te vullen, als binnen die 24 uur nog onvoldoende informatie boven tafel is gekregen.

Daarnaast moeten aanbieders datalekken melden aan de personen van wie de persoonlijke gege­ zijn, als het datalek waarschijnlijk ongunsti­ge gevolgen voor de persoonlijke levenssfeer van de betrokkene heeft. De Europese Commissie heeft toegelicht dat zo’n beoordeling moet plaats­vinden aan de hand van de aard van de gegevens (gaat het bijvoorbeeld over financiële gegevens of wachtwoorden), de vermoedelijke gevolgen van het datalek (kan hiermee bijvoorbeeld fraude worden gepleegd) en de context van het lek (is de informatie bijvoorbeeld in handen gekomen van een kwaadwillende derde partij). Personen moeten geïnformeerd worden via een medium dat waarborgt dat informatie aankomt en veilig is. Dat zal in sommige gevallen de interface van het medium zelf zijn en soms kunnen gebruikers via e-mail worden geïnformeerd. Mocht het niet mogelijk blijken om alle personen individueel te informeren, dan kan daarvoor een ander geschikt medium zoals een krant gebruikt worden.

Een uitzondering voor deze meldplicht aan personen geldt als de ACM overtuigd kan wor­den dat de gegevens goed versleuteld waren toen ze lekten, omdat de kans op misbruik in dat geval verwaarloosbaar zou zijn. Daarop valt wat af te dingen, want wat op dit moment wordt beschouwd als een goede versleuteling, is dat door de groeiende rekenkracht van computers over een paar jaar waarschijnlijk niet meer. De Europese Commissie heeft de bevoegdheid om een lijst op te stellen met encryptietechnologieën die als veilig worden beschouwd.

Het Ministerie van Economische Zaken heeft een speciale website (meldplichttelecomwet.nl) in het leven geroepen om lekken (en security breaches, waarover later meer) te melden. Hand­leidingen en vragenformulieren die gebruikt kunnen worden bij het doen van een melding, zijn daar ook te vinden. Voor het melden van een datalek is een uitgebreid webformulier ont­wikkeld met tientallen vragen, waaronder over hoeveel mensen het gaat en wat voor informatie betreft. Ook moet de melder de ernst van de inbreuk inschatten. Dat kan worden gedaan aan de hand van richtlijnen die door de Europese instantie voor netwerkbeveiliging (ENISA) zijn ontwikkeld en regelgeving die door de Europese Commissie is ontwikkeld. Aan de hand van fac­toren als de context (is alleen toegang gekregen of zijn de gegevens ook verspreid) en de herleid­baarheid (is alleen de voornaam gelekt of ook de geboortedatum en postcode) kan een oordeel worden geveld over de ernst van een datalek. Op overtreding van deze meldplicht staat een boete van maximaal 450.000 euro.

Bredere meldplichten datalekken staan in de steigers

Terwijl de telecomsector als eerste aan een meld­plicht is onderworpen, wordt zowel in Europa als in Nederland gewerkt aan varianten op een ‘brede’ meldplicht datalekken; een meldplicht die dus niet beperkt is tot de telecomsector.

De meldplicht uit Europa is onderdeel van de herziene privacyregels die door de Europese Commissie begin 2012 zijn voorgesteld. De pre­cieze uitwerking van deze meldplicht is nog niet bekend, want over de regels onderhandelen de Europese Commissie, het Europees Parlement en de lidstaten op dit moment nog.

De contouren van deze meldplicht lijken – als het aan het Europees Parlement ligt – op vijf punten te verschillen:

- De regeling zou niet beperkt zijn tot telecomaanbieders.

- De eis dat het datalek het gevolg moet zijn van een beveiligingsinbreuk zou komen te vervallen.

- De melding zou ‘zonder onnodige vertraging’ moeten worden gedaan, terwijl de telecommeld­plicht ‘onverwijld’ moet worden gedaan. Het is onduidelijk of dat onder de Europese regels betekent dat je juist méér of mínder tijd hebt om te melden.

- In de Europese regels moet aan de betrokkene worden gemeld als het lek waarschijnlijk ongun­stige gevolgen heeft voor de persoonsgegevens, de privacy of de rechten of rechtmatige belangen van de betrokkene. In de Nederlandse telecom­meldplicht moet dat slechts als het lek nadelige gevolgen heeft voor de persoonlijke levenssfeer. Duidelijk is dat de Europese wetgever met deze formulering méér situaties onder de meldplicht wil laten vallen. Het is echter moelijk om een lek te bedenken dat geen nadelige gevolgen heeft voor de persoonlijke levenssfeer en wél nadelige gevolgen voor de belangen van de betrokkene.

- Een lek zou gemeld moeten worden bij de privacytoezichthouder, het College Bescherming Persoonsgegevens (CBP).

Zoals gezegd werkt de Nederlandse regering ook aan een brede meldplicht. Deze Nederlandse regelgeving is in 2013 als een apart wetgevings­traject in het parlement geïntroduceerd, wellicht omdat de regering de Europese onderhande­lingen niet wilde afwachten. De Nederlandse meldplicht is vrijwel hetzelfde als de telecom meldplicht, behalve dat deze voor alle sectoren geldt. Op overtreding van de meldplicht zou een boete van maximaal 450.000 euro komen te staan. Net zoals bij de Europese brede meld­plicht zou het CBP bij een lek moeten worden geïnformeerd.

Meldplicht beveiligingsinbreuken telecomsector

Zoals al is opgemerkt, hoeft niet iedere inbreuk op de beveiliging ook te leiden tot een datalek. Toch kan er een publiek belang mee gemoeid zijn dat de toezichthouder op de hoogte wordt gesteld van een inbreuk, zelfs als geen sprake is van een datalek. Daarbij kan worden gedacht aan inbreuken op kritieke infrastructuur. Daarom is ook de regelgeving rond dit soort ‘meldplichten beveiligingsinbreuken’ sterk in beweging.

Het meest concrete voorbeeld hiervan is weer te vinden in de telecomsector. Tegelijkertijd met de meldplicht datalekken voor die sector is ook een meldplicht beveiligingsinbreuken geïntro­duceerd. Deze meldplicht geldt voor ‘aanbieders van openbare elektronische communicatienetwerken en openbare elektronische commu­nicatiediensten’, dus zowel de aanbieders van de diensten als de eigenaars van de telecomnetwerken. Een aanbieder moet de Minister van Economische Zaken onverwijld informeren over een inbreuk op de veiligheid of een verlies van integriteit, waardoor de continuïteit in belang­rijke mate is onderbroken.2 Hierbij kan worden gedacht aan een grote telecomaanbieder die een kwetsbaarheid in haar VoIP-modems ontdekt, waardoor deze op afstand uitgeschakeld kunnen worden. Merk op dat een DDoS-aanval hier niet onder valt, omdat dan de beschikbaarheid, en niet de veiligheid of integriteit van de dienst, wordt beperkt.

Bredere meldplicht beveiligingsinbreuken in de steigers

Ondertussen wordt gewerkt aan een bredere meldplicht bij beveiligingsinbreuken. De belang­rijkste aanleiding hiervoor is een motie van toenmalig kamerlid Hennis-Plasschaert, waarin zij de regering oproept om een meldplicht voor security breaches voor vitale informatiesystemen’ in het leven te roepen. Medio 2013 heeft de regering een conceptwetsvoorstel hiertoe ter consultatie gepubliceerd op het internet.

Volgens dit conceptvoorstel geldt de meldplicht bij een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem, waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. Het Nationaal Cyber­security Centrum (NCSC) moet dan onverwijld geïnformeerd worden. Als ook persoonsgegevens zijn gelekt, dan zou – mocht de brede meldplicht datalekken in werking treden – ook het CBP geïnformeerd moeten worden.

Opvallend is dat een inbreuk op de ‘beschik­baarheid’ van een dienst niet meldplichtig wordt geacht. Daarmee zouden DDoS-aanvallen bijvoorbeeld buiten deze meldplicht vallen. De redenering van de regering is dat bij een DDoS-aanval de bereikbaarheid van een online-dienst wordt aangetast, zonder aantasting van de systemen die in dat verband worden gebruikt. Bovendien zou de beperkte bereikbaarheid slechts tijdelijk zijn. Daar valt wel wat op af te dingen: het is voorstelbaar dat door een DDoS een financiële dienst lange tijd niet bereikbaar is. Hier zijn dan ook kanttekeningen bij geplaatst in het kader van de consultatie.

De aanbieders en de specifieke diensten waarvoor de meldplicht zou gelden, zullen worden aange­wezen in lagere regelgeving. Hieronder zouden volgens de toelichting aanbieders van vitale producten of diensten binnen de volgende secto­ren vallen: elektriciteit, gas, drinkwater, telecom, beheer van oppervlaktewater, financiën, overheid en transport.

Tot slot is van belang dat er geen boete rust op niet-naleving van de meldplicht. Het is dus de vraag op welke manier deze wet gehandhaafd zou gaan worden.

 

Vergelijkbare regelingen

Dit is niet de enige meldplicht waaraan wordt gewerkt. De minister van Veiligheid en Justitie werkt aan een wetsvoorstel voor een meldplicht voor certificatiedienstverleners van zogenoemde gekwalificeerde certificaten (een speciale catego­rie SSL-certificaten). Dit naar aanleiding van het DigiNotar-debacle. Toen meldde certificatendienstverlener DigiNotar veel te laat dat zij was gehackt, waardoor de overheid en andere gebrui­kers van de certificaten op stel en sprong moes­ten overstappen op andere certificaten.

In Europa wordt daarnaast gewerkt aan verschil­lende meldplichten. De meldplicht voor inciden­ten met een aanzienlijke impact op de beveiliging van netwerken en informatiesystemen is daarvan de belangrijkste. In 2013 heeft de Europese Commissie hiertoe een voorstel gezonden aan het Europees Parlement. Het parlement heeft in maart vóór dit voorstel gestemd. Nu gaat het naar de Europese Raad van Ministers, waarna deze regelgeving mogelijk wet wordt.

Deze meldplicht lijkt op de brede Nederlandse meldplicht die is besproken, maar loopt uiteen op belangrijke punten. Zo moeten niet dezelf­de incidenten worden gemeld en zouden de bevoegdheden van de toezichthouder verschillen. Het is nog te vroeg om dit uitgebreid te bespre­ken, maar het zou in ieder geval onwenselijk zijn als de Nederlandse en de Europese regels op dit soort belangrijke punten uit elkaar zouden lopen.

Conclusie

De regels rond datalekken en beveiligingsinbreu­ken zijn sterk in beweging. De telecomsector is de eerste die rekening moet houden met meld­ plichten op allebei deze gebieden. Het is echter een kwestie van tijd voordat ook andere sectoren hieraan onderworpen zijn, want of het nu de Nederlandse of de Europese regeling wordt: een brede meldplicht datalekken zal er binnen afzienbare tijd komen. Aanbieders van vitale infrastructuur en certificaten zullen daarnaast rekening moeten houden met een meldplicht voor beveiligingsinbreuken. Het is dus verstan­dig om de ontwikkelingen op dit gebied goed te volgen.

 

KADER: Eerste hulp bij datalekken en beveiligingsinbreuken

Een datalek of beveiligingsinbreuk kan leiden tot reputatieschade, handhaving en aansprakelijkheid. Maar het is ook een kans om te laten zien dat een bedrijf privacy en security serieus neemt. Zeven tips.

1. Stel nu al een datalek- en beveilingingsinbreuk-team samen. Denk aan mensen van de communicatie-afdeling, de security-afdeling en de juridische- of de compliance afdeling.

2. Neem meldingen serieus. Vaak komt een bedrijf op de hoogte van een datalek door een melding van buiten. Een adequate reactie bij een melding is belangrijk als de reputatie van een bedrijf op het spel staat.

3. Inventariseer direct de omvang van het lek. Wat voor gegevens zijn precies gelekt, hoe lang staat het lek al open, wie heeft toegang gekregen, zijn de gegevens verder verspreid? Beperk het onderzoek niet tot het gemelde lek, maar onderzoek of andere systemen ook kwetsbaar zijn.

4. Dicht het lek zo snel mogelijk. Soms betekent dat dat een website tijdelijk uit de lucht moet, of dat alle wachtwoorden van gebruikers gereset moeten worden.

5. Meld bij de relevante toezichthouders waar nodig. Onderzoek of voor dit datalek of deze beveiligingsinbreuk een meldplicht geldt en schakel zo nodig professionele hulp in.

6. Communiceer het lek aan klanten en de buitenwereld. Zo kunnen klanten maatregelen treffen om verdere schade te voorkomen. Ook beperkt dat de kans op aansprakelijkheid. Vaak is het beste om zo transparant mogelijk te zijn in de communicatie.

7. Onderzoek of vervolgstappen aangewezen zijn. Als een lek ontdekt is door kwaadwillenden kan worden overwogen om aangifte te doen en zo een strafrechtelijk onderzoek te initiëren.

8. Neem stappen om dit in de toekomst te verbeteren. Als de storm enigzins is gaan liggen is het belangrijk om lessen te trekken. Kunnen de interne procedures verbeterd worden, bijvoorbeeld door de security-afdeling eerder in het ontwikkelingstraject te betrekken?

 

 

 

KADER

 

De verschillende meldplichten datalekken in Nederland en Europa

 

telecomsector

Nederlands voorstel

Europees voorstel

Beveiligingsinbreuk

Vereist

Vereist

Niet vereist

Melding bij toezichthouder

Bij nadelige gevolgen voor persoonsgegevens

Idem

Altijd

Welke toezichthouder

Telecomtoezichthouder

Privacytoezichthouder

Privacytoezichthouder

Melding bij betrokkene

Bij waarschijnlijk ongunstige gevolgen voor persoonlijke levenssfeer

Idem

Bij waarschijnlijk ongunstige gevolgen voor persoonsgegevens,  persoonlijke levenssfeer, de rechten of rechtmatige belangen van de betrokkene.

Hoe snel

Onverwijld

Onverwijld

Zonder onnodige vertraging

Informatie aan betrokkene

- De aard van de inbreuk

- De instanties waar meer informatie kan worden verkregen; en

- De aanbevolen maatregelen voor de gebruiker om de gevolgen te beperken.

Idem

Idem

Informatie aan toezichthouder

- Idem; en

- De gevolgen van de inbreuk en de maatregelen van het bedrijf om die te beperken.

Idem

Idem

Ot van Daalen is partner en oprichter van het advocatenkantoor Digital Defence dat bedrijven, organisaties en burgers juridisch bijstaat bij complexe uitdagingen op het gebied van security en privacy. Hij werkt ook als onderzoeker bij het Instituut voor Informatierecht van de Universiteit van Amsterdam.  E-mail: ot.vandaalen@digitaldefence.nl

 

Tijdens de afronding van deze uitgave heeft de regering een wijziging van het Nederlandse wetsvoorstel voor een meld­plicht datalekken in het parlement geïntroduceerd. Deze wijziging kon derhalve niet meegenomen worden in dit artikel.

 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag