Consultatie richtsnoeren meldplicht datalekken

Consultatie richtsnoeren meldplicht datalekken

DearBytesBlogConsultatie richtsnoeren meldplicht datalekken

donderdag 8 oktober 2015

richtsnoeren_meldplicht_datalekkenHet College Bescherming Persoonsgegevens (CBP) heeft op 21 september een eerste concept versie gepubliceerd van de Richtsnoeren Meldplicht Datalekken. Dit document (PDF) dient als handreiking bij de nieuwe wetgeving die op 1 januari 2016 in werking treedt. In deze consultatieperiode hoopt het CBP zoveel mogelijk feedback uit “het veld” te verzamelen en op basis daarvan een aangescherpte versie te kunnen lanceren voor de jaarwisseling.

De wetswijziging maakt het in bepaalde omstandigheden verplicht om melding te maken van verlies van digitale informatie. De richtsnoeren dienen dus om te bepalen in welke gevallen die verplichting inderdaad van toepassing is, en hoe dan precies te handelen. Wij hadden al vastgesteld dat 1 van de belangrijkste zaken om in te zien, is dat de term “meldplicht datalekken” eigenlijk nogal misleidend is. Er gaat namelijk sprake zijn van een meldplicht in gevallen die u waarschijnlijk niet op voorhand als datalek zou bestempelen.

Ik wil u daarom vooral 1 ding meegeven: verdiep u echt even in deze richtsnoeren om goed te begrijpen wat er op u af komt.

Ook wij hebben de moeite genomen om de richtsnoeren te bestuderen en commentaar te plaatsen daar waar wij graag aanscherping of verduidelijking zien. In die exercitie zijn een aantal interessante inzichten aan het licht gekomen, die ik op deze manier met u wil delen.

Meldplicht: ook bij Ransomware

Eerder blogde ik al over de vermoedelijke meldplicht in geval van een ransomware infectie. De richtsnoeren bevestigen dat vermoeden:

3.1 Zijn de verwerkte persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking?

Artikel 13 Wbp verplicht u als verantwoordelijke om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Verlies houdt in dat u de gegevens niet meer heeft, omdat deze zijn vernietigd of op een andere manier verloren zijn gegaan. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.

Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek.

Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren (‘ransomware’) of te versleutelen (‘cryptoware’). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan verlies en aan onbevoegde aantasting of wijziging.

Onverwijld melden = binnen 2 werkdagen

Een ander belangrijk aspect in de wetgeving is het gegeven dat u onverwijld melding moet maken van een datalek. Onverwijld betekent zonder uitstel. Maar u zult tijd nodig hebben om vast te stellen dat er sprake is van een lek van persoonsgegevens. De richtsnoeren maken duidelijk dat het CBP hier rekening mee houdt: u krijgt 2 werkdagen de tijd voor uw onderzoek.

Maar daarbij geldt wel omgekeerde bewijslast! In die 2 werkdagen moet u niet bewijzen dat er persoonsgegevens zijn gelekt, integendeel: u moet kunnen bewijzen dat dat NIET zo is. Kunt u dat na 2 werkdagen nog niet, dan is dus de bedoeling dat u alvast melding maakt. Op een later moment kan die melding eventueel worden ingetrokken.

U kunt dus maar beter direct na vaststellen van zoiets als een malware infectie een uitgebreide analyse starten om vast te stellen welke data er door de malware beroerd is (iets waar DearBytes middels Incident Response diensten bij kan helpen). Om dit snel vast te kunnen stellen, is het belangrijk om continu monitoring aan te hebben staan en logging te verzamelen, zodat hierin kan worden teruggezocht. Hierdoor neemt het belang van een oplossing als SIEM toe.

3.2 Kan ik redelijkerwijs uitsluiten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?

Als u redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid, dan moet u het datalek melden aan het CBP.15

6. Wanneer moet ik het datalek melden aan het CBP?

U moet het datalek onverwijld melden aan het CBP (artikel 34a, lid 1, Wbp).

Het onverwijld melden houdt in dat u, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek teneinde een onnodige melding te voorkomen.

De termijn voor het melden van het datalek begint te lopen op het moment dat uzelf, of een bewerker die u heeft ingeschakeld, op de hoogte raakt van een incident waarbij persoonsgegevens kunnen zijn blootgesteld aan verlies of onrechtmatige verwerking. Uiterlijk op de tweede werkdag na de ontdekking van het incident doet u een melding bij het CBP, tenzij op dat moment inmiddels al uit uw onderzoek is gebleken dat het incident niet onder de meldplicht datalekken valt.

Maatregelen die het verschil maken

Het meest interessant aan de richtsnoeren is dat er ook wordt vermeld in welke gevallen melding maken NIET nodig is. In principe treedt de meldplicht in werking als er persoonsgegevens in het spel zijn (of dat dus niet kan worden uitgesloten), maar er zijn toch manieren om in zo’n geval onder de meldplicht uit te komen.

Belangrijk om te begrijpen, is dat de meldplicht twee soorten meldingen behelst. Allereerst de melding aan het CBP zelf, maar daarnaast de melding aan de betrokkenen (van wie de persoonsgegevens zijn). De spelregels rondom deze 2 soorten meldingen verschillen. Dat wil zeggen dat soms het CBP zal moeten worden ingelicht, maar niet de betrokkenen. Andersom is niet mogelijk.

Maar wanneer hoeven we nu NIET te melden? Ofwel: wat kunnen we concreet doen om niet in die situatie te belanden?

Doeltreffende maatregelen

Allereerst de vraag of er überhaupt sprake is van persoonsgegevens:

1.1 Is er sprake van persoonsgegevens?

Als er geen sprake is van verwerking van persoonsgegevens, dan is de meldplicht datalekken niet van toepassing.

Een gegeven is geen persoonsgegeven, indien doeltreffende technische en organisatorische maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten. 

Helaas wordt het op dit punt niet concreter. In tegenstelling tot andere delen van de spelregels, wordt hier geen voorbeeld genoemd. Eén van de verzoeken die wij in de consultatie zullen indienen is om ook dit aspect van voorbeelden te voorzien. Er is echter een redelijke kans dat juist op dit fundamentele punt men jurisprudentie wil afwachten en dat een rechter dus maar moet bepalen of maatregelen doeltreffend zijn om identificatie redelijkerwijs uit te sluiten.

Encryptie & Remote Wiping!

Screen Shot 2015-10-07 at 11.50.15Vervolgens zal wellicht het CBP moeten worden geïnformeerd, maar kan encryptie voorkomen dat ook betrokkenen moeten worden geïnformeerd. Dit voorkomt reputatieschade, omdat het CBP de meldingen vertrouwelijk behandeld. Pas als betrokkenen worden geïnformeerd zal een datalek dus in de openbaarheid terecht komen.

De richtsnoeren zijn vrij duidelijk over effectieve maatregelen die melding aan betrokkenen onnodig maakt:

7.2 Bieden de technische beschermingsmaatregelen die ik heb genomen voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten?

Indien u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, dan kunt u de melding aan de betrokkene achterwege laten (artikel 34a, lid 6, Wbp).

Uit de wetsgeschiedenis komt encryptie naar voren als het voornaamste voorbeeld van een technische beschermingsmaatregel zoals bedoeld in het zesde lid van artikel 34a Wbp.

Naast encryptie vermeldt de Nederlandse wetsgeschiedenis nog een andere technische beschermingsmaatregel waarmee persoonsgegevens kunnen worden beschermd tegen onbevoegde kennisname: het op afstand wissen van de gegevens die op een apparaat staan (remote wiping). 

Interessant is nog wel de mogelijke situatie waarin uw gegevens versleuteld zijn, maar deze vernietigd of aangetast worden. Dat zou bijvoorbeeld gebeuren in geval van ransomware. Ook al is de data dan twee keer versleuteld: toch ontslaat de versleuteling u in dat geval niet van de meldplicht.

Encryptie wordt door de meldplicht datalekken een erg waardevol middel. Dit kan op tal van manieren worden toegepast, bijvoorbeeld binnen databasestructuren. Voor persoonsgegevens die zich in bestanden zoals Excelsheets of Wordfiles bevinden, is een goede oplossing om te werken met File & Folder Encryptie. Deze functionaliteit en andere oplossingen gericht op databeveiliging maken onderdeel uit van McAfee Complete Data Protection.