Meldplicht datalekken: ook bij ransomware?

Meldplicht datalekken: ook bij ransomware?

DearBytesBlogMeldplicht datalekken: ook bij ransomware?

Wie de term “meldplicht datalekken” kort analyseert, zou de titelvraag van deze blog waarschijnlijk met “nee” beantwoorden. Ransomware is er immers niet op gericht om data te stelen, maar om ze te versleutelen. Er is geen sprake van een lek en dus ook geen meldplicht. Toch? Wij zijn er even in gedoken en komen toch tot een andere conclusie: een ransomware-infectie zal vanaf 1 januari 2016 ook gemeld moeten worden!

DBDrawing 012 - CBP

Meldplicht Datalekken

Wat was die meldplicht datalekken ook alweer? Het is een toevoeging aan de Wet Bescherming Persoonsgegevens (Wbp) die organisaties verplicht stelt om melding te maken van beveiligingsincidenten die betrekking hebben op persoonsgegevens. De aangepaste wet is al door de twee kamers aangenomen en wordt vanaf 1 januari 2016 van kracht. In diezelfde wijziging neemt ook de boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) toe, waardoor het concrete risico niet alleen reputatieschade is, maar ook financiële boetes tot een maximum van ongeveer 8 ton. In andere landen, zoals Duitsland, Engeland en de Verenigde Staten, bestaat soortgelijke wetgeving al langer, en ook volgens de aanstaande Algemene Verordening Gegevensbescherming (AVG) van de EU zal het verplicht zijn om incidenten te melden. Vanaf 1 januari hebben we een meldplicht en die gaat niet meer weg.

Wettelijke definities

Wat eraan zit te komen, wordt vaak populair omschreven met de term “meldplicht datalekken”. Deze term is wat ongelukkig gekozen, want hij dekt niet helemaal de lading van de wet. Dat zit hem met name in het woord “datalek”. Het CBP beschrijft de wettelijke definitie als volgt:

Datalek

Bij een datalek gaat het om toegang tot persoonsgegevens of vernietiging, wijziging of vrijkomen van gegevens zonder dat dat de bedoeling is van de betreffende organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Kortom: voor wie zich aan de wet wil houden, is het dus nogal gevaarlijk om “meldplicht datalekken” al te letterlijk op te vatten: ook het onbedoeld wijzigen of verwijderen van persoonsgegevens is een datalek.

Daarnaast is nog interessant om te weten wat zo’n melding precies inhoudt. Dit is de letterlijke wettekst:

Artikel 34a

1. De verantwoordelijke stelt het College onverwijld in kennis van een
inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzien-
lijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige
gevolgen heeft voor de bescherming van persoonsgegevens.

2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene
onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de
inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens
persoonlijke levenssfeer.

In beide leden staat één belangrijk woordje: “onverwijld”, wat “zonder uitstel” betekent. Onmiddellijk dus.

Meldplicht Ransomware

Zijn we nu meldingsplichtig wanneer er ransomware is geïnstalleerd? Het is heel duidelijk dat er alleen sprake is van een “plicht” als er persoonsgegevens in het geding zijn. Is dat het geval, dan is er zeker sprake van een meldplicht, omdat er misschien geen data “gelekt” is, maar wel degelijk gewijzigd. Maar niet bij elke ransomware-infectie gaat het om persoonsgegevens. Er zijn echter twee onzekerheden die problematisch zijn in verband met het “onverwijld” melden.

  1. Hoe weet je, op het moment dat de popup van de ransomware verschijnt waarin om losgeld wordt gevraagd, welke data allemaal versleuteld is?
  2. Hoe weet je op dat moment of bij de ransomware-installatie misschien nog andere functies betrokken zijn, zoals keylogging?

Het onderzoek naar deze vragen vereist vaak meerdere dagen. Maar volgens de wet mogen we niet zo lang wachten met melden. Dus hoe te handelen?

Advies College Bescherming Persoonsgegevens

Het CBP verwijst naar richtsnoeren om duidelijk te krijgen in welke gevallen gemeld moet worden. Die richtsnoeren zijn echter nog niet klaar en het is ook nog niet duidelijk wanneer ze komen.

Daarom heeft onze CISO Patrick van der Rijt op vrijdag 21 augustus tijdens het telefonisch spreekuur contact opgenomen met het CBP. Uit het gesprek kwamen de volgende adviezen naar voren:

  1. Indien je als organisatie zeker weet dat bij een geval van ransomware/malware persoonsgegevens betrokken zijn, adviseert het CBP om dit te melden bij het CBP.
  2. Indien je als organisatie twijfelt of bij een geval van ransomware/malware persoonsgegevens betrokken zijn, adviseert het CBP ook om dit te melden. Dit om hoge boetes achteraf te vermijden.
  3. Verder gaf de telefonisch adviseur aan dat het CBP werkt aan richtsnoeren voor dit onderwerp, en dat we op de hoogte kunnen blijven via de nieuwsbrief.

Onze conclusie over de meldplicht bij ransomware: bij het zien van het losgeldbericht is er twijfel over de omvang van het probleem, en daarom wordt geadviseerd om het incident te melden.

We vroegen ook aan het CBP of ze die meldingen denken te kunnen verwerken. Aangezien de ransomware-incidenten ons om de oren vliegen, vermoeden we namelijk dat ze het nogal druk gaan krijgen. Het CBP onderschreef dit en legde ook nog uit dat ze ondanks die uitgebreide bevoegdheden geen extra budget krijgen. Het CBP moet dus met hetzelfde aantal mensen een explosief groeiend aantal incidenten verwerken. In de digitale wereld noemen we dat een Distributed-Denial-of-Service (DDoS) aanval.

Ik wens de dames en heren bij het CBP daar veel succes mee.

Meer weten over de meldplicht datalekken?

Wilt u meer weten over de Wet bescherming persoonsgegevens, over de “meldplicht datalekken” en over hoe u met de wijzigingen moet omgaan? Kom dan naar onze Roundtable op 13 oktober 2015: https://www.dearbytes.com/agenda/round-table-wbp/