Management

IT beheer
Beveiliging

De rol van de IT’er onder de Wet meldplicht datalekken

De IT-afdeling heeft een specifieke verantwoordelijkheid bij het voldoen aan de meldplicht datalekken.

© Shutterstock
19 augustus 2016

PER 1 JANUARI 2016 IS DE WET MELDPLICHT DATALEKKEN (Wmd) in werking getreden als aanvulling op de Wet bescherming persoonsgegevens (Wbp). Wanneer zich een ‘inbreuk op de beveiliging’ voordoet met ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ [1] is er sprake van een ‘datalek’ en moet dit gemeld worden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP) (tot 1 januari College Bescherming Persoonsgegevens) [2]. Kan dit datalek bovendien leiden tot ‘ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen’, dan moeten ook zij op de hoogte worden gesteld. Aan de inhoud van de meldingen worden vergaande inhoudelijke en kwaliteitseisen gesteld.
Wij gaan uit van de volgende situatie. De entiteit of rechtspersoon waar het beveiligingsincident zich voordoet is de verantwoordelijke in de zin van de Wbp. Dit houdt in dat deze entiteit – die het doel van en de middelen voor3 de betreffende gegevensverwerking bepaalt – formeel de adressant en het aanspreekpunt voor de AP en de betrokkene(n) is en de verplichting heeft om het datalek te melden. De IT-afdeling bevindt zich in deze voorbeeldsituatie (juridisch gezien) onder hetzelfde dak als de directie en de juridische afdeling of privacy organisatie (PO). Wij gaan er verder vanuit dat de datalekkende organisatie een PO heeft en dat deze afdeling eigenaar is van of verantwoordelijk voor beoordelingen het doen van de melding.

Beveiligingsincident = datalek?

Duidelijkheid over en uniformiteit in de gebruikte terminologie is van belang, want niet ieder beveiligingsincident is een meldingsplichtig datalek. Het is daarom raadzaam om in eerste instantie van een (beveiligings)incident te spreken in plaats van een datalek. De meldplicht is namelijk geclausuleerd en/of voorwaardelijk. Enkel beveiligingsincidenten waarbij sprake is van (een aanzienlijke kans op) ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ moeten gemeld worden. De AP maakt in haar beleidsregels helaas geen eenduidig en consequent onderscheid in de benaming van een datalek vóór en na deze afweging.4 Het is voor de verantwoordelijke wel van belang om voornoemd onderscheid te maken. Dit om de scheidslijn te markeren tussen de taken en verantwoordelijkheid van de IT-professional en die van de PO. Zolang niet vaststaat dát er gemeld moet worden is het raadzaam om te spreken over (beveiligings)incident. Afhankelijk van de uitkomst van de beoordeling van het incident kan dan, eventueel, sprake zijn van een meldingsplichtig datalek.

Tijdigheid

Op het moment van detectie van een beveiligingsincident is het tijdig informeren de eerste taak van de IT’er. De essentie zit in de combinatie: tijdigheid en informatie. De termijn om te melden bij de AP gaat namelijk lopen op het moment dat het beveiligingsincident wordt ontdekt. Vanaf het moment van ontdekking heeft de verantwoordelijke 72 uur de tijd om het besluit om te melden te nemen.5
Om te kunnen voldoen aan het vereiste van tijdigheid moeten duidelijke afspraken gemaakt worden tussen de IT-afdeling en de PO die in een protocol of werkproces zijn vastgelegd. Korte lijnen zijn daarbij van belang. Dit naast een praktisch ingestoken intern meldingsbeleid tussen de IT-afdeling en de PO inzake afspraken over 24/7-bereikbaarheid of noodnummers, maar ook over de vervulling van de documentatieplicht, waarover nader meer. Dit geldt overigens zowel voor de informatievoorziening richting AP en betrokkenen, en voor registratie van het aantal incidenten en, daarop gebaseerde, mitigerende maatregelen.

Bij twijfel, melden!

De AP instrueert6 om te melden, ook wanneer nog niet alle informatie over de omvang of de impact beschikbaar is. Een melding kan namelijk achteraf nog worden aangevuld of ingetrokken. Dat biedt in de praktijk de mogelijkheid om altijd op tijd te zijn met een melding: bij twijfel, melden. Is bijvoorbeeld ten tijde van het incident nog niet zeker of gevoelige gegevens7 verloren zijn gegaan, maar blijkt dat later toch het geval te zijn, dan moet er wél een melding zijn gedaan die nog is aan te vullen. Zo niet dan is de organisatie in overtreding. Is er na enkele dagen toch minder aan de hand dan aanvankelijk gedacht, dan kan de melding eenvoudig worden ingetrokken. Dit betekent concreet dat ook wanneer alle informatie over een incident nog niet boven tafel is, de IT’er onmiddellijk de PO zal moeten inlichten. De PO kan dan, in overleg met de IT’er, inschatten of een voorlopige melding geboden is.

Informeren

Is alles in het werk is gesteld voor een tijdige melding, de blinde doorgifte, dan moet de IT’er degene die het besluit tot melding moet nemen, toelichten of voorleggen aan het management – doorgaans de PO – van duidelijke en volledige informatie voorzien. Blinde doorgifte geldt ook bij incidenten met effectief versleutelde persoonsgegevens – en óók als de mogelijkheid van remote wiping onmiddellijk na een incident kon worden ingezet. Dat deze maatregelen zijn ingezet moet de PO weten, want de PO moet snel inschatten of een melding noodzakelijk is. Dat vereist dat men ernst en omvang van het incident overziet, maar ook weet wat gedaan is om schade te voorkomen of verminderen.

Gevoelige gegevens?

Primair bij deze besluitvorming is of het datalek gevoelige persoonsgegevens betreft. ‘Gevoelig’ zijn, naast bijzondere persoonsgegevens over bijvoorbeeld gezondheid, etniciteit, seksuele geaardheid, strafrechtelijk verleden, politieke voorkeur of lidmaatschap van een vakvereniging, ook financiële en/of economische gegevens – bankgegevens, salarisinformatie, informatie over leningen en loonbeslagen. Accountinformatie – inlognamen en wachtwoorden – is ook gevoelig, want ze vormen vaak de sleutel tot online te regelen zaken. Bijzondere identiteitsgegevens zoals BSN en biometrische data zijn vanzelfsprekend privacygevoelig. Eveneens gevoelig zijn: omvangrijke incidenten waarbij ofwel veel gegevens van één persoon bij betrokken zijn (verzameleffect), incidenten waarbij de gegevens van een grote groep betrokkenen getroffen zijn, of incidenten waarbij een bepaalde kwetsbare groep betrokken is – denk aan patiënten of jonge kinderen.
In de tweede plaats is van belang door te geven hoeveel betrokkenen geraakt worden door het incident – veel, of slechts een minimaal aantal? In de derde plaats is het van belang door te geven of er sprake kan zijn van een verzameleffect en/of er een kwetsbare groep betrokken is.
Lijkt een beveiligingsincident betrekking te hebben op voornoemde categorieën gegevens, lijkt een grote groep geraakt te zijn, of is er sprake van een verzameleffect of een kwetsbare groep, dan wordt het beveiligingsincident gekwalificeerd als datalek en direct gemeld.

Melding bij de AP

Voor de melding heeft de PO nadere informatie nodig. De AP vraagt als eerste een samenvatting van het incident. Daarna komen de details. Er is een mogelijkheid om aan te geven dat exacte gegevens van de inbreuk niet bekend zijn. Ook kan een langere periode worden aangegeven. In ieder geval moet aangegeven worden wanneer de inbreuk ontdekt is.
De PO heeft mogelijk ook begeleiding nodig bij het bepalen van de aard van de inbreuk. Kan de ‘inbreker’ de persoonlijke gegevens eenvoudig lezen, kopiëren, muteren? Kan de inbreuk leiden tot vernietiging of verwijdering van persoonlijke gegevens?
Vervolgens eist de AP om aan te geven welke gevolgen de inbreuk kan hebben op de persoonlijke levenssfeer van betrokkenen. Deze inschatting kan de PO maken, maar de IT’er kan misschien inzicht verschaffen inzake de kans op identiteitsfraude of spam en phishing. Ook kan mogelijk worden geanticipeerd op andere nadelige gevolgen voor de persoonlijke levenssfeer.

Melding aan de betrokkene?

Als er sprake is van nadelige gevolgen op de persoonlijke levenssfeer van de betrokkene moet er een melding aan de betrokkene volgen. De AP denkt hierbij aan aantasting van de eer en goede naam, identiteitsfraude of discriminatie. Het onderscheid tussen inbreuk op de bescherming van persoonsgegevens en nadelige gevolgen voor de persoonlijke levenssfeer is niet duidelijk.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!