Management
Waarom het melden van datalek efficiënter moet
Organisaties onttrekken zich aan niet-gemelde datalekken.
Organisaties onttrekken zich aan niet-gemelde datalekken.
Sinds enkele jaren is het melden van datalekken een verplichting voor overheden. Het toegenomen bewustzijn is een goede ontwikkeling, maar er zijn belangrijke verbeterpunten mogelijk, stellen experts. “Er wordt nu amper tijd besteed aan niet-gemelde datalekken.”
Uit het onlangs gepubliceerde onderzoek van Binnenlands Bestuur, iBestuur en AG Connect over de werklast van datalekken werd onlangs duidelijk dat gemeenten een stijgende werklast ervaren rondom het melden van datalekken. Een melding maken kan zo’n 2,5 tot 4 uur duren, terwijl dit volgens experts veel sneller zou kunnen. Jaarlijks maken overheden duizenden meldingen van datalekken, en dat aantal neemt elk jaar toe. Die tijd had ook besteed kunnen worden aan andere manieren om gegevensbescherming te verbeteren.
Floor Terra, werkzaam als adviseur bij Privacy Company, ziet zowel positieve als negatieve ontwikkelingen rondom de werklast van datalekken. “Natuurlijk is het zo dat gemeenten datalekken beter opmerken en in de loop van de tijd handiger en efficiënter ermee omgaan. Op basis van het nieuwe bewustzijn mag je ervan uitgaan dat er minder datalekken zullen ontstaan in de toekomst, maar het is ook zo dat datalekken door de toegenomen kennis beter worden opgemerkt in het algemeen.” Terra stelt dat er vooral nog winst te behalen valt bij het meldproces, waar voor gemeenten nog veel tijd in gaat zitten. “Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werklast is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost natuurlijk tijd.”
Efficiënter melden moet kunnen
De ontwikkeling van een intern managementsysteem waarbij met behulp van API door een klik op de knop gegevens kunnen worden doorgezet zou kunnen helpen, denkt Terra. “Het zou een efficiency-slag kunnen betekenen. Ik vind eerlijk gezegd dat zo’n systeem er al had moeten zijn, maar de AP blijft kiezen voor handmatig melden.” Wat volgens Terra regelmatig nog gebeurt is dat organisaties met het invullen er halverwege pas achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ingeschakeld. “Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf zo blijven evalueren. Maar het kost wel een paar uur extra om aan de volledige informatie te komen.”
Niet-gemelde datalekken
In het jaarverslag van 2021 gaf de toezichthouder al aan dat door de beperkte capaciteit en middelen er niet kan worden geïnvesteerd in de innovatie. “Investeringen zouden het toezicht van de AP effectiever kunnen maken. Bijvoorbeeld door vaak voorkomende toezichtsactiviteiten te automatiseren. Of door een diepgaande analyse van de aan de AP ter beschikking staande bronnen zoals de klachten en datalekmeldingen”, aldus de AP in het jaarverslag.
Met innovatieve oplossingen zou de werklast van meldingen van datalekken kunnen afnemen, maar er zijn ook datalekken die niét gemeld worden. Terra denkt dat juist hier nog winst te behalen is voor gemeenten. “De tijd die door de AP in niet-gemelde datalekken wordt gestoken is bijna verwaarloosbaar. Organisaties melden nu de zichtbare datalekken, maar er is relatief weinig aandacht voor gevallen waarbij het onduidelijk is of er data gestolen is. Zoals bij ransomware-besmettingen waarbij gegevens versleuteld worden door een hacker.”
Volgens Terra wordt er dan vaak maar vanuit gegaan dat er niets is ‘gestolen’. “Maar het is een misvatting dat die data dan niet gestolen kan worden. Dat kan namelijk óók als de data versleuteld zijn. Bij dit soort gevallen, met heel weinig pakkans, wordt er vaak vanuit gegaan dat de AP er toch niet achter zal komen. Bovendien levert een melding alleen maar lastige vragen op. Organisaties worden in feite aangemoedigd om het niet te melden omdat ze dan géén lastige vragen krijgen. De AP maakt zelf een keuze om bijna geen toezicht te houden op niet -gemelde datalekken. Het lastige daarvan is dat je dan de focus legt op zichtbare problemen in plaats van op grote problemen.”
Een woordvoerder van de AP geeft tegenover iBestuur aan dat de tijd die in niet-gemelde datalekken wordt gestoken ‘sowieso minder dan 5% is.” Terra geeft aan dat organisaties er in de praktijk vaak voor kiezen om -als de pakkans laag is- hun ogen te sluiten omdat een melding mogelijk nóg meer werk oplevert.” Wat Terra betreft zou de AP nog meer ‘het verschil’ kunnen maken bij niet-gemelde datalekken. “Besteed daar meer van de beschikbare tijd aan. Dat is geen kwestie van meer capaciteit, die ook nodig is, maar een kwestie van de capaciteit anders verdelen.”
Hoog tijd voor meer efficiëntie
Hoogleraar Recht en de Informatiemaatschappij Gerrit Jan Zwenne van de Universiteit Leiden vindt het net als Floor Terra hoog tijd voor een beter en efficiënter meldproces, zodat gemeenten en andere organisaties worden ontzien van onnodige bureaucratie. Die tijd kan waardevoller worden besteed. “De AP stelt nu dat een melding in 15 tot 30 minuten gemaakt kan worden, maar binnen die tijd zal het nooit mogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en met een klik op de knop kunnen doorzetten naar het meldpunt”, aldus Zwenne.
De AP heeft volgens Zwenne inmiddels diverse belangrijker verbeteringen doorgevoerd, zoals het opnieuw mogelijk maken van bulkmeldingen (die eerder waren afgeschaft, red.), maar melden blijft een tijdrovende klus. “Met een bulkmelding is het mogelijk voor bijvoorbeeld verzekeraars en pensioenfederaties om gelijksoortige meldingen ‘op te sparen’ en periodiek te melden. Daarmee wordt voorkomen dat iedere verkeerd verstuurde brief afzonderlijk moet worden gemeld. Voor zo’n bulkmelding is nog wel vooraf toestemming nodig van de AP. ”
Risicoloze meldingen
Zwenne ziet als advocaat zijnde in de dagelijkse praktijk ook wel eens datalekken langskomen waarbij het de vraag is of ze wel risicovol zijn. “Er zijn daarover veel misverstanden. Datalekken moeten gemeld worden, tenzij er géén risico is voor betrokkenen. In gevallen met een hoog risico, moet het datalek ook aan de betrokken personen zelf moeten worden gemeld. Daar zit een gelaagdheid in die voor organisaties vaak niet helemaal duidelijk is.”
Sommige meldingen die nu gemaakt worden zijn bovendien niet nodig. “Een aantekening in de eigen registers kan al genoeg zijn voor een juiste afhandeling. Toch worden ze gemeld, omdat de onzekerheid groot is en een boete van de AP torenhoog kan zijn.” Zwenne geeft als voorbeeld een mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. "Dat gaat niet altijd goed. Het overkomt ons allemaal wel eens. Maar een melding hoeft niet nodig te zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het bericht niet geopend heeft en direct heeft verwijderd, ook uit ‘deleted items’. De voorwaarde is wel dat je een ontvanger kan vertrouwen. “Daar zit natuurlijk een onzekerheid.”
De Autoriteit Persoonsgegevens krijgt geregeld vragen over datalekken waarbij ransomware of cryptoware is aangetroffen. De AP heeft daarom als onderdeel van de campagne Alert Online informatie over ransomware en datalekken op haar site geplaatst.
Wanneer ransomware bestanden heeft versleuteld waarin persoonsgegevens zijn opgeslagen, is er sprake van een datalek. “Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen”, aldus de AP. De organisatie meldt dat de verantwoordelijke er bij ransom- of cryptoware niet van kan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. “De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.”
Wie precies wil weten wat de daadwerkelijke omvang van een datalek is, zal grondig onderzoek moeten doen. “Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht. Als een verantwoordelijke geen onderzoek doet, moet hij ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.”
De AP schrijft verder dat bij inbreuken op de digitale beveiliging via ransomware er dezelfde criteria gelden voor het melden van het datalek als voor datalekken met een andere oorzaak.
Dit artikel is ook gepubliceerd in het magazine van AG Connect (juni 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.
is redacteur bij AG Connect.