Help, een gegevenslek! Wanneer en hoe melden?

Sinds 1 januari 2016 is in Nederland de nieuwe wet Datalek Meldplicht van kracht. In België geldt deze wet al voor alle telecombedrijven, pas vanaf 2018 wordt de regeling doorgetrokken voor alle overige organisaties. Het gaat om een wijziging van de wet rond de bescherming van persoonsgegevens, en dat op twee belangrijke vlakken:

  • er geldt vanaf nu een strengere meldplicht
  • de Privacycommissie krijgt een grotere boetebevoegdheid

Deze wetswijziging is van belang voor iedereen die te maken krijgt met persoonlijke gegevens. Vooral webshopbeheerders moeten opletten, maar ook 'gewone' websites die met persoonlijke data werken, moeten uitkijken.

Hoewel de nieuwe wet nu al een tijdje van toepassing is, zijn er toch nog een hoop onduidelijkheden: wanneer is het überhaupt van toepassing en wat betekent dat voor jouw organisatie?

De gegevenslek meldplicht kort uitgelegd

Zoals hierboven al vermeld, zijn alle telecombedrijven in België verplicht om melding te doen wanneer er persoonlijke gegevens gelekt zijn. Die melding moeten ze doen bij de Commissie voor de bescherming van de persoonlijke levenssfeer, beter bekend als de Privacycommissie. Vanaf 2018 geldt de wet voor alle Belgische bedrijven.

Een gegevenslek vindt plaats wanneer bijvoorbeeld een hacker in je database met persoonsgegevens geraakt is. In zo'n geval moet je de Privacycommissie contacteren.

Wanneer het om een ernstig geval van dataverlies gaat, moet je ook de betrokken personen op de hoogte brengen; dat zijn dus de mensen van wie de gegevens op straat liggen.

Van beveiligingslek tot meldplicht bij betrokkenen

De wet volgt een getrapt model. Niet elk gegevenslek is hetzelfde en wordt bijgevolg niet gelijkaardig behandeld.

Gegevenslek melden: getrapt model

 

Bij elk beveiligingsincident moet je nagaan wat er juist fout ging en kijken óf er wel persoonlijke gegevens gelekt zijn. Maar let op: de meldplicht rijkt verder dan je denkt. Per ongeluk een mailtje met persoonlijke informatie naar de foute persoon sturen, geldt ook als een datalek. Hoe onschuldig het ook klinkt, zelfs dat moet je in principe aangeven bij de Privacycommissie.

48 uur tijd om te melden

Vanaf je een lek ontdekt hebt, begint de klok te tikken: je krijgt 48 uur de tijd om het gegevenslek te melden. De reden dat bedrijven 2 dagen de tijd krijgen, is opdat ze optimaal kunnen vaststellen hoe groot de schade is. Op die manier wordt ook vermeden dat er halsoverkop moord en brand geschreeuw wordt wanneer er eigenlijk niets aan de hand is.

Tip: Je moet niet elk beveiligingsincident aangeven. Pas als er echt persoonlijke gegevens voor het rapen liggen, spreken we van een gegevenslek.

Vanaf wanneer moet je de betrokkenen bij je gegevenslek informeren?

Aangeven bij de commissie wil niet automatisch zeggen dat je de betrokkenen moet waarschuwen. Pas als het datalek “ongunstige gevolgen kan hebben op de persoonlijke levenssfeer” van de betrokkene, ben je verplicht het te melden. Als we het dan over bankkaartgegevens of een voorval zoals dat van Ashley Madisson - de datingsite voor mensen die graag een scheve schaats rijden - hebben, dan klinkt dat logisch.

Maar vanaf wanneer heeft iets “ongunstige gevolgen”? De omschrijving is op zijn minst gezegd vrij vaag. Het is dus deels aan jou om te bepalen of dat het geval is. Gelukkig is er nog altijd de Privacycommissie die jou laat weten wat de volgende stappen zijn, en of je dus al dan niet de betrokkenen moet waarschuwen.

Encryptie to the rescue!

Gegevenslek vermijden door encryptie of hashingJe kan je gegevens beveiligen door technische maatregelen te nemen zoals een encryptie of hashing. Bij hashing wordt je data door een algoritme door elkaar gegooid zodat die voor een mens onleesbaar is, maar een computer kan die data zo terug bruikbaar maken. Als je dat gedaan hebt, dan ben je niet verplicht de betrokken partijen te verwittigen. Wel moet je de Privacycommissie inlichten.

Enige nadeel: je moet dus ook controleren of je encryptie het lek overleefd heeft. Als dat niet het geval is, moet je wel de betrokken partijen inlichten.

Mogelijks een serieuze boete

Jammer genoeg, maar ergens wel begrijpelijk, zijn er boetes verbonden aan het verliezen van persoonlijke gegevens. Maar let op: als je je gegevenslek aangeeft bij de Privacycommissie betekent dat niet dat je per direct een boete voorgeschoteld krijgt. Meestal krijg je een bindende aanwijzing, die je verplicht je beveiliging te versterken.

Als de overtreding echter opzettelijk gepleegd is of als er sprake is van ernstige nalatigheid, kan die boete wel direct komen. En die is niet mals.

Een boete voor een gegevenslek kan oplopen tot 10 miljoen euro, of 2% van de wereldwijde jaaromzet van desbetreffend bedrijf als dat meer is dan 10 miljoen.

Bij de bepaling van de boete wordt rekening gehouden met volgende factoren:

  • De aard van het gegevenslek
  • De ernst van de situatie
  • De duur van het lek
  • Of het per ongeluk of met kwade bedoelingen was
  • De maatregelen die genomen worden om de schade te beperken
  • Of er sprake is van eerdere datalekken
  • De moeite die genomen wordt om samen met de Privacycommissie op zoek te gaan naar een oplossing.

De bedoeling van de Privacycommissie is dan ook niet om boetes rond te strooien, maar om awareness te creëren, en dat vooral bij partijen die werken met persoonlijke gegevens. Het doel is om elke vorm van schade te beperken.

Wat geldt als 'ernstige nalatigheid'?

Stel dat je persoonlijke gegevens doorverkoopt aan een derde partij, dan geldt dat duidelijk als een overtreding. Maar ‘ernstige nalatigheid’ kan je losser opvatten natuurlijk.

  • Wat als je de laatste Magento software-update gemist hebt?
  • Of wat als je geen SSL-certificaat gebruikt?
  • Misschien heb je niet elke patch tijdig geïnstalleerd?

Over zo’n zaken staat voorlopig nog niets vermeld in de wet. Men heeft het over 'gangbare veiligheidsmaatregelen', maar dat is vrij subjectief natuurlijk. De Privacycommissie beslist tijdens de bepaling van je boete hoe gangbaar je veiligheidsmaatregelen waren. Als hun opvatting echt niet strookt met wat jij in gedachten had, dan is er nog de mogelijkheid om het aan te vechten bij de rechter.

Lees ook: Jouw website altijd beschermd met Automatische Patching bij Combell

Hoe vermijd je een gegevenslek?

  • Houd die ‘gangbare veiligheidsmaatregelen’ in het achterhoofd. Lijst op welke maatregelen jij vereist vindt, zodat je kan aantonen dat je wel moeite doet om zo veilig mogelijk met gegevens om te springen, mocht je ooit in de problemen komen.
  • Schakel over van een http naar een https website, zoals dat gebeurt wanneer je gebruik maakt van een SSL-certificaat. Zo’n certificaat zorgt ervoor dat klantgegevens versleuteld verstuurd worden, en er geen misbruik van gemaakt kan worden.

Lees ook: Gratis Let’s Encrypt beveiliging voor alle Combell hostingklanten

  • Zorg voor een veilige versie van je CMS-systemen. Dat hoeft niet uitdrukkelijk de laatste nieuwe versie te zijn, wel de laatste security release.
  • Hou je patches van bijvoorbeeld je Magentosoftware in de gaten. Als je een mailtje krijgt van Magento over een security patch, zorg dan dat je daar gehoor aan geeft!

Tip voor Combell klanten: schakel Automatische patching in in je My Combell controlepaneel.

  • Houd de activiteit op je site nauwlettend in de gaten. Op die manier is de kans groot dat je een potentiële hacker op het spoor bent nog voor die kwaad heeft kunnen aanrichten. Zorg dat je hen altijd voor bent om een slechte invloed op je imago te vermijden.
  • Bewerk je site niet op openbare computers. Zeker niet als je twijfelt of er misschien keyloggers of verouderde software gebruikt worden.
  • Zorg dat je een actieplan klaar hebt voor als het toch fout gaat. Denk aan een soort van ‘gegevenslek crisisteam' of draaiboek. Hoe uitgebreid dat is, hangt natuurlijk af van de grootte van je organisatie. Houd wel in het achterhoofd dat de tijd om het lek te melden snel voorbij is. Als je voorbereid te werk kan gaan, hebben jij en je team pakken minder stress wanneer het toch fout gaat.

Nog twee jaar de tijd om je optimaal voor te bereiden

Na het lezen van dit artikel ben je het waarschijnlijk met ons eens: naar de Privacycommissie stappen is iets wat je liefst van al vermijdt. Toch moeten we realistisch zijn en toegeven dat er heel wat beveiligingsgevaren loeren op het internet. Ook al heb je als niet-telecombedrijf nog twee jaar de tijd om je volledig voor te bereiden, maak er nuttig gebruik van om gegevenslekken 100% te voorkomen!

Lees ook: Let’s Encrypt: kiezen voor gratis of premium SSL-certificaat?