Sinds 1 januari 2016 geldt de meldplicht datalekken. Belangrijke vraag is echter wanneer er sprake is van een datalek. In dit artikel gaan we hier wat uitgebreider op in. Om te bepalen of er sprake is van een datalek en welke actie hierop ondernomen moet worden kan gebruik gemaakt worden van onderstaand schema. Dit schema wordt in dit artikel verder toegelicht.
/Verwerking van persoonsgegevens
Op de eerste plaats is het van belang dat er volgens de wet pas sprake kan zijn van een datalek als er persoonsgegevens worden bewerkt. Hierbij zijn dus twee zaken van belang:
- Het moet gaan om persoonsgegevens;
- Er moet sprake zijn van het verwerken van deze gegevens.
Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbaar persoon. Hierbij zijn een aantal zaken van belang:
- Het gaat hier om natuurlijke personen en dus niet om gegevens van bedrijven;
- Wanneer de gegevens encrypt zijn is er nog steeds sprake van een persoonsgegeven volgens de wet.
Onder het verwerken van persoonsgegevens wordt elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens verstaan. Hierbij kan onder andere worden gedacht aan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
/Beveiligingslek
Op de eerste plaats dient er sprake te zijn van een beveiligingslek. Dit wordt ook wel omschreven als dreiging of een tekortkoming in de beveiliging. Zolang er geen gebruik wordt gemaakt van deze tekortkoming, blijven we spreken van een beveiligingslek. Op het moment dat er wel gebruik wordt gemaakt van deze tekortkoming, spreken we van een beveiligingsincident.
/Beveiligingsincident
Bij een beveiligingsincident is er niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, en de preventieve maatregelen die u eventueel heeft getroffen waren niet toereikend om dit te voorkomen.
Bij beveiligingsincidenten moet u bijvoorbeeld denken aan:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- een malware-besmetting;
- een calamiteit zoals een brand in een datacentrum.
/Datalek
Een beveiligingsincident wordt een datalek op het moment dat er persoonsgegevens betrokken waren bij het incident en een van onderstaande elementen van toepassing is:
- Er persoonsgegevens verloren zijn gegaan;
- U kunt niet redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt.
/Voorbeeld verwijderde database
Wanneer een systeembeheerder een database met persoonsgegevens verwijderd en deze vervolgens weer hersteld kan worden op basis van een complete en actuele backup is er geen sprake van een datalek. Wanneer er geen backup van de database aanwezig is, is er wel sprake van een datalek.
/Voorbeeld inloggegevens verstrekt aan derden
Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens.
Als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.
/Voorbeeld Malware
Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller. Een dergelijke malware-besmetting stelt de getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen van onrechtmatige verwerking. Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren (‘ransomware’) of te versleutelen (‘cryptoware’). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.
/Datalek melden
Het feit dat er sprake is van een datalek wil nog niet zeggen dat het datalek daadwerkelijk gemeld hoeft te worden. Dit is pas zo op het moment dat er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Wanneer dit wel en niet het geval is valt buiten het onderwerp van dit artikel.
Bron: autoriteitpersoonsgegevens.nl