Wat is een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens betrokken zijn.
Voorbeelden zijn serverhacks waarbij gegevens worden “gestolen”; het kwijt raken van wachtwoorden die toegang geven tot een gegevensbestand; het laten liggen, kwijt raken of gestolen worden van draagbare media zoals laptops, telefoons of USB-sticks; het doorgeven van persoonsgegevens aan een persoon of organisatie die het niet had moeten ontvangen, het laten liggen, kwijt raken of gestolen worden van formulieren.
Om een aantal voorbeelden te geven van zaken die binnen ZSP Netwerk zouden kunnen gebeuren:
- Een ZSP’er die zijn/haar iPad verliest;
- Een manager die abonnement-klant-informatie mailt zonder wachtwoord of naar de verkeerde personen.
Wat is de meldplicht datalekken?
Per 1 januari 2016 is in Nederland het wetsvoorstel voor een brede meldplicht datalekken in werking getreden. Zowel bedrijven als overheden die persoonsgegevens verwerken moeten bij een datalek binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens). Er is sprake van een datalek bij diefstal, verlies of misbruik van persoonsgegevens en er ernstige nadelige gevolgen kunnen zijn voor de privacy van de betrokkenen.
Persoonsgegevens zijn gegevens die directe of indirecte informatie geven over een identificeerbare natuurlijke persoon. Directe informatie over een persoon is bijvoorbeeld iemands naam, geslacht of adres. Gegevens die herleidt kunnen worden naar een bepaalde persoon zijn indirecte persoonsgegevens. Deze gegevens vertellen bijvoorbeeld iets over de maatschappelijke status van een persoon.
Naast de melding bij de Autoriteit Persoonsgegevens, moet de organisatie ook melding van het datalek maken aan de mensen van wie de gegevens kwijt zijn geraakt. Naast deze meldplicht introduceert het wetsvoorstel ook een protocolplicht. De protocolplicht houdt in dat organisaties een overzicht moeten bijhouden van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens.
Voor wie is de meldplicht datalekken van toepassing?
Zowel private als publieke organisaties die persoonsgegevens verwerken zijn verplicht om datalekken te melden. De verantwoordelijke is in veel gevallen de eigenaar van een database met persoonsgegevens, maar het kan ook voorkomen dat een organisatie gebruik maakt van adressenbestanden van derden om bijvoorbeeld een mailing op te sturen.
Stroomschema bij datalekken
Wanneer melden?
Niet alle incidenten hoeven te worden gemeld, alleen de volgende: incidenten waardoor er een “aanzienlijke kans” is op ernstige nadelige gevolgen voor de personen om wiens gegevens het gaat en incidenten die ernstige gevolgen hebben voor de bescherming van persoonsgegevens.
De verantwoordelijke organisatie moet zelf bepalen wanneer er sprake is van dit soort incidenten. Dat is niet altijd even makkelijk. Een paar handvaten:
- het hoeft niet alleen te gaan om het daadwerkelijk verloren gaan van gegevens, ook als er een aanzienlijke kans is dat het gebeurt moet worden gemeld. Bijvoorbeeld bij de ontdekking dat een laptop met veel persoonsgegevens er op is gestolen.
- hoe gevoeliger de gegevens, hoe eerder er een meldplicht is.
- hoe groter het aantal getroffen mensen, hoe eerder er moet worden gemeld. Het vrijkomen van grote getallen gebruikersnamen en wachtwoorden van klanten zou moeten worden gemeld, gaat het om een paar wachtwoorden, dan niet.
Omdat het hier vaak om een grijs gebied gaat instrueert ZSP Netwerk haar ondernemers om dit soort incidenten, ook bij twijfel, altijd direct (binnen 1 uur) te melden bij de operationeel eindverantwoordelijke en Compliance/Privacy Officer.
Alle bedrijven, van commerciële organisaties tot goede doelen en overheden, die persoonsgegevens verwerken, moeten binnen 72 uur na het ontdekken van een datalek melding hiervan doen bij de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) als het lek (kans op) ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen.
ZSP Netwerk is als verwerker verplicht om direct, uiterlijk binnen 4 uur, alle (vermoedelijke) incidenten na constatering te melden bij de verantwoordelijke, ongeacht de omvang en mogelijke gevolgen van het incident. De opdrachtgever van ZSP Netwerk is de verantwoordelijk en zij bepalen uiteindelijk of zij dit gaan melden bij de Autoriteit Persoonsgegevens.
Aangezien ZSP Netwerk de rol als Verwerker heeft en verder niet beslist over de vervolgstappen instrueert de organisatie haar medewerkers om geen actie te ondernemen tot nader order volgt. Hiermee bedoelt ZSP Netwerk dat er geen contact opgenomen zal worden met politie/winkeliers/buurtbewoners etc. Dit omdat de opdrachtgever bevoegd is om te beslissen wat er gedaan moet worden. Indien zij ons de opdracht geven uit te zoeken wat er daadwerkelijk heeft plaatsgevonden zal ZSP Netwerk alle medewerking verlenen.
Datalek Project Team
Zodra er geconstateerd is dat er (vermoedelijk) een datalek incident binnen ZSP Netwerk heeft plaatsgevonden, wordt er direct een datalek project team gemaakt. Operationeel eindverantwoordelijke richt dit team op en maakt een WhatsApp groep aan met alle betrokkenen: Commercieel Director, Accountmanager en de Compliance/Privacy Officer & het directieteam (operationeel-, commercieel & algemeen directeur). De operationeel eindverantwoordelijke van ZSP Netwerk wordt automatisch projectleider van dit team.
Wat melden?
Om ervoor te zorgen dat de opdrachtgever kan voldoen aan de aan haar gestelde kennisgevingsverplichting, dient ZSP Netwerk als Verwerker direct na het ontdekken van een (vermoedelijke) beveiligingsincident of datalek (uiterlijk binnen 4 uur na ontdekkind) dit te delen met de opdrachtgever. De kennisgeving aan opdrachtgever omvat in ieder geval:
- de aard van het beveiligingsincident;
- de contactpersonen (inclusief hun exacte contactgegevens) bij Verwerker waar meer informatie over het beveiligingsincident kan worden verkregen;
- de door Verwerker aanbevolen maatregelen om de negatieve gevolgen van het beveiligingsincident te beperken;
- de geconstateerde en de vermoedelijke gevolgen van het beveiligingsincident voor de verwerking van de Persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
- het type Persoonsgegevens waar het beveiligingsincident betrekking op kan hebben;
- de hoeveelheid Persoonsgegevens (de omvang van de bestanden) waar het beveiligingsincident betrekking op kan hebben;
- de exacte datum en tijd van het beveiligingsincident.
Aan wie melden?
ZSP Netwerk meldt een vermoedelijk incident aan de Verantwoordelijke (onze opdrachtgever) en ondersteunt deze om aan de meldplicht te kunnen voldoen. Binnen 72 uur moet deze melding gedaan worden bij de Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens). Daarnaast zal het datalek moeten worden gemeld aan de betrokkenen om wiens persoonsgegevens het gaat als het lek “waarschijnlijk ernstige gevolgen zal hebben voor de persoonlijke levenssfeer” van de betrokkenen.
Let op: Er is een belangrijke uitzondering op de plicht om een datalek te melden aan de betrokkenen: als de gegevens voldoende beschermd (meestal “encrypted”) zijn zodat niet te achterhalen is om wiens gegevens het gaat, hoeft niet te worden gemeld. Dit moedigt uiteraard aan om gegevens zoveel mogelijk te encrypten. Iets wat vanuit beveiligingsoogpunt al de voorkeur verdient.
Interne escalatie schema
ZSP Netwerk heeft als Verwerker de plicht richting de verantwoordelijke (opdrachtgever) om binnen 4 uur een datalek incident te melden. Hieronder staat het interne escalatie schema uitgewerkt.
- Operatie/Staff afdelingen (Support, ICT, Callcenter)
- CPO/Directie/Accountmanager (max 1 uur)
- Opdrachtgever (max 4 uur)
- Autoriteit Persoonsgegevens (<72uur)
- Operationeel eindverantwoordelijk ZSP: Hein Luinstra: 06-28615645
- Accountmanager: Jeppe Stroosnijder 06-48141521
- Compliance en Privacy Officer: Debbie Regtop 06-25173061
- Directie: Koen Legdeur 06-42121663, Frank Blaauw 06-34557353, Job Legdeur 06-10306807
Wat te doen na de constatering van een datalek?
Nadat een datalek is geconstateerd en eventueel gemeld bij de opdrachtgever, is het van belang om onderzoek te doen naar de datalek en maatregelen te nemen, om te voorkomen dat het een volgende keer gebeurt. De opdrachtgever bepaald of er daadwerkelijk onderzoek uitgevoerd dient te worden.
Alle stappen die ondernomen worden in dit onderzoek moeten worden bijgehouden in een logboek. Daarin moet worden opgenomen wat er aan de toezichthouder is gemeld en – als melding aan de betrokkenen nodig was – wat er aan de betrokkenen is gemeld. ZSP Netwerk houdt een logboek bij met alle (vermoedelijke) incidenten, met daarbij de administratie. De registraties in deze administratie dienen minimaal 3 jaar bewaard te blijven. De verantwoordelijke mag de administratie te allen tijde en zonder toestemming vooraf inzien.
Het logboek bestaat uit de volgende elementen en wordt ook wel protocolplicht genoemd:
- Datum en tijd incident;
- Datum en tijd constatering;
- Datum en tijd melding verantwoordelijke;
- Project;
- Unit;
- Werver;
- De aard van het beveiligingsincident;
- De contactpersonen bij Verwerker waar meer informatie over het beveiligingsincident kan worden verkregen;
- De contactgegevens van de contactpersoon;
- Het type Persoonsgegevens waar het beveiligingsincident betrekking op kan hebben;
- Het aantal personen van wie de persoonsgegevens betrokken zijn bij het incident;
- De hoeveelheid Persoonsgegevens (de omvang van de bestanden) waar het beveiligingsincident betrekking op kan hebben;
- De mogelijke gevolgen van het incident voor de betrokkenen;
- Is het incident nog actief of reeds verholpen?;
- De door Verwerker aanbevolen maatregelen om de negatieve gevolgen van het beveiligingsincident te beperken;
- De geconstateerde en de vermoedelijke gevolgen van het beveiligingsincident voor de verwerking van de Persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
- De aanbevolen maatregelen van de Verwerker om herhaling in de toekomst te voorkomen?;
- Is er aangifte gedaan bij de Autoriteit Persoonsgegevens en/of Politie?;
- Indien ja: Wanneer is er aangifte gedaan?;
- Is er controle uitgevoerd door de Compliance en Privacy Officer?;
- Indien ja: Wanneer is de controle uitgevoerd?;
De Accountmanager heeft dagelijks contact met de Verantwoordelijke (opdrachtgever) totdat het incident opgelost en waar nodig gemeld is. Bij afwezigheid van de Accountmanager neemt de Commercieel Director deze rol over.
Logboek datalek
Medewerking verlenen
In de verwerkersovereenkomst kan de opdrachtgever stellen dat ZSP Netwerk alle medewerking moet verlenen aan de verantwoordelijke/opdrachtgever, die redelijkerwijs van Verwerker kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthouder
- om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;
- om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of
- om de schade van Opdrachtgever als gevolg van de inbreuk te beperken.
Wat als het lek bij een derde van ZSP Netwerk plaatsvindt?
Veel organisaties laten gegevens hosten of op een andere manier “verwerken” door een externe dienstverlener, zoals in de cloud. Deze dienstverleners worden op grond van de nieuwe wet niet verplicht om een datalek te melden bij de toezichthouder of de betrokkenen. De uitbestedende organisatie moet dat doen. Met de nieuwe wet wordt het wel verplicht om met de Verwerker af te spreken dat hij datalekken aan de verantwoordelijke meldt. Dit moet staan in de “verwerkersovereenkomst” tussen uw organisatie en de dienstverlener, welke overeenkomst verplicht is. Als in de Verwerkersovereenkomsten nog niet een verplichting voor de dienstverlener om datalekken te melden staat, is aan te raden dat op te nemen. Dat geldt ook los van de nieuwe wet.