De European Data Protection Board (EDPB) heeft nieuwe concept guidelines inzake datalekmeldingen gepubliceerd. In deze guidelines beschrijft de EDPB een aantal voorbeelden van veelvoorkomende datalekken. Daarbij wordt ingegaan op wanneer een melding vereist is en welke maatregelen er kunnen worden getroffen om de gevolgen van het datalek te beperken. Verder geeft de EDPB concrete voorbeelden van mogelijke vooraf te treffen beveiligingsmaatregelen die dergelijke datalekken zoveel mogelijk zouden kunnen voorkomen.
Datalekken en de AVG
Op grond van de Algemene Verordening Gegevensbescherming (AVG) is een datalek: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
In dat geval is de verwerkingsverantwoordelijke verplicht om daarvan zo spoedig mogelijk – doch uiterlijk binnen 72 uur nadat zij er kennis van heeft genomen – melding te doen bij de Autoriteit Persoonsgegevens. Indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, dan dient dit datalek daarnaast óók te worden gemeld aan de betrokkenen.
Algemene richtsnoeren datalekken
In de praktijk kan het soms nogal lastig zijn om te beoordelen of 1) er sprake is van een datalek, 2) melding daarvan aan de Autoriteit Persoonsgegevens vereist is en 3) of het datalek aan de betrokkenen dient te worden gemeld. De voorloper van de EDPB – een samenwerkingsverband van Europese privacytoezichthouders – heeft daarom in het verleden reeds voor de praktijk algemene richtsnoeren inzake datalekken gepubliceerd. Deze algemene richtsnoeren beogen de praktijk te helpen bij de te maken afwegingen rondom datalekken.
Nieuwe concept guidelines datalekmeldingen
Niettemin blijven – ook met de hiervoor bedoelde algemene richtsnoeren – de te maken afwegingen rondom datalekken voor de praktijk lastig. De EDPB heeft daarom nieuwe concept guidelines vastgesteld. Deze concept guidelines vormen een aanvulling op de reeds bestaande algemene richtsnoeren over datalekken.
De EDPB herhaalt in deze concept guidelines allereerst een aantal belangrijke verplichtingen rondom datalekken uit hoofde van de AVG. Daarbij benadrukt zij onder meer het belang dat iedere verwerkingsverantwoordelijke over beleid en procedures zou moeten beschikken om datalekken snel te herkennen en daarmee adequaat om te kunnen gaan. Ook zijn periodieke trainingen van en bewustwording onder het personeel van essentieel belang.
Voorbeelden veelvoorkomende datalekken
De EDPB gaat vervolgens in deze concept guidelines in op diverse in de praktijk veelvoorkomende datalekken. De diverse beschreven voorbeelden zijn – kort gezegd – als volgt te categoriseren:
- ransomware-aanvallen / gijzelsoftware;
- diefstal en misbruik van persoonsgegevens;
- menselijke fouten;
- verlies en diefstal van apparatuur en documenten;
- verkeerd verzonden post, e-mail en andere berichten;
- identiteitsdiefstal;
- gehackte e-mailaccounts.
Bij deze voorbeelden geeft de EDPB richting over of het datalek in de betreffende voorbeeldsituatie zou moeten worden gemeld aan de Autoriteit Persoonsgegevens en eventueel ook aan de betrokkenen. Verder beschrijft de EDPB maatregelen die verwerkingsverantwoordelijken in voorkomende gevallen zouden kunnen treffen om de gevolgen daarvan te beperken.
Onze interesse wordt daarnaast gewekt doordat de EDPB beschrijft welke beveiligingsmaatregelen verwerkingsverantwoordelijken preventief hadden kunnen treffen om de betreffende datalekken te voorkomen. Daarmee krijgt de praktijk concrete handvatten voor de mogelijk vooraf te treffen beveiligingsmaatregelen.
Voorbeeld ransomware-aanval
Het voert in het kader van deze nieuwsbrief te ver om alle voorbeelden uit de guidelines te bespreken. In plaats daarvan staan wij kort stil bij het illustratieve voorbeeld van een ransomware-aanval. Bij een dergelijke aanval versleutelt de aanvaller persoonsgegevens van de verwerkingsverantwoordelijke en geeft deze pas weer vrij nadat er losgeld is betaald. Dit kan een ontwrichtend effect hebben op de organisatie van de verwerkingsverantwoordelijke, aangezien er sprake is van een inbreuk op de beschikbaarheid en vertrouwelijkheid van de persoonsgegevens. Recentelijk kwam in het nieuws dat cybercriminelen de volledige dienstverlening van de gemeente Hof van Twente hebben platgelegd. De volledige administratie van de gemeente was daarbij gegijzeld en er waren geen back-ups gemaakt.
De gemeente Hof van Twente had – op grond van de in de concept guidelines genoemde voorbeelden – mogelijk van tevoren een aantal specifieke organisatorische, fysieke en technische beveiligingsmaatregelen kunnen treffen om 1) een dergelijke ransomware-aanval te voorkomen èn 2) de gevolgen daarvan te beperken. Bijvoorbeeld door te beschikken van een goed patch-beheer en het gebruik maken van een geschikt anti-malware-detectiesysteem. Ook had het beschikken over een goede en aparte – gescheiden van de hoofdsystemen – back-up kunnen helpen om de gevolgen van een ransomware-aanval zoveel mogelijk te beperken. Voornoemd voorbeeld bij de gemeente Hof van Twente en de toepassing van de concept guidelines is overigens louter ter illustratie bedoeld. De precieze details van de situatie bij de gemeente Hof van Twente zijn ons niet bekend.
Tot slot
Kortom, de nieuwe concept guidelines kunnen – naast de bestaande algemene richtsnoeren – voor de praktijk nuttige en aanvullende inzichten opleveren. Dit concept stond voor consultatie open tot 2 maart 2021. De EDPB zal naar verwachting binnenkort de definitieve versie van deze guidelines vaststellen.