Een datalek kost 820.000 euro, maar wat is nou een datalek

De nieuwe datawet. Of nouja, nieuw. In 2016 werd de wet al geïntroduceerd en de boodschap was simpel: een datalek moet je melden. Alleen wat is nou een datalek? Voer tot discussie, die als je niet uitkijkt maximaal 820.000 euro kan kosten. Natuurlijk, als je gehackt wordt en je database op straat ligt dan weten we allemaal dat het een datalek is. Maar wat doe je als een laptop, computer of usb stick kwijt is, of een menselijke fout is gemaakt?

 

Situatie 1:

Er is een laptop, usb stick, of computer gestolen waarop persoonsgegevens van gevoelige aard staan.

Dit is een zuivere datalek. Maar staan er geen gevoelige gegevens op dan is het een beveiligingsincident en hoeft er niets gemeld te worden. Ondanks het devies: een datalek moet je melden, hoef je dus niet alles te melden. Sterker nog: Als het gaat om een privé computer, of telefoon, dan hoeft het ook niet gemeld te worden. De wet gaat alleen over bedrijfsmiddelen. Uiteraard kun je je afvragen of je beleid goed op orde is als gegevens op privé apparatuur van medewerkers staat.

 

Situatie 2:

Er zijn gegevens terecht gekomen bij de verkeerde klant door een menselijke fout. De software heeft echter precies gedaan wat het moest doen. Er was geen sprake van een beveiligingsprobleem. Betrokkenen zijn direct geïnformeerd.

Dit is er één uit eigen boezem. Een menselijke fout gemaakt medio 2016. In een bepaalde module van onze software hadden we een verkeerd ontvangersadres ingevoerd. Een andere klant van Coachview ontving een dag later 25 emails met daarin afzenders van een andere klant. Stom, onhandig en opgelost in 3 klikken. De betrokken klanten informeerden we direct. Maar de vraag rees onmiddelen: is dit een datalek dat we moeten melden? Die discussie voerden we lang. Uiteindelijk besloten we om het niet te melden, vanwege de kleine schaal en de snelle acties die we hadden genomen. De betrokken klant waar de mailadressen van waren wilden het wel graag melden en dat moedigen wij alleen maar aan. Maar hoe zit het nu precies? Wanneer moet je wel en niet melden. Daarom een checklist.

 

Is het een datalek? In 5 stappen weet je het.

  1. Persoonsgegevens worden geheel of gedeeltelijk automatisch verwerkt.

Check in ons geval emailadressen.

  1. De persoonsgegevens worden verwerkt door een verantwoordelijke in Nederland.

Check: Coachview.

  1. Is er sprake van inbreuk op de beveiliging? 

Nee. Het is een bestaand proces dat is ingericht op een bepaald emailadres. Buiten Coachview medewerkers om, kan niemand dit proces beïnvloeden. Volgens het Autoriteit Persoonsgegevens (AP) is het dan geen datalek. Ondanks dat we emails hebben gelekt. Maar wat als er wel sprake was van inbreuk van de beveiliging? Dan heb je nog 2 checks?

  1. Zijn bij de inbreuk persoonsgegevens verloren gegaan?

Ja = dit is een datalek. Nee: dan is het nog niet zeker een datalek.

  1. Kun je uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt? (Via logs en de maatregelen die je hebt genomen.)
    Ja = geen datalek. Nee = een datalek.

 

Welke datalekken moet je melden?

 

De Autoriteit Persoonsgegevens (AP) zegt het volgende: “

U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

 

Oké, Maar wat zijn ernstige nadelige gevolgen?

Als de gelekte data kan leiden tot identiteitsfraude, stigmatisering of uitsluiting van een betrokkene, zijn dat behoorlijk nadelige gevolgen. Maar ook gegevens over de financiële administratie van de betrokkene, gegevens over ras of geloofsovertuiging en inloggegevens kunnen ernstige gevolgen hebben. In ons geval lekten we 25 emails. Als het een inbreuk op de beveiliging was, kwam dit overeen met het lekken van een sportadministratie. Daarover zegt het AP ongeveer: dat het vervelend is voor de betrokkenen. Iemand kan bijvoorbeeld spam sturen naar het emailadres. Maar verder richt het geen schade bij. Bij een emailadres kan je je echter nog afvragen of het logingegevens zijn. In ons geval was ook daar geen sprake van.

 

Ga jij je schamen voor een datalek?

Ja en nee. Natuurlijk is een datalek niet het hoogtepunt op je CV of showreel. Aan de andere kant zie je ook dat grote namen veel te maken hebben met datalekken. Van gemeentes tot grote bedrijven als LinkedIn, Yahoo, Adobe, Sony enzovoorts. Bedrijven waarvan we denken ze het goed op orde hebben. Alleen in 2016 kwamen er al 5500 meldingen binnen. Helaas is software net zo imperfect als de mens zelf. Er sluipt weleens een foutje in. Wij geloven dat als je het open kaart speelt meer vertrouwen wekt, dan als iemand er later zélf achter komt. Tuurlijk, als je veel datalekken hebt, is dat een signaal dat er iets niet goed zit. Maar anders is het balen, repareren en doorgaan.

 

Bronnen: