Komend jaar krijgt de Wet bescherming persoonsgegevens (Wbp) tanden en zal er ook een meldplicht voor datalekken ontstaan. Over de veranderingen in de wetgeving is al het nodige geschreven, maar nu begint ook wat duidelijker te worden hoe de toezichthouder de praktijk voor zich ziet. Want het College Bescherming Persoonsgegevens (CBP) heeft in oktober een consultatie gehouden over de richtsnoeren die het wil gaan hanteren voor de meldplicht datalekken.. Dit artikel is eerder in Automatiseringgids verschenen gebaseerd op de concept-versie uit oktober, maar aangevuld met de wijzigingen in de definitieve versie van 9 december waarbij de richtsnoeren beleidsregels zijn geworden.
-
Op wie is de meldplicht datalekken van toepassing?
Iedereen in Nederland die persoonsgegevens verwerkt (of laat verwerken) is aan de meldplicht onderhevig, met uitzondering van inlichtingen-, veiligheids- en opsporingsdiensten. Dus eigenlijk iedereen die aan de Wet bescherming persoonsgegevens (Wbp) onderworpen is. Dat betekent ook dat een datalek dat plaatsvindt bij een buitenlandse onderaannemer van een Nederlandse partij, gemeld moet worden bij het CBP (en eventueel aan de betrokkenen, hierover later meer).
-
Wat is een datalek?
De toezichthouder ziet dat breed, in de beleidsregels worden de volgende voorbeelden gegeven:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
- een malware-besmetting;
- een calamiteit zoals een brand in een datacentrum.
Kort samengevat komt het neer op ‘verlies of een onrechtmatige verwerking van persoonsgegevens’ die ‘(een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ kan hebben. Dus ook dataverlies zonder kans dat een derde de data in handen heeft gekregen. Het door het CBP gegeven voorbeeld van verzending van een e-mailing waarin alle geadresseerden zichtbaar zijn voor de andere geadresseerden, lijkt mij niet altijd aan dat criterium te voldoen, bijvoorbeeld bij verzending aan alle leden van de voetbalvereniging. Maar de HIV-kliniek die dat onlangs deed met al haar HIV-positieve patienten, duidelijk weer wel. De beleidsregels geven ook nadrukkelijk aan dat deze afweging sterk samenhangt met de volume en de gevoeligheid van de gegevens.
-
Hoe snel moet er gemeld worden?
De beleidsregels zeggen dat er uiterlijk 72 uur na ontdekking van het datalek er in ieder geval een voorlopige melding bij de toezichthouder moet worden gedaan. Een voorlopige melding kan nog worden ingetrokken. Dit leidt tot de interessante vraag vanaf wanneer die 72 uur nu gerekend moeten worden, zeker als er een keten van onderaannemers (‘bewerkers’) betrokken is bij de verwerking en het datalek bij zo’n onderaannemer heeft plaatsgevonden. Moeten we rekenen vanaf het moment dat de eerste onderaannemer het datalek heeft geconstateerd of vanaf het moment dat de opdrachtgever (de ‘verantwoordelijke’) hier van wist? Gezien de structuur van de Wbp, waarbij alle handelingen van bewerkers aan de verantwoordelijke worden toegerekend, valt te verwachten dat de toezichthouder het standpunt in zal nemen dat het eerste het geval is. De Wbp en de wetsgeschiedenis zwijgen hier echter over. Linksom of rechtsom betekent dit wel dat de contracten met leveranciers hier in moeten voorzien en valt het veiligheidshalve aan te bevelen om hier met kortere deadlines dan 72 uur te gaan werken.
-
Bij wie moet er gemeld worden?
In ieder geval bij de toezichthouder (die vanaf 1 januari 2016 Autoriteit Persoonsgegevens heet), maar in die gevallen dat er mogelijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen (degenen waar de data betrekking op hebben) zijn, dan moet er ook bij de betrokkenen gemeld worden, tenzij er sprake is van zwaarwegende redenen waarom dat niet zou moeten gebeuren. Bij iedere melding bij het CBP (straks AP) van datalekken moet aangegeven worden of er ook bij betrokkenen gemeld zal worden en zo niet, waarom dit achterwege kan blijven. Het CBP kan eisen dat dit alsnog gebeurt. Het belangrijkste voorbeeld dat het CBP heeft als een situatie waarin niet aan betrokkenen gemeld hoeft te worden, is als er sprake is van (sterke) versleuteling.
-
Wanneer is er sprake van voldoende sterke versleuteling?
Het CBP verwijst daarvoor naar een rapport van ENISA (een soort Euro-NCSC) uit 2014. Algoritmes die in dat rapport gekwalificeerd zijn als geschikt voor ‘future use’ zijn voorlopig sterk genoeg in de ogen van het CBP. Hierbij moet worden gedacht aan algoritmes als AES, SHA-2, SHA3 en RSA. Dat betekent ook dat in datzelfde rapport als ‘legacy algorithms’ betitelde algoritmes hier niet aan voldoen. Voorbeelden hiervan zijn 3DES, Blowfish, DES, SHA-1, MD-5, A5/1, A5/2 en RC4. Met name de hashing algoritmes SHA-1 en MD-5 zijn nog dusdanig wijdverspreid in gebruik voor bijvoorbeeld wachtwoorddatabases dat het aan te bevelen valt om alert te zijn op de gebruikte techniek alvorens te besluiten niet tot melding aan de betrokkenen over te gaan. Ook de gekozen sleutellengte zal kritisch bekeken moeten worden in het kader van deze afweging. De richtsnoeren spreken over ‘toekomstvast voor de komende 10 tot 50 jaar’, wat wellicht wat ambitieus is. Aangezien ENISA bij bijvoorbeeld AES adviseert om een sleutellengte van 256 bits te hanteren voor de langere termijn, lijkt de conclusie voor de hand te liggen om in het geval dat een gelekte database met AES maar met een sleutellengte van minder dan 256 bits versleuteld is, het datalek toch maar aan de betrokkenen te melden. Het CBP zet stevig in, gezien de voorbeelden van de overwegingen op grond waarvan een datalek niet aan de betrokkenen gemeld hoeft te worden:
- bij de versleuteling van het bestand is gebruik gemaakt van combinatie van algoritme en sleutellengte die door het ENISA in een actuele (niet door een recentere publicatie achterhaalde) handreiking wordt beoordeeld als ‘toekomst-vast voor de komende 10 tot 50 jaar’;
- met betrekking tot het gebruikte algoritme en de implementatie daarvan zijn geen kwetsbaarheden bekend;
- de implementatie is met goed gevolg beoordeeld door een onafhankelijke deskundige;
- het bestand zelf was versleuteld, dus de versleuteling was niet afhankelijk van automatische vergrendeling die in het specifieke geval mogelijk niet heeft gewerkt;
- de sleutel is niet gelekt;
- gezien de aard van het datalek, de verwerking en de gelekte gegevens is het restrisico acceptabel.
Dit zijn geen overwegingen die gemakkelijk in 72 uur gemaakt kunnen worden, maar uit de redactie van de Wbp valt niet op te maken of het ‘onverwijld’, dat van toepassing is voor de melding aan de betrokkenen, gerekend moet worden vanaf het moment dat het duidelijk is dat er een datalek is of vanaf het moment dat duidelijk is dat de betrokkenen hier mogelijk nadelige gevolgen van onder vinden. De beleidsregels laten de vraag hoe snel het ‘onverwijld’ aan de betrokkenen gemeld moet worden, open. Maar aangezien de concept-richtsnoeren nog ‘het in een beurskoersgevoelige overname verwikkeld zijn’ van verantwoordelijken als voorbeeld gaven van een zwaarwegende reden om een melding aan betrokkenen uit te stellen, zou het kunnen zijn dat het CBP hier wat rekkelijker in is dan over de melding aan het CBP zelf. Overigens vermelden de beleidsregels nadrukkelijk dat de financiële en organisatorische last van het doen van de melding aan betrokkenen slechts in uitzonderlijke situaties een geldige reden is om de melding aan de betrokkenen achterwege te laten.
-
Wat moet er gemeld worden?
De beleidsregels bevatten een vrij uitvoerige beschrijving van welke gegevens een melding aan het CBP in ieder geval dient te bevatten. De melding aan de betrokkenen wordt door het CBP meer vrijgelaten, maar wel lijkt het CBP van mening te zijn dat een melding aan betrokkenen zonder aanwijzingen voor de betrokkenen om zich te wapenen tegen eventueel misbruik door derden, niet voldoende is. Overigens moet de inhoud van een eventuele melding aan de betrokkenen eveneens aan het CBP worden gemeld.
-
Zijn er nog uitzonderingssituaties?
Die zijn er, bijvoorbeeld voor financiële instellingen, die zijn uitgezonderd van hun meldplicht aan de betrokkenen als zij die al hadden uit hoofde van de Wet financieel toezicht (Wft). Dit om dubbele melding te voorkomen. Een andere is die voor bedrijven die onder de meldplichten van de Telecommunicatiewet (Tw) vallen, die krijgen ééen loket voor twee meldingen, één uit hoofde van de Tw en één uit hoofde van de Wbp. Bij de melding uit hoofde van de Wbp hoeven zij alleen datgene aan het CBP te melden wat zij niet al aan de Autoriteit Consument en Mededinging (ACM) moesten melden. Ook hiervoor geldt dat er gestreefd is om dubbel werk te voorkomen.
-
Wat nu als ik een datalek niet meld?
Het CBP gaat per 1 januari 2016 tevens een boetebevoegdheid krijgen en die strekt zich tevens uit tot de meldplicht datalekken. Zeker als er bewust niet gemeld wordt, zal die boetebevoegdheid zonder meer gebruikt mogen worden. En het valt te verwachten dat het CBP hier zonder schroom gebruik van zal maken in zo’n situatie. De hoogte van de boete kan stevig oplopen: maximaal 820.000 euro (per 1 januari 2016 verhoogd) of 10 procent van de jaaromzet als de omstandigheden daar aanleiding toe geven. Over die boetebevoegdheid heeft het CBP concept-beleidsregels gepubliceerd.