Is een datalek pas een datalek als je zeker weet dat er data is gelekt?
30/05
2016
2016
Onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een backup-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu niet of werkelijk die backup is gedownload door de inbreker. Is dit een datalek en moeten wij dit melden?
De wet (art. 34a Wbp) spreekt van een datalek als sprake is van een “inbreuk op de beveiliging” van persoonsgegevens. Dit moet worden gemeld als er een “aanzienlijke kans op ernstige nadelige gevolgen” is voor de betrokkenen. Een hack waarbij men er vandoor gaat met een backup van klantgegevens zou ik wel als een inbreuk op de beveiliging kwalificeren. Of je die moet melden, hang af van het soort klantgegevens. Bij enkel het bestand van de nieuwsbrief denk ik dat niet, bij NAW + creditcardgegevens zeker wel.
De vraag is dus nu, ís er zo’n hack geweest? Vast staat het niet, maar uitsluiten kun je het ook niet. En dan moet je kiezen als wetgever – of als toezichthouder. Voor de zekerheid als datalek markeren, of pas iets een datalek noemen als het bewijs er ligt?
De toezichthouder (Autoriteit Persoonsgegevens) heeft beleidsregels gepubliceerd over hoe om te gaan met datalekken. Het criterium dat men hier hanteert, is of je “redelijkerwijs kunt uitsluiten” dat er toegang is geweest tot persoonsgegevens. Alleen dan hoef je het incident niet als datalek te behandelen. Men kiest dus voor de zekerheid, liever een lek te veel dan een te weinig gemeld.
Hier valt zeker niet uit te sluiten dat het backupbestand is opgevraagd. Zulke bestanden zijn immers aantrekkelijk voor criminelen, omdat er van alles bij elkaar staat. Leuke buit dus. En daarom moet dit incident als een datalek worden behandeld.
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!
Datum: maandag 30 mei 2016, 08:18
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Moet je ieder theoretisch mogelijk datalek al melden bij de toezichthouder? (11/07/18 08:17)
- Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen (23/07/15 08:05)
- Moet je betrokkenen vertellen dat je een melding bij de AP hebt gedaan van hun datalek? (16/03/20 08:10)
- Is tijdelijke onbeschikbaarheid van persoonsgegevens ook een datalek? (29/04/24 08:09)
- Is verlies van data ook een datalek? (23/03/16 08:18)
Reacties:
Er zijn nog geen reacties op dit bericht.