Datalekken: verschil tussen versies
Geen bewerkingssamenvatting |
|||
| (5 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
Sinds 25 mei 2018 zitten we met de [[AVG]]. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor [[Over de organisatie|Het Handje]] wanneer een datalek plaatsvindt dat ernstig genoeg is. | Sinds 25 mei 2018 zitten we met de [[AVG]]. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor [[Over de organisatie|Het Handje]] wanneer een datalek plaatsvindt dat ernstig genoeg is. Een organisatie die [[persoonsgegevens]] niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op flinke boetes. Om maar niet te spreken over de mogelijke reputatieschade die het gevolg kan zijn van het onzorgvuldig omgaan met een (mogelijk) datalek. Wat betekent dit nou allemaal voor [[Over de organisatie|Het Handje]]? Hieronder staan we stil bij vragen zoals: wanneer is iets een datalek? Wat doe je als een datalek plaatsvindt en wanneer/hoe moet je melden? En, aan wie eigenlijk? | ||
Wil je meer weten over de concrete stappen die je binnen Het Handje moet nemen wanneer je een datalek hebt gespot of vermoedt? Check dan [[Omgang met datalekken binnen Het Handje|'Spelregel: omgang met datalekken]]'. | |||
=== Wat is een datalek? === | === Wat is een datalek? === | ||
In de [[Omgang met datalekken binnen Het Handje|'Spelregel: omgang met datalekken']] werd de definitie al even toegelicht. Een datalek wordt in de AVG een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging ('''voorbeeld''': het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn. | |||
==== Beveiligingsincident vs. datalek ==== | |||
Een datalek ontstaat dus altijd doordat er een inbreuk op de beveiliging heeft plaatsgevonden. Zo'n inbreuk kan ontstaan doordat er sprake is van een beveiligingslek (denk aan het niet op slot doen van een kast met gevoelige documenten). Leidt een zwakke beveiliging (een beveiligingslek) tot een beveiligingsincident én zijn daar persoonsgegevens bij betrokken (iemand zonder de bevoegdheid opent de kast en neemt documenten met persoonsgegevens mee) dan is er dus sprake van een datalek. | |||
Je kan dus beveiligingsincidenten hebben die geen datalekken zijn, maar je hebt andersom geen datalekken die geen beveiligingsincident zijn. | |||
==== Aard van de inbreuk en aard van het incident ==== | |||
De aard van de inbreuk is terug te herleiden tot het type of de aard van het beveiligingsincident dat heeft plaatsgevonden. Hier zijn verschillende type inbreuken mogelijk: | |||
* Een inbreuk op de vertrouwelijkheid | |||
* Een inbreuk op de integriteit | |||
* Een inbreuk op de beschikbaarheid | |||
De aard van de <u>inbreuk</u> volgt uit dus uit de aard van het ''beveiligingsincident''. | |||
* Een <u>inbreuk op de vertrouwelijkheid</u> (inbreuk) kan bijvoorbeeld ontstaan doordat een ''e-mail met informatie verstuurd is aan een verkeerde ontvanger'' (incident). | |||
* Een <u>inbreuk op de integriteit</u> (inbreuk) kan bijvoorbeeld ontstaan doordat er ''een hack plaats heeft gevonden en er informatie in systemen door onbevoegden is gewijzigd'' (incident). | |||
* Een <u>inbreuk op de beschikbaarheid</u> (inbreuk) vindt plaats wanneer er bijvoorbeeld ''brand uitbreekt in een datacenter en informatie verloren gaat'' (incident). | |||
Zoals we hierboven hebben kunnen lezen is er sprake van een datalek wanneer er persoonsgegevens betrokken zijn bij het beveiligingsincident. Bijvoorbeeld wanneer de verstuurde e-mail persoonsgegevens bevatte die onbekend waren voor de ontvanger (en ook zouden moeten zijn), of wanneer er bij de brand in het datacenter persoonsgegevens verloren gaan. | |||
Logischerwijs kan er bij één incident sprake zijn van meerdere inbreuken. Bij een hack waarbij gegevens worden gewijzigd (integriteit) moet de onbevoegde deze gegevens dus ook in kunnen zien (vertrouwelijkheid). Zo zijn er nog meer voorbeelden te bedenken. | |||
=== Wanneer moet Het Handje een datalek melden en aan wie? === | === Wanneer moet Het Handje een datalek melden en aan wie? === | ||
Zoals we hebben gelezen bestaat een datalek uit een beveiligingsinbreuk waar persoonsgegevens bij betrokken zijn. Organisaties zijn op basis van de AVG verplicht om alle datalekken intern te registreren. Niet alleen leer je hierdoor van incidenten uit het verleden, maar incidenten kunnen zich over de tijd heen ook ontwikkelen wanneer nieuwe informatie naar boven komt. Het is dan goed om alle informatie op één plek te hebben staan. Ook kan een toezichthouder zoals de Nederlandse Autoriteit Persoonsgegevens toegang vragen tot die informatie, die te vinden is in je datalekkenregister. | |||
Wanneer een datalek ook daadwerkelijk een risico met zich meebrengt voor de betrokkene, dan geldt er een '''meldplicht''' en dien je het datalek te melden bij de Autoriteit Persoonsgegevens. Dit is verplicht omdat de Autoriteit op die manier datalekken kan monitoren en in kan grijpen wanneer de meldende partij onvoldoende passende maatregelen neemt t.a.v. het lek, of wanneer het lek blijkt gevaarlijk te zijn voor de betrokkenen. | |||
Is er sprake van een hoog risico? Dan moet je niet alleen aan de Autoriteit Persoonsgegevens melding maken van het datalek, maar zul je ook de betrokkenen moeten informeren over het lek. Bij een hoog risico is dat noodzakelijk omdat betrokkenen moeten weten wat er is gebeurd en hoe ze zich eventueel kunnen beschermen tegen de negatieve gevolgen van het datalek. Een hoog risico ontstaat bijvoorbeeld bij een datalek waar bijzondere persoonsgegevens bij betrokken waren, bij phishing, hacking en ransomware-aanvallen (omdat de gevolgen vaak onduidelijk zijn) en bij incidenten die mogelijk identiteitsdiefstal of discriminatie tot gevolg hebben voor de betrokkenen. Een hoog risico kan echter ook uit andere factoren volgen, zoals de groep tot wie de betrokkenen behoren (leden van bepaalde groepen of minderheden). Risico's moeten daarom per geval ingeschat worden. | |||
In RegiServ word je niet gevraagd om te oordelen over de ernst van het incident en dus hoe hoog het risico is. Daarover beslissen de privacy aanspreekpunten. | |||
=== Voorbeelden recente datalekken === | === Voorbeelden recente datalekken === | ||
Huidige versie van 19 nov 2024 om 18:01
Sinds 25 mei 2018 zitten we met de AVG. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor Het Handje wanneer een datalek plaatsvindt dat ernstig genoeg is. Een organisatie die persoonsgegevens niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op flinke boetes. Om maar niet te spreken over de mogelijke reputatieschade die het gevolg kan zijn van het onzorgvuldig omgaan met een (mogelijk) datalek. Wat betekent dit nou allemaal voor Het Handje? Hieronder staan we stil bij vragen zoals: wanneer is iets een datalek? Wat doe je als een datalek plaatsvindt en wanneer/hoe moet je melden? En, aan wie eigenlijk?
Wil je meer weten over de concrete stappen die je binnen Het Handje moet nemen wanneer je een datalek hebt gespot of vermoedt? Check dan 'Spelregel: omgang met datalekken'.
Wat is een datalek?
In de 'Spelregel: omgang met datalekken' werd de definitie al even toegelicht. Een datalek wordt in de AVG een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.
Beveiligingsincident vs. datalek
Een datalek ontstaat dus altijd doordat er een inbreuk op de beveiliging heeft plaatsgevonden. Zo'n inbreuk kan ontstaan doordat er sprake is van een beveiligingslek (denk aan het niet op slot doen van een kast met gevoelige documenten). Leidt een zwakke beveiliging (een beveiligingslek) tot een beveiligingsincident én zijn daar persoonsgegevens bij betrokken (iemand zonder de bevoegdheid opent de kast en neemt documenten met persoonsgegevens mee) dan is er dus sprake van een datalek.
Je kan dus beveiligingsincidenten hebben die geen datalekken zijn, maar je hebt andersom geen datalekken die geen beveiligingsincident zijn.
Aard van de inbreuk en aard van het incident
De aard van de inbreuk is terug te herleiden tot het type of de aard van het beveiligingsincident dat heeft plaatsgevonden. Hier zijn verschillende type inbreuken mogelijk:
- Een inbreuk op de vertrouwelijkheid
- Een inbreuk op de integriteit
- Een inbreuk op de beschikbaarheid
De aard van de inbreuk volgt uit dus uit de aard van het beveiligingsincident.
- Een inbreuk op de vertrouwelijkheid (inbreuk) kan bijvoorbeeld ontstaan doordat een e-mail met informatie verstuurd is aan een verkeerde ontvanger (incident).
- Een inbreuk op de integriteit (inbreuk) kan bijvoorbeeld ontstaan doordat er een hack plaats heeft gevonden en er informatie in systemen door onbevoegden is gewijzigd (incident).
- Een inbreuk op de beschikbaarheid (inbreuk) vindt plaats wanneer er bijvoorbeeld brand uitbreekt in een datacenter en informatie verloren gaat (incident).
Zoals we hierboven hebben kunnen lezen is er sprake van een datalek wanneer er persoonsgegevens betrokken zijn bij het beveiligingsincident. Bijvoorbeeld wanneer de verstuurde e-mail persoonsgegevens bevatte die onbekend waren voor de ontvanger (en ook zouden moeten zijn), of wanneer er bij de brand in het datacenter persoonsgegevens verloren gaan.
Logischerwijs kan er bij één incident sprake zijn van meerdere inbreuken. Bij een hack waarbij gegevens worden gewijzigd (integriteit) moet de onbevoegde deze gegevens dus ook in kunnen zien (vertrouwelijkheid). Zo zijn er nog meer voorbeelden te bedenken.
Wanneer moet Het Handje een datalek melden en aan wie?
Zoals we hebben gelezen bestaat een datalek uit een beveiligingsinbreuk waar persoonsgegevens bij betrokken zijn. Organisaties zijn op basis van de AVG verplicht om alle datalekken intern te registreren. Niet alleen leer je hierdoor van incidenten uit het verleden, maar incidenten kunnen zich over de tijd heen ook ontwikkelen wanneer nieuwe informatie naar boven komt. Het is dan goed om alle informatie op één plek te hebben staan. Ook kan een toezichthouder zoals de Nederlandse Autoriteit Persoonsgegevens toegang vragen tot die informatie, die te vinden is in je datalekkenregister.
Wanneer een datalek ook daadwerkelijk een risico met zich meebrengt voor de betrokkene, dan geldt er een meldplicht en dien je het datalek te melden bij de Autoriteit Persoonsgegevens. Dit is verplicht omdat de Autoriteit op die manier datalekken kan monitoren en in kan grijpen wanneer de meldende partij onvoldoende passende maatregelen neemt t.a.v. het lek, of wanneer het lek blijkt gevaarlijk te zijn voor de betrokkenen.
Is er sprake van een hoog risico? Dan moet je niet alleen aan de Autoriteit Persoonsgegevens melding maken van het datalek, maar zul je ook de betrokkenen moeten informeren over het lek. Bij een hoog risico is dat noodzakelijk omdat betrokkenen moeten weten wat er is gebeurd en hoe ze zich eventueel kunnen beschermen tegen de negatieve gevolgen van het datalek. Een hoog risico ontstaat bijvoorbeeld bij een datalek waar bijzondere persoonsgegevens bij betrokken waren, bij phishing, hacking en ransomware-aanvallen (omdat de gevolgen vaak onduidelijk zijn) en bij incidenten die mogelijk identiteitsdiefstal of discriminatie tot gevolg hebben voor de betrokkenen. Een hoog risico kan echter ook uit andere factoren volgen, zoals de groep tot wie de betrokkenen behoren (leden van bepaalde groepen of minderheden). Risico's moeten daarom per geval ingeschat worden.
In RegiServ word je niet gevraagd om te oordelen over de ernst van het incident en dus hoe hoog het risico is. Daarover beslissen de privacy aanspreekpunten.