Door de toenemende mate waarin cybercrime in het nieuws komt en de verplichtingen vanuit de AVG nemen ook het aantal vragen over datalekken toe. Wanneer is er sprake van een datalek en wat moet er gedaan worden als er een lek heeft plaats gevonden?

In Nederland bestaat ruim vijf jaar een meldplicht voor datalekken. De invoering van de AVG heeft dit nog extra aangescherpt. Dit in combinatie met de berichtgeving over cybercrime en een breder maatschappelijk debat over privacy en databescherming betekent dat ondernemers ook steeds meer focus leggen op de bescherming van persoons– en bedrijfsgegevens.

Toch blijkt het soms onduidelijk voor ondernemers wanneer iets precies een datalek is en wat er gedaan of gemeld moet worden als er een lek heeft plaatsgevonden.

Soorten datalekken

Er zijn in hoofdlijnen twee soorten datalekken waar rekening mee moet worden gehouden. In beide gevallen moet het ook nadelige gevolgen kunnen hebben voor diegenen waar de data van is of over gaat.

Ten eerste de situatie wanneer data in handen komt van mensen of organisaties die daar geen toegang toe zouden moeten hebben. Deze vorm is iedereen bekend. Wanneer er privégegevens in handen komen van criminelen kan daar misbruik van worden gemaakt.

Ten tweede de situatie waarin data verloren is. Dit is een vorm die niet iedereen meteen als datalek herkent, maar toch wel daadwerkelijk onder de definitie valt. Een voorbeeld hiervan is het datalek van het Albert Schweitzer ziekenhuis waar gegevens van een half miljoen stukken van patiënten verloren gingen1. De gegevens zijn niet in de verkeerde handen gevallen, maar patiënten kunnen hier toch wel degelijk last van krijgen. Door het missen van onderzoeksresultaten, verwijsbrieven enz kan een behandeling mogelijk niet uitgevoerd worden of kan een verzekeraar weigeren om een behandeling te vergoeden.

Manieren waarop datalekken kunnen ontstaan

Data kan op veel verschillende manieren gelekt worden en wat er gedaan moet worden is afhankelijk van hoe en wat er gelekt is.

Externe dreigingen

Ransomware

De tools om ransomware aanvallen uit te voeren worden steeds meer geavanceerd maar tegelijk ook steeds meer toegankelijk voor criminelen. Bij een ransomware aanval is het doel om het slachtoffer af te persen. Veel aanvallen zullen alleen data onbeschikbaar maken door het te versleutelen maar een vorm waarbij de aanvaller eerst kopieën van gegevens ophaalt komt steeds vaker voor.

Afhankelijk van de soort aanval en in hoeverre er (persoons)gegevens door de aanvaller zijn verkregen of er gegevens verloren zijn gegaan zullen er meldingen gedaan moeten worden aan de toezichthouder en personen waarvan de gegevens zijn gelekt of verloren. Als gegevens zijn versleuteld moet er vanuit worden gegaan dat de aanvaller ook de (onversleutelde) gegevens heeft kunnen bemachtigen, tenzij er aangetoond kan worden dat dit niet het geval is. Hetzelfde script dat de data versleuteld kan immers ook deze data tegelijkertijd via een netwerk versturen.

Andere aanvallen gericht op het verkrijgen van data

Aanvallen kunnen ook specifiek gericht zijn op het verkrijgen van gegevens. De gestolen data kan vervolgens gebruikt worden om het slachtoffer af te persen, om phishing aanvallen uit te voeren met de gestolen data, voor verschillende vormen van identiteitsfraude of om de gegevens door te verkopen.

Een gerichte aanval kan zowel digitaal als fysiek plaatsvinden. Dat digitale aanvallen vaker worden gebruikt zal niemand verbazen. Het gros van data wordt tegenwoordig digitaal opgeslagen en over het algemeen is het ook makkelijker om minder op de dader herleidbare sporen achter te laten bij een digitale aanval.

Social engineering en overige gevallen

Een aanval hoeft niet puur digitaal te zijn, zeker bij meer complexe aanvallen is er sprake van social engineering, een term om aan te duiden dat er een aanval op de menselijke schakel in de beveiliging is. Een veel voorkomende soort social engineering is dat een medewerker wordt gebeld door een systeembeheerder die meldt dat er een probleem is met het gebruikersaccount van de betreffende medewerker en dat diegene zijn gebruikersnaam en wachtwoord moet doorgeven om het probleem op te lossen.

Interne dreigingen

Menselijk risico en interne dreigingen

Naast aanvallen van buitenaf moet er ook altijd rekening gehouden worden met dreigingen van binnenuit. Er kunnen hier tal van redenen voor zijn en tal van uitwerkingen. Het verkopen van de gegevens van mensen die zich voor corona hadden laten testen is een voorbeeld hiervan, maar ook lekken naar concurrenten of het simpelweg vernietigen van gegevens komt met enige regelmaat in het nieuws.

Daarnaast kunnen datalekken uiteraard per ongeluk door menselijke fout ontstaan. Een medewerker kan per ongeluk data verwijderen of overschrijven.

Verloren of gestolen apparaten en papieren

Wanneer er een apparaat (zoals een laptop, tablet of USB drive) of papieren verloren gaan dan kan dit grote consequenties hebben. In hoeverre hier gevoelige gegevens op staan bepaalt hoe ernstig het incident is. Wanneer het om papieren gaat is het vooral een kwestie van gegevens, maar met een laptop of tablet is er vaak ook meteen sprake van risico op onrechtmatige toegang tot een bedrijfsnetwerk en de gegevens die daarop zijn opgeslagen.

Verkeerd geadresseerde post en mail

Gegevens kunnen ook per ongeluk gelekt worden, bij voorbeeld bij het versturen van post of e-mail.

Let hierbij ook op dat de lek kan ontstaan door een klant. Wanneer de klant zelf een email of postadres kan opgeven, en dit niet geverifieerd wordt, dan is er automatisch een risico op een lek. Bij voorbeeld als iemand een account op een site heeft aangemaakt met gevoelige gegevens en per ongeluk een typfout maakt bij het invoeren van het email adres kan resulteren in dat iemand anders niet alleen inzicht krijgt in de gegevens, maar mogelijk ook het hele account over kan nemen. Wachtwoordherstel gaat immers meestal via een email.

Lekken via derden

Een datalek kan ook bij een derde partij ontstaan, zoals een leverancier van een SaaS oplossing. Deze dreiging moet niet onderschat worden. In een onderzoek uit 2018 meldde 59% van ondervraagde bedrijven dat zij een datalek hadden wat was ontstaan bij een onderleverancier of andere gerelateerde partij2.

Verplichtingen bij datalekken

Zoals hierboven duidelijk is geworden legt de AVG verplichting op wanneer er ongeoorloofde toegang tot gegevens heeft plaats gevonden, maar ook wanneer er data is gewijzigd of verloren. Het gaat hierbij om alle situaties waarbij iemand hinder kan ondervinden van hoe de data is verwerkt, dat wil zeggen welke data wordt verzameld en hoe deze gegevens beheerd worden.

De eerste stappen

Wanneer er vaststaat dat er een datalek heeft plaatsgevonden of wanneer er een vermoeden daartoe is het belangrijk om een aantal stappen direct uit te voeren. Ten eerste moet er vastgesteld worden wat er is gebeurd. Meestal kan door de manier waarop het lek opgemerkt is ook bepaald worden welke gegevens zijn getroffen en mogelijk ook een manier waarop dit is gebeurd. De tweede stap is om onmiddellijk beschermende maatregelen te nemen. Vaak kan er niet met zekerheid gezegd worden of de gegevens nog steeds kwetsbaar zijn voor verdere lekken, en dan is het van belang om deze (tijdelijk) af te schermen. Hierna kan verder onderzoek gedaan worden.

Informatieverplichtingen

Afhankelijk van het lek zijn er verschillende stappen voor het informeren en registreren nodig. Het kan gaan om het informeren van getroffen personen en/of de toezichthouder (Autoriteit Persoonsgegevens).

Ten eerste moet een datalek altijd in een intern datalek register vastgelegd moeten worden. Dit is ongeacht het type lek of de mogelijke gevolgen ervan. Elk bedrijf is verplicht om een datalek register te hebben en bij te houden.

Afhankelijk van de aard van het datalek en hoe ernstig de consequenties voor getroffen personen kunnen zijn zal het nodig zijn om dit te melden. Wanneer het niet waarschijnlijk is dat het datalek een risico is voor de betrokken personen, dan hoeft het lek niet gemeld worden. Is dat risico er wel, dan moet het lek binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens. Is er sprake van een hoog risico, dan moet dit ook aan de betrokken personen zelf gemeld worden.

Er moet dus altijd een inschatting van het risico gemaakt worden. Om terug te gaan naar de situatie van het Albert Schweitzer ziekenhuis waar een groot aantal medische gegevens verloren waren gegaan is het risico anders dan wanneer deze gegevens in handen waren gekomen van een onbevoegde. Omdat de risico's sterk afhankelijk zijn van het soort gegevens dat wordt verwerkt is het belangrijk dat de organisatie al eerder een risicoanalyse heeft uitgevoerd en deze gebruikt bij het inschatten van de ernst van het datalek.

Vervolgstappen

Nadat er een initieel onderzoek is geweest naar het datalek en dit geregistreerd is en eventueel ook gemeld is aan de toezichthouder en betrokken personen, dan kan er verder onderzoek en beveiligingsstappen worden ondernomen. Het interne datalekregister kan ook helpen om mogelijke patronen in datalekken te herkennen.

Welke stappen er precies genomen moeten worden is afhankelijk van het lek. Als het blijkt dat er per ongeluk gegevens per mail zijn verzonden of een USB stick zonder encryptie verloren is, dan moeten andere stappen genomen worden dan wanneer er een ransomware aanval heeft plaats gevonden. Hier kan het inschakelen van een kundige partij helpen bij het voorkomen van verdere datalekken.

Richtlijnen en verdere hulp

Om duidelijkheid te scheppen over verplichtingen voor het verwerken van persoonsgegevens en acties bij datalekken heeft de European Data Protection Board (EDPB) een document opgesteld met voorbeelden en richtlijnen hoe met deze verschillende situaties op te gaan3. De EDPB is een samenwerkingsverband van de privacytoezichthouders in de verschillende EU landen. In het document worden verschillende (geanonimiseerde) situaties beschreven onderverdeeld in zes categorieën en geven een goed overzicht van de verplichtingen wat betreft het inlichten van toezichthouders en getroffen personen of organisaties.

In Nederland heeft de Autoriteit Persoonsgegevens ook een aantal publicaties over datalekken. Voor dit onderwerp zijn bij voorbeeld de pagina's over de meldplicht datalekken4 en acties bij datalekken5 interessant.

Ondanks de informatie van toezichthouders blijft dit complexe materie, en met name de nodige stappen voor het correct verwerken van (persoons)gegevens is iets waar veel bedrijven externe ondersteuning nodig voor hebben.

Veel gemelde lekken

Volgens onderzoek van het advocatenkantoor DLA Piper worden in Nederland relatief veel datalekken gemeld6. DLA Piper onderzocht de periode van mei 2018 toen de GDPR werd ingevoerd tot en met januari 2022. Daaruit bleek dat Nederland zowel in absolute aantallen als in per capita op de tweede plek kwam in het aantal meldingen. Alleen Duitsland had een groter totaal aantal meldingen en Denemarken had meer meldingen per persoon.

Dit wil niet zeggen dat er ook veel meer datalekken plaats vinden in Nederland dan in andere EU landen. Er zijn een aantal verklaringen voor het relatief hoge aantal. Wat daarin meespeelt is dat Nederland anders dan veel andere EU landen al langer een meldplicht had voor datalekken en dat de toezichthouder hier minder snel boetes oplegt. Dit lijkt er toe hebben geleid dat organisaties in Nederland eerder bereid zijn om datalekken te melden in plaats van het proberen te verbergen.

Gegevens beschermen

De manieren waarop een organisatie zich kan beschermen tegen datalekken komt grotendeels overeen met de standaardadviezen die bij elke vorm van cybersecurity naar voren komen: Zorg ervoor dat software up-to-date blijft, dat er goede back-ups worden gemaakt en dat zowel computers als mensen alleen bij die gegevens kunnen waar ze echt bij moeten kunnen.

Het is hierbij ook belangrijk dat de organisatie goed zicht heeft op alles wat zich binnen een intra– of extranet bevindt, wat er geüpdatet moet worden en wanneer, wat en wie waar toegang toe heeft en onder welke omstandigheden. Tot slot moet er ook duidelijk zijn in welke mate de organisatie zicht heeft op mogelijke lekken. Wanneer er nergens vast wordt gelegd wanneer er toegang geweest tot data zal het onmogelijk worden om iets met zekerheid te zeggen over wat er mogelijk gelekt is.

Ook moet er duidelijk zijn wat er moet gebeuren wanneer er een lek of vermoeden van een lek heeft plaatsgevonden. Denk hierbij zowel aan het inlichten van toezichthouder of getroffen personen, maar ook aan het (her)beveiligen van de gegevens en systemen van de organisatie.

Als er bij voorbeeld een laptop is gestolen dan kan (afhankelijk van de encryptie van de laptop) de bestanden daarop gelekt zijn, maar kan het voor een aanvaller ook mogelijk worden om toegang te krijgen tot interne systemen.

Ook wanneer de data versleuteld is met bij voorbeeld BitLocker kan er rekening mee gehouden worden dat er mogelijk toegang is gekregen tot het systeem, in een testomgeving lukte het onderzoekers om een Windows laptop met een door de TPM beschermde BitLocker versleuteling relatief makkelijk om omzeilen7. Dit soort geavanceerde aanvallen zullen echter niet plaats vinden tenzij er heel gericht op zeer waardevolle data geaasd wordt.