Data lekken of beveiliging dichten

De berichten over datalekken vliegen ons de laatste tijd – helaas – om de oren. Bijvoorbeeld de persoonsgegevens van Facebook gebruikers, van automobilisten en zelfs van patiënten van een ziekenhuis. Nu kan een datalek zich op vele manieren voordoen. Het is vaak verlies of beschadiging van persoonsgegevens. Maar ook wijziging – zonder noodzaak of toestemming – of toegang door onbevoegde “derden” is een datalek.

Juridisch gesproken zal bij een datalek een rechtmatigheidsgrondslag ontbreken. Verwerking van persoonsgegevens is daarmee dus onrechtmatig. Alle datalekken hebben alleen nog een overeenkomst, die makkelijker is te begrijpen. Er is namelijk altijd sprake van een gebrek aan (goede) beveiliging. Een inbreuk liever gezegd.

De persoonsgegevens die op straat zijn beland krijgen vaak de meeste aandacht in persberichten. Terecht of niet, het is maar hoe je ernaar kijkt. De oorzaak wordt meestal beperkt toegelicht. Het kan natuurlijk nog onbekend zijn, of de “datalekker” wil het liever niet naar buiten brengen. Een korte vermelding van onvoldoende beveiliging is bijna standaard, maar wat kan je daar nu mee. Het ontbreken van beveiliging is alleen precies waar het allemaal om draait.

De open normen van de AVG

Het zal duidelijk zijn voor de meeste lezers, datalekken en persoonsgegevens zijn begrippen uit de Algemene Verordening Gegevensbescherming (AVG). Deze geldt binnen de hele EU – met verstrekkende gevolgen daarbuiten. Hierin wordt onder andere bepaald wat persoonsgegevens zijn, wanneer die mogen worden verwerkt, welke rechten iemand heeft en hoe persoonsgegevens moeten worden beveiligd.

De AVG beschrijft beveiliging van persoonsgegevens in artikel 32. Beperkt, want er wordt gebruik gemaakt van vele juridische open normen. Er moeten “passende technische en organisatorische maatregelen” worden getroffen. De beveiliging moet verder worden “afgestemd op het risico” dat wordt gelopen. Hierbij kan (of moet?) rekening worden gehouden met “de stand van de techniek”, de uitvoeringskosten en “de aard, omvang, context en verwerkingsdoeleinden” (van de verwerking). Bent u er nog? De risico’s voor rechten en vrijheden van personen moeten ook qua waarschijnlijkheid en ernst worden meegewogen. Tenslotte worden enkele maatregelen opgesomd die (vermoedelijk) minimaal moeten worden toegepast, als dat passend is. Luid en duidelijk. Of toch niet? Een ding is zeker, het doel van het treffen van passende maatregelen is bescherming van persoonsgegevens. De juiste maatregelen ontbreken alleen met regelmaat in de praktijk.

Elk bedrijf zal vast zijn uiterste best doen om persoonsgegevens maximaal te beschermen. Mogelijk weet men alleen niet hoe. De vraag doemt dan ook op wat precies passend is.

Passend op wat en afgestemd waarop

Laten we één misverstand meteen uit de wereld helpen: niemand kan u vertellen wat passend is, in algemene zin. Dat geldt ook voor het afgestemd zijn op het risico. Het hele punt van een open norm is dat deze breed toepasbaar moet zijn, in elke (!) denkbare en ondenkbare situatie. Een rekbaar begrip dus, we hebben het ermee te doen. Dit wil gelukkig niet zeggen dat er geen richtlijnen zijn te geven. Leest u rustig verder voor de basis – met wat voorbeelden, ook hoe het niet moet.

Een Verantwoordelijke moet altijd inzichtelijk hebben wat voor persoonsgegevens worden verwerkt. Ook waarvoor dit gebeurt, wanneer, door wie (intern en extern) en hoe lang deze worden bewaard. Om maar wat dwarsstraten te noemen. Het is verder net zo belangrijk om vast te stellen hoe dit alles wordt beveiligd.

1. Passende maatregelen.
   De maatregelen moeten passend zijn, op technisch vlak maar ook organisatorisch. State of the art beveiligde servers zijn vaak passend, maar niet in een kamer waar iedereen naar binnen kan. Onbeveiligde servers die staan in een hermetisch afgesloten kamer evenmin.
2. Risico.
   Het risico moet worden ingeschat. Het opslaan van een naam en emailadres voor een nieuwsbrief zal meestal een laag risico vormen. Dat kan anders zijn als de inhoud van de nieuwsbrief bijvoorbeeld een kwetsbare groep betreft, of gevoelige zaken. Een standaard beveiliging zal meestal volstaan bij een (vastgesteld) laag risico. Wat die standaard moet zijn, hangt weer van vele factoren af. Hogere of zelfs de hoogste risico’s zijn aanwezig bij het aanleggen van een database met gegevens zoals BSN, sexuele voorkeur, geloofsovertuiging, ras, etc. Bijzondere persoonsgegevens vragen namelijk om maximale beveiliging, “in beginsel”. Het uitgangspunt kan namelijk – soms – worden losgelaten, gezien de tekst van de AVG.
3. Stand van de techniek.
   De maatregelen moeten voldoen naar de huidige stand van de techniek. Een 128 bits encryptie zal bijvoorbeeld vrijwel nergens voldoende zijn, omdat 256 bits encryptie steeds meer de norm is en wordt toegepast.
4. Uitvoeringskosten.
   Koren op de molen van alle bedrijven die kosten willen besparen, maar wees voorzichtig. Het is denkbaar dat een lagere beveiliging kan worden toegepast, als een betere beveiliging een onevenredige investering zou vragen.  Een multinational zal zich hier waarschijnlijk niet snel op kunnen beroepen. Onbeschikbare liquiditeiten, een lagere winst en dergelijke zijn vrijwel zeker geen argumenten om maatregelen niet door te voeren. De MKB kan hier waarschijnlijk wel (beter) mee uit de voeten. Een investering van tonnen, bij een jaaromzet van enkele tienduizenden euro’s, kan onevenredig zijn. Ook hier geldt weer, het zal per geval moeten worden vastgesteld.
5. Aard, omvang, context en doel van verwerking.
   Deze zijn gelukkig gemakkelijker aan te geven. Aard is feitelijk het onderscheid tussen “normale” en bijzondere persoonsgegevens, omvang is de grootte of hoeveelheid, context is de achterliggende dienst en doel is de reden van verwerking. Stel je wilt tijdelijk inzicht in verplaatsingsgegevens van bezoekers van een straat. De aard is dan het verwerken van “gewone” persoonsgegevens. Het verrichten van zo’n meting van een handvol bezoekers van een winkelstraat in een dorp op maandagochtend, zal niet hetzelfde zijn als een meting op de Wallen in Amsterdam op zaterdagavond (omvang en context). Doel is dan bijvoorbeeld inzicht verkrijgen in beweging van bezoekers om ruimere openingstijden te gaan hanteren, of om een crisis situatie beter het hoofd te kunnen bieden. Beide kunnen op zich als doel worden gehanteerd, als het verwerken van deze locatiegegevens (want dat zijn het) “redelijk” anoniem gebeurt. Oftewel zonder koppeling aan camerabeelden, een naam of een ander persoonsgegeven.

Een zakelijke relatie met een Verwerker zal dit alles nog complexer maken. Vele dienstverleners schakelen IT bedrijven in, die te pas en te onpas worden gevraagd hoe bepaalde zaken moeten worden ingeregeld. Dat is prima op IT vlak, alleen niet op het vlak van (bescherming van) persoonsgegevens. Er mag dan zelfs niet worden vertrouwd op een Verwerker. Die moet namelijk handelen “in opdracht en volgens de instructies” van de Verantwoordelijke. Het is de taak van de Verantwoordelijke om te bepalen wat passend is, wat voldoende afgestemd is, et cetera.

Datalekken - dalende trend of stijgende angst

Heel voorzichtig gesteld, het lijkt er meer en meer op dat een groeiend aantal bedrijven niet altijd in staat is om persoonsgegevens maximaal te beschermen. De reden hiervoor blijft gissen: misschien nonchalence, wellicht worden risico’s verkeerd ingeschat.

De feiten laten een wisselend beeld zien. Het aantal datalekken, gemeld aan de Autoriteit Persoonsgegevens in 2017, was bijna verdubbeld ten opzichte van 2016. Het jaar 2018 gaf een ruime verdubbeling ten opzichte van 2017. Het aantal is vervolgens in 2019 met “maar” 30% gestegen. Het afgelopen jaar zou het aantal meldingen met 11% zijn gedaald. Een vreemde trend, zo lijkt het. Thuiswerken en de lockdown(s) hebben hier mogelijk aan bijgedragen. Een voor de hand liggende vraag is in ieder geval of de daling van het aantal meldingen kan worden gekoppeld aan een daling van het aantal datalekken. Dat lijkt niet waarschijnlijk, maar bewijs ontbreekt.

Het zal u vast bekend zijn dat er boetes kunnen worden opgelegd door de Autoriteit Persoonsgegevens, bij overtreding van de AVG. Het afleiden van een trend daarin is lastig, want er zijn tot op heden “maar” 11 boetes opgelegd in Nederland, op grond van de AVG. Het gemiddelde bedrag is wel bijna 500k EUR. De boetes variëren van 7.5k EUR tot 830k EUR. Een internationaal overzicht wordt bijgehouden door een advocatenkantoor. Hierin staan overigens 12 boetes vermeld voor Nederland, ten onrechte want de boete van 900k EUR betrof een dwangsom. Het UWV moest de beveiliging van een intern systeem verbeteren voor een bepaalde datum, anders zou de dwangsom worden opgelegd – op grond van de Algemene Wet Bestuursrecht. De basis daarvan lag natuurlijk wel in de AVG. De dwangsom is verder ook nooit betaald, want het UWV heeft uiteindelijk tijdig de wijzigingen doorgevoerd, waarmee aan de AVG werd voldaan.

Voor sommigen zijn dit misschien schokkende bedragen, maar de hoogte valt nog erg mee. De maximale boete voor overtreding van bepaalde (basale) verplichtingen is namelijk 10M EUR, of 2% van de totale (wereldwijde) jaaromzet – als dat hoger is. De maximale boete voor overtreding van onder andere de basisbeginselen (!) van de AVG, schending van de rechten van betrokkenen en onrechtmatige doogifte naar andere (derde) landen is 20M EUR, of 4% van de totale (wereldwijde) jaaromzet. Er zijn al 5 boetes opgelegd aan bedrijven die de 20M EUR overstijgen. Google spant hierin de kroon, met een boete van 50M EUR.

De boetebedragen zullen minimaal op de achtergrond een rol spelen als overweging, bij het melden (of niet) van datalekken. Het zou ook een verklaring kunnen zijn voor de daling van het aantal meldingen, in Nederland. Dat is alleen niet te hopen, want het niet of niet tijdig melden van een datalek is een boeteverhogende omstandigheid. Angst is hier dus een hele slechte raadgever.

De normaalste zaak of een buitengewone omstandigheid?

De toekomst zal moeten uitwijzen hoe het verder gaat met het melden van datalekken en het opleggen van boetes. Zeker is dat bescherming van persoonsgegevens al van groot belang was en steeds meer van belang wordt. Onze samenleving digitaliseert steeds verder, waardoor de roep om beveiliging van informatie steeds sterker wordt. Die beveiliging wordt gelukkig steeds meer geavanceerd en “gemakkelijker” toe te passen, met vingerafdrukken, irisscans en gezichtsherkenning. Hier staat tegenover dat het verlies van die persoonsgegevens verregaande consequenties heeft. Helemaal als een kopie bij een onbevoegde derde terechtkomt. We hebben namelijk maar tien vingerafdrukken, maar twee irissen en maar een gezicht. Kwijt is dan ook echt kwijt.

We houden onze pincode geheim, we zetten onze fiets op slot en we sluiten onze voordeur af. Je laat een lampje branden als je de hele avond weg bent. Je klikt niet op vreemde links in emails van onbekende afzenders. Dat soort dingen. Je eigendommen beveiligen is bijna een tweede natuur. Omgaan met andermans spullen zou hetzelfde moeten werken. Als je een schroevendraaier leent van je buurman, sla je daarmee geen spijkers in een muur. Daar is het ding niet voor bedoeld. Je leent het ook niet uit aan je collega op je werk. Het is immers niet van jou. Je verkoopt het niet aan iemand anders, je laat het nergens onbeheerd achter en je leent het ook niet maandenlang. En als de buurman het terug vraagt, dan geef je het terug. Het is allemaal niet heel ingewikkeld.

Bedrijven moeten zich meer gaan realiseren, dat zij precies hetzelfde moeten doen met persoonsgegevens. Het zijn natuurlijk geen schroevendraaiers, maar toch. Je krijgt iets wat niet van jou is. Je mag het tijdelijk gebruiken, voor een specifiek doel. Je voorkomt dat het beschadigt of kwijt raakt. Als er iets mee gebeurt, dan meld je dat aan de eigenaar. Je hebt een zorgplicht. Daar is niets buitengewoons aan, om niet te zeggen: het is heel normaal.