Privacy - Wat niemand over je mag weten

Meldplicht intern datalek?

02-12-2016, 17:15 door denii, 12 reacties
Hallo allemaal,

Wanneer ik de richtsnoeren meldplicht datalekken doorlees is me nog steeds niet duidelijk of interne datalekken ook onder de meldplicht datalekken valt.

Casus: Door een configuratiefout / software update hebben onbevoegde medewerkers onbedoeld toegang tot alle salarisgegevens, naam en achternaam van eigen personeel. Een van deze medewerkers constateert dit en meldt dit bij de organisatie.

Kijk ik naar de richtsnoeren stelt men:
------------------------------------------------------------------------------------------------------------------------
Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident
heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het
kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een
hacker.

Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek
als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u
onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt
uitsluiten.
------------------------------------------------------------------------------------------------------------------------

Kan onbedoelde onbevoegde toegang door eigen personeel als beveiligingsincident worden beschouwd? En hoe zit het dan met autorisatie fouten die niet worden gemeld door personeel, maar waarvan niet kan worden aangetoond dat deze hebben geresulteerd in onbevoegde toegang?

Kijken we naar de gegevens die gelekt zijn stelt de wet dat het om 'persoonsgegevens van gevoelige aard' gaat gezien het om salarisgegevens gaat. Hierover zegt de wet het volgende:

------------------------------------------------------------------------------------------------------------------------
Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een
melding noodzakelijk
------------------------------------------------------------------------------------------------------------------------

Maar wat verstaat men onder 'algemeen'? Valt inzage door eigen personeel hier onder?


Ongeacht de terugkoppeling op dit topic ga ik het ook met het AP bespreken, maar omdat ze zo slecht bereikbaar zijn en ik niets kan vinden over 'interne datalekken' stel ik de vraag toch. Wellicht dat er goede praktijk ervaringen/voorbeelden zijn?
Reacties (12)
02-12-2016, 17:33 door Anoniem
Onbevoegd en onbedoeld, dat geeft toch het antwoord al ?
02-12-2016, 19:05 door John Do
De wet spreekt over "aanzienlijke kans op ernstige
nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van
persoonsgegevens" (artikel 34a, eerste lid, Wbp)

Ik zou mij situaties kunnen voorstellen waarbij je dit intern anders weegt dan dat het zou gaan om extern.
02-12-2016, 20:19 door Anoniem
Een voorbeeld is het geval waarin bij de gemeente Utrecht de namen en BSN van een aantal inwoners in een document
op het intranet stonden wat voor iedereen te openen was. Dit werd een grote rel en het moest ook worden gemeld.
03-12-2016, 09:12 door Anoniem
Maar wat verstaat men onder 'algemeen'? Valt inzage door eigen personeel hier onder?
De manier om met dit soort vragen om te gaan is: als je niet duidelijk kan aangeven waarom het er niet onder valt kan je er maar beter van uitgaan dat het er wel onder valt. Redeneer daarbij niet naar de voor jou meest comfortabele uitkomst toe.

In de beleidsrichtlijnen staat een serie vraag/antwoordschema's die tot conclusies leiden. Worstel ze door.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf

En ongeacht de uitkomst is het gewoon netjes om het personeel in te lichten over de mogelijkheid dat collega's er bij hebben gekund.
03-12-2016, 09:20 door GerBNL
Kan onbedoelde onbevoegde toegang door eigen personeel als beveiligingsincident worden beschouwd?

ondubbelzinnig: Ja, dat kan. Bedenk maar eens waar die toegang tot kan leiden. De verkeerde configuratie zou ik zelf niet perse als een incident betitelen (tenzij uiteraard opzet in het spel kan zijn) en zou moeten leiden tot herziening van de werkwijzen en controles, maar mochten er aanwijzingen zijn dat er actief gebruik is gemaakt van het gat, dan heb dus een incident. Het is aan de werkgever om dat dan verder te (laten) onderzoeken of onder het tapijt te schoffelen, maar zouden er achteraf toch problemen door ontstaan, sta je achteraf niet erg sterk als je het niet tenminste en aantoonbaar dat onderzoek gedaan hebt.
03-12-2016, 13:05 door Anoniem
Een belangrijke factor in deze is de vraag of iedere medewerker een geheimhoudingsverklaring heeft geaccordeerd. Indien interne geheimhouding juridisch is bepaald dan is dit geen datalek.
03-12-2016, 18:36 door SecOff - Bijgewerkt: 03-12-2016, 18:38
Door denii: Hallo allemaal,
Wanneer ik de richtsnoeren meldplicht datalekken doorlees is me nog steeds niet duidelijk of interne datalekken ook onder de meldplicht datalekken valt.

Casus: Door een configuratiefout / software update hebben onbevoegde medewerkers onbedoeld toegang tot alle salarisgegevens, naam en achternaam van eigen personeel. Een van deze medewerkers constateert dit en meldt dit bij de organisatie.

Ja, jouw casus is een datalek in de zin van de wet omdat één van de onbevoegde medewerkers het geconstateerd heeft.
Als de beheerder van het systeem het gezien had voordat er onbevoegde medewerkers toegang hadden gehad was het geen datalek geweest.

Melden aan de AP is dus verplicht maar melden aan de betrokkenen kan achterwege blijven als het onwaarschijnlijk is (je redelijkerwijs uit kunt sluiten) dat het negatieve gevolgen voor de betrokken heeft.
Groet van een FG
05-12-2016, 11:06 door denii
Bedankt dat jullie allemaal de tijd hebben genomen om te reageren. AP heeft inmiddels bevestigd dat het inderdaad om een datalek gaat.
05-12-2016, 13:03 door Anoniem
"onbevoegden" krijgen toegang tot persoonsgegevens.
Het maakt niet uit of die intern of extern zijn.
05-12-2016, 15:58 door SecOff - Bijgewerkt: 05-12-2016, 16:00
Door Anoniem: "onbevoegden" krijgen toegang tot persoonsgegevens.
Het maakt niet uit of die intern of extern zijn.
Dan hoeft het nog niet altijd te worden gemeld. Als de ene medewerker onbevoegd toegang krijgt door bv het wachtwoord van de ander te gebruiken is dat volgens de beleidsregels slechts een "schending van de interne voorschriften" en hoeft het niet te worden gemeld.
14-12-2016, 21:30 door Anoniem
Door SecOff:
Door Anoniem: "onbevoegden" krijgen toegang tot persoonsgegevens.
Het maakt niet uit of die intern of extern zijn.
Dan hoeft het nog niet altijd te worden gemeld. Als de ene medewerker onbevoegd toegang krijgt door bv het wachtwoord van de ander te gebruiken is dat volgens de beleidsregels slechts een "schending van de interne voorschriften" en hoeft het niet te worden gemeld.

:) maar dat wachtwoord valt toch echt niet onder de WBP en is ook niet direct terugvoerbaar op een persoon en hoeft, zover ik de wet ken, NOOIT te worden gemeld. Expliciet genoemd dat beveiligingslekken != zijn datalekken.

(tenzij dit je voorbeeld is .. dan heb ik je gewoon verkeerd begrepen)

mvg
Eminus.
17-12-2016, 10:39 door Anoniem
Door Anoniem:
Maar wat verstaat men onder 'algemeen'? Valt inzage door eigen personeel hier onder?
De manier om met dit soort vragen om te gaan is: als je niet duidelijk kan aangeven waarom het er niet onder valt kan je er maar beter van uitgaan dat het er wel onder valt. Redeneer daarbij niet naar de voor jou meest comfortabele uitkomst toe.

In de beleidsrichtlijnen staat een serie vraag/antwoordschema's die tot conclusies leiden. Worstel ze door.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf

En ongeacht de uitkomst is het gewoon netjes om het personeel in te lichten over de mogelijkheid dat collega's er bij hebben gekund.

Nou ik zou eerst samen met de bestuurders een advocaat raadplegen. Aldo Verbruggen bijvoorbeeld:

https://www.security.nl/posting/490321/Kamervragen+over+advies+om+cybercrime+niet+te+melden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.