Juridische vraag: Geldt de meldplicht datalekken ook voor bedrijfsgegevens?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term 'datalek' is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?
Antwoord: De term 'datalek' is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.
Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico's voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als 'vitale aanbieder'.
Ben je niet 'vitaal', dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.
Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Zie https://wetten.overheid.nl/BWBR0039866/, https://wetten.overheid.nl/BWBR0041515/ en https://www.ncsc.nl/actueel/dossiers/wetgeving-cybersecurity.html.
Het ding was al vroeg weer aan de praat. Ik rij opgelucht naar huis (na nog een uurtje moitoren of er echt niks geks meer gebeurde). Ik kom thuis, en open mijn emails. Het werkte. Er stond echter een email van een gebruiker, die helemaal over zijn zeik was of we voortaan niet voor een crash even fatsoenlijk een email daarover konden sturen (en ik had een uptime van 99,99999999999% hè?). Maar desondanks, of misschien daardoor, was hij bloedlink.
Waarom vertel ik dit? De man had, vanuit zijn perspectief gezien gewoon gelijk. Dat is punt 1. Je kunt wel gaan terugmailen dat een gecrashte mailserver dus ook geen emails meer stuurt. Maar daar heeft je trouwe gebruiker niks aan. Die had een dure PC, het werkte altijd, en nu ineens niet.
Punt 2 is veel belangrijker. Als het over datalekken gaat. De ergste zijn de lekken die je zelf niet door hebt. Het heeft alles met punt 1 te maken. Er worden vertrouwelijke gegevens naar je gestuurd. En een excuus van, tjah, het was een zero day, het kèn es gebeuren, we hebben het al opgelost maar god weet wie nu allemaal je prive data of bedrijfsdata heeft, daar kunnen we niks aan doen. Het werkt nu eenmaal zo. We kunnen er zelf ook niet elke milliseconde bovenop zitten.
Daar heeft je gebruiker niks aan. Om welke data het dan ook moge gaan.
Die man had gewoon gelijk. Die moest mijn uitleg niet weten, maar had zich geen zorgen gemaakt als de dooie server dan toch minstens een berichtje had gestuurd. Want hij lag blijkbaar, als trouwe (en gratis ook nog denk ik!) gebruiker, die nacht net zo wakker als ik. Misschien nog wakkerder. En het is altijd nog de gebruiker die je huur betaalt.
Wat lekken betreft, zinvol om niet alleen paranoia te zijn over als het gebeurt. Maar ook een plan te hebben voor als het dan tóch gebeurt. Je kunt er beter in je eentje van wakker liggen, dan alle mensen die in je database staan. Of alle bedrijfsgeheimen. Elk security scenario dient een plan te bevatten over wat te doen als alle security faalt, en dat al weken niet gemerkt is. Vooral dat laatste is het meest pijnlijke. Al die experts die zeggen dat alles onder controle is, maak een plan B voor als ze toch nog wat vergeten waren. Vooral als die zeker weten dat het dit keer echt hun schuld niet was.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
