Achtergrond
image

Organisaties informeren consumenten onvoldoende over datalekken, hoe moet het dan wel?

woensdag 12 april 2023, 10:40 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De waarschuwingen die organisaties bij datalekken aan getroffen gebruikers geven zijn vaak onduidelijk, waardoor die onnodig extra risico lopen. Dat las ik eind maart bij Security.nl. Er staat te weinig concrete informatie in, en vaak ontbraken ook de stappen die je zelf kunt nemen om de schade te beperken. Wat voor mij als CISO de vraag opriep, hoe zou het dan wel moeten, nog meer informatie?

Antwoord: Het onderzoek betrof 69 datalekmeldingen waarvan er 37 onder de maat waren. Een kwart van de berichten vermeldt bijvoorbeeld niet welke informatie is gelekt. Ook zijn de berichten over datalekken vaak onvoldoende alarmerend en vertellen bedrijven niet welke maatregelen ze hebben genomen om verder misbruik te voorkomen. In een derde van de mails staat niet wat gebruikers zelf kunnen doen om de schade te beperken. En dat zijn allemaal dingen die er eigenlijk wel in horen van de AVG.

Ik kreeg even juridische jeuk van de passage over modebedrijf Livera, die ik jullie dan ook niet wil onthouden:

In het bericht met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’ wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.

Deze is wel erg cru, maar berichten met koppen als “Mededeling naar aanleiding van publiciteit” zie ik ook met enige regelmaat voorbij komen. Gelukkig zijn er ook bedrijven die mensen wel adequaat informeren, door een keurig bericht met uitleg wat er is gelekt, welke stappen men nu heeft genomen en op welke risico’s je nu in het bijzonder zou kunnen letten. Een mooi voorbeeld blijft voor mij het datalek bij de Philips-personeelsadministratie, waarbij men zowaar een dark net monitoring service inhuurde om in de gaten te houden of NAW+bsn gegevens werden verhandeld op het nietdoorzoekbareweb.

Het achterliggende punt blijft natuurlijk: wat zou je nog meer, of nog anders moeten doen? Dan kom je al snel uit bij een schadevergoeding, wat juridisch lastig ligt omdat de schade moeilijk te kwantificeren is. Als de Shell diesel verkoopt vanuit de benzine-pomp, dan kun je vrij eenvoudig je factuur voor het reinigen van je injectiesysteem bij de pomp indienen. Maar bij persoonsgegevens? Ja, je bent kwetsbaarder voor phishing en er zal vast een AI op je profiel worden getraind, maar welk bedrag zet je daar op?

Er zijn vele stichtingen bezig met allerlei massaclaims, waarbij vaak 500 euro opduikt omdat dat eenmalig is toegekend (bij een concreet lek van medische gegevens). Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard? Ook is er altijd die weerstand dat die stichting dan “al dat geld pakt” terwijl het gaat om vergoeding van andermans schade. Maar als de wetgever de bal laat liggen, dan springen particuliere partijen in het gat.

Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
12-04-2023, 10:49 door Anoniem
Ik mis hier minimaal één denkstap: schadevergoedingen onder de AVG zijn er voor overtredingen en niet voor datalekken. Op basis van welke overtreding zou die 5 euro per betrokkene bij de NS uitbetaald moeten worden?
12-04-2023, 10:51 door Arnoud Engelfriet
Door Anoniem: Ik mis hier minimaal één denkstap: schadevergoedingen onder de AVG zijn er voor overtredingen en niet voor datalekken. Op basis van welke overtreding zou die 5 euro per betrokkene bij de NS uitbetaald moeten worden?
Overtreding van artikel 32 AVG, de beveiliging was immers onder de maat. Dit blijkt uit de aard van het datalek.
12-04-2023, 10:52 door Anoniem
Als men nou eerst eens zorgt dat de data niet lekt...
12-04-2023, 11:18 door Anoniem
Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard?
Identiteit diefstal is zeer schadelijk. Dat blijkt meestal pas na maanden of jaren als je ineens €70.000 armer bent geworden.
12-04-2023, 11:27 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: Ik mis hier minimaal één denkstap: schadevergoedingen onder de AVG zijn er voor overtredingen en niet voor datalekken. Op basis van welke overtreding zou die 5 euro per betrokkene bij de NS uitbetaald moeten worden?
Overtreding van artikel 32 AVG, de beveiliging was immers onder de maat. Dit blijkt uit de aard van het datalek.
Het is mogelijk maar niet vanzelfsprekend dat een datalek mogelijk wordt gemaakt door een artikel 32 overtreding. Zo niet zou artikel 32 een eis voor absolute beveiliging zijn in plaats van een eis voor passende beveiliging die rekening houdt met allerlei omstandigheden waaronder de uitvoeringskosten. Het is heel goed mogelijk dat er inbreuken plaatsvinden op beveiliging die naar de AVG maatstaf toch voldoende was.
12-04-2023, 11:57 door Anoniem
Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.

Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
12-04-2023, 13:45 door Arnoud Engelfriet
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: Ik mis hier minimaal één denkstap: schadevergoedingen onder de AVG zijn er voor overtredingen en niet voor datalekken. Op basis van welke overtreding zou die 5 euro per betrokkene bij de NS uitbetaald moeten worden?
Overtreding van artikel 32 AVG, de beveiliging was immers onder de maat. Dit blijkt uit de aard van het datalek.
Het is mogelijk maar niet vanzelfsprekend dat een datalek mogelijk wordt gemaakt door een artikel 32 overtreding. Zo niet zou artikel 32 een eis voor absolute beveiliging zijn in plaats van een eis voor passende beveiliging die rekening houdt met allerlei omstandigheden waaronder de uitvoeringskosten. Het is heel goed mogelijk dat er inbreuken plaatsvinden op beveiliging die naar de AVG maatstaf toch voldoende was.
Maar ik zeg toch, ik vermoed dat hier sprake is van een inadequate beveiliging gezien de aard van het datalek?
12-04-2023, 13:48 door Arnoud Engelfriet
Door Anoniem:
Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
Welk bedrag stel je voor, en vooral: waar baseer je het op? Een bedrag als dit moet in reële verhouding tot de schade staan, we gaan niet een ton per persoon doen omdat het bedrijf daar enorm van schrikt of omdat we ze willen straffen. Een elleboog uit de kom door een moedwillige mishandeling 'doet' 600 euro schadevergoeding, een tinnitus door gegooid vuurwerk 7500 euro (beiden van https://www.smartengeld.nl/voorbeelden). Ben benieuwd!
12-04-2023, 14:09 door Anoniem
Door Anoniem: Als men nou eerst eens zorgt dat de data niet lekt...

Als er een redelijke schade vergoeding uitbetaald moet worden als er data lekt, is er opeens ruim voldoende budget beschikbaar om te data lekken te voorkomen.
12-04-2023, 15:18 door Q1
Door Arnoud Engelfriet:
Door Anoniem:
Leuk dat dat indruk maakt in de boardroom, maar het zou een volstrekt belachelijk bedrag zijn, vanuit het perspectief van betrokkenen. Het lijkt in Nederland, dat men daar zeer weinig oog voor heeft.
Welk bedrag stel je voor, en vooral: waar baseer je het op? Een bedrag als dit moet in reële verhouding tot de schade staan, we gaan niet een ton per persoon doen omdat het bedrijf daar enorm van schrikt of omdat we ze willen straffen. Een elleboog uit de kom door een moedwillige mishandeling 'doet' 600 euro schadevergoeding, een tinnitus door gegooid vuurwerk 7500 euro (beiden van https://www.smartengeld.nl/voorbeelden). Ben benieuwd!
Inderdaad een moeilijke vraag: welke schade heb je geleden of zou je in de toekomst kunnen krijgen?
Maar ook een wedervraag: zou het schadebedrag ook afhankelijk moeten zijn van of de verwerker de betreffende gegevens wel nodig had?

Toelichting: ik had laatst collectant aan de deur voor een collecte: graag naam en adres opgeven. En ook je geboortedatum!
Ik: die geef ik niet, waar is dat voor nodig?
Collectant: om te controleren of ik ouder dan 18 ben!
Ik: Dat kan je toch zien? En ik wil best ergens aankruisen dat ik ouder dan 18 ben hoor
Collectant: belt met hoofdkantoor: Nee, moet echt geboortedatum zijn.

Ofwel: een bedrijf vraagt naar gegevens die het niet nodig heeft (immers: vinkje "18+" is voldoende). Dan mag wat mij betreft de te betalen schadevergoeding veel hoger: ten eerste omdat er meer data gelekt is (en dus potentieel de schade hoger) en ten tweede omdat het bedrijf aandrong op persoonlijke gegevens die niet nodig waren, en daarmee willens en wetens een extra risico introduceert bij lekken.

p.s. toen maar geen geld gegeven: collectant wil iets van mij én dwingt mij tot geven van onnodige informatie, zo werkt dat niet, ik geef alleen onder mijn eigen voorwaarden. Jammer dat bedrijven dat niet begrijpen

p.p.s. er zit dus ergens iemand op kantoor die denkt dat hij/zij in staat is om vast te stellen dat ik ouder dan 18 ben op basis van een door mij opgegeven geboortedatum die door de collectant niet geverifieerd is in bv. m'n paspoort... Dat geeft te denken wat de verstandelijke vermogens van de betreffende persoon zijn. En dus of geld geven aan de betreffende organisatie wel een juist idee is...
12-04-2023, 16:38 door Anoniem
Lijkt me beter dat je dit soort bedrijven eerst een gele kaart geeft en mocht het nog een keer gebeuren gewoon bedrijfsactiviteiten staken. Ik denk dat een enquêtebureau wel 2x nadenkt. Ik denk dat dit meer indruk maakt in de boardrooms. En de NS... zelfde laken en pak.
13-04-2023, 20:03 door Anoniem
Door Anoniem: Lijkt me beter dat je dit soort bedrijven eerst een gele kaart geeft en mocht het nog een keer gebeuren gewoon bedrijfsactiviteiten staken. Ik denk dat een enquêtebureau wel 2x nadenkt. Ik denk dat dit meer indruk maakt in de boardrooms. En de NS... zelfde laken en pak.
Jaja... zo van "beste NS, u heeft twee keer data gelekt dus nu is het afgelopen met treintje rijden".
Ik heb het vermoeden dat dat niet gaat gebeuren. Misschien "nu is het afgelopen met klanttevredenheids onderzoeken houden"...?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure