Tips voor beter toezicht op datalekken
Leren van datalekken is belangrijk. Om te voorkomen dat dezelfde fouten steeds opnieuw gemaakt worden is het noodzakelijk dat organisaties ook van elkaars fouten leren. Betrokkenen kunnen ook lessen leren uit datalekken, bijvoorbeeld over het hergebruiken van wachtwoorden. En voor een toezichthouder is het belangrijk om in de gaten te houden welke organisaties misschien niet voldoende lessen trekken uit eerdere incidenten en extra druk te zetten op die plaatsen waar men misschien te weinig gemotiveerd is om zelf stappen te ondernemen. Vanuit die gedachte zou het goed zijn als transparantie wordt aangemoedigd en niet wordt afgestraft.
De Autoriteit Persoonsgegevens (verder ‘AP’) heeft het jaarverslag voor de meldplicht datalekken in 2022 gepubliceerd en maakt duidelijk dat de focus van de AP overweldigend op de wel gemelde datalekken is gericht. Van de 21.151 meldingen zijn 6.552 verdiepende onderzoeken en 35 formele onderzoeken gestart. Voor deze analyse ga ik er vanuit dat de AP conform artikel 59 AVG transparant is over de uitgevoerde activiteiten en geen significante handhavingsactiviteiten onbenoemd laat. Een voorbeeld van een verdiepend onderzoek is wanneer de AP de melder opdraagt om een (potentieel dure) audit te laten doen om de scope van een inbreuk te achterhalen. Bij zo’n 31% van de datalekmeldingen is dus sprake van een potentiële zware opvolging van de AP.
In schril contrast staan de 35 gevallen van niet gemelde datalekken waarbij de AP via informele interventie duidelijk heeft gemaakt dat het datalek alsnog gemeld moet worden. De AP heeft in 2022 bij 188 keer zoveel gemelde datalekken actie ondernomen dan bij niet gemelde datalekken. Het niet melden van datalekken is bovendien ook niet bestraft met als zwaarste sanctie het alsnog moeten melden van het datalek.
Aleid Wolfsen van de AP lijkt datalekken voornamelijk als een overtreding van de AVG te zien blijkt uit een interview. Wanneer een organisatie gehackt is, is het niet (alleen) een slachtoffer, maar voornamelijk ook een overtreder. Volgens de toezichthouder kunnen de betrokkenen wiens data gelekt is de organisatie voor de rechter slepen om een schadevergoeding te verhalen. Dit standpunt klopt niet waardoor betrokkenen misschien valse hoop krijgen. Maar de boodschap kan ook organisaties met een datalek ontmoedigen om te melden.
Organisaties die niets of weinig fout hebben gedaan, maar toch slachtoffer zijn geworden van bijvoorbeeld een hacker, willen niet extra gestraft worden omdat ze transparant zijn over het incident. Organisaties die getroffen zijn door een datalek moeten dus een keuze maken of ze de AP gaan informeren. Voor een organisatie die in een lastige situatie zit waarbij mensen emotioneel kunnen reageren kan het heel ongemakkelijk zijn om zich kwetsbaar op te stellen naar een toezichthouder die hen voornamelijk als overtreder ziet in plaats van slachtoffer.
Voor organisaties waar men de situatie wat zakelijker bekijkt is het logisch om de kans maal impact van de eventuele gevolgen van het melden van een datalek te vergelijken met de risico’s van niet melden. Die organisaties kunnen kijken naar de gepubliceerde besluiten van de AP die over datalekken gaan. Hoewel elke zaak unieke individuele overwegingen bevat geeft het overzicht wel een helder beeld van de gevolgen van de handhavingskeuzes van de AP.
De AP heeft in het jaarverslag ook nog 35 afgehandelde zaken benoemd naar aanleiding van signalen over niet gemelde datalekken. Die heeft de AP allemaal afgehandeld via een informele interventie. Ik verwacht dat dat een telefoongesprek of brief is geweest waarin wordt uitgelegd dat er een melding moet worden gedaan, maar geen bevel of formele waarschuwing.Twee zaken springen er voor mij uit:
- Gemelde datalekken leiden, op basis van dit beperkte aantal zaken, tot veel hogere boetes; Gemakkelijk een paar ton ten opzichte van gemiddeld een paar duizend euro na signalen over niet gemelde datalekken.
- Er wordt meer formeel gehandhaafd op wel gemelde datalekken dan op niet gemelde datalekken.
Hoewel ik nooit aanraad om de meldplicht te overtreden, is druk vanuit de toezichthouder niet het meest overtuigende argument om een datalek te melden als je dit plaatje bekijkt. De AP laat consistent zien meer aandacht te besteden aan gemelde datalekken waardoor de kans op negatieve gevolgen voor de verantwoordelijken groter is. Op basis van hele beperkte statistieken geeft de AP ook nog de indruk dat de negatieve gevolgen voor een organisatie bij een melding groter zijn. De capaciteitsplanning van de AP geeft ook inzichten in de prioriteiten. Daarvoor gebruik ik een rapport van KPMG uit 2020 met een voorziene capaciteit voor 2023.
De AP heeft 18,2 FTE voorzien voor toezicht op gemelde datalekken en 4,8 FTE voor toezicht op mogelijk niet gemelde datalekken. Voor de volledigheid heb ik ook de afdeling controlerend onderzoek genoemd omdat die bij alle soorten onderzoeken kan bijdragen, waaronder ook datalekken. Maar deze afdeling heeft voor datalekken in dit rapport geen specifieke capaciteit toegewezen gekregen.De focus van de AP vanuit de capaciteit lijkt ook glashelder:
- Toezicht op datalekken is vrijwel geheel reactief. Zonder de verantwoordelijken die zelf hun eigen lekken melden of betrokkenen die zelf datalekken ontdekken, zelf daarover eerst de verantwoordelijke benaderen en dan klagen bij de AP is de kans vrij klein dat de AP het datalek ontdekt.
- Bijna vier keer zoveel capaciteit is toegewezen aan toezicht op gemelde datalekken als aan de niet gemelde datalekken waarover mensen tips bij de AP achterlaten of klachten indienen.
Constructief toezicht
Ik geloof dat het toezicht op datalekken veel positiever ingezet kan worden. Mijn belangrijkste uitgangspunten zijn:
- Geen onredelijke uitbreiding van capaciteit. In het voorstel hieronder ga ik uit van de 23 FTE die de AP heeft ingeschat voor specifiek datalekkentoezicht. De AP heeft meer capaciteit nodig, maar voor dit voorstel ga ik ervan uit dat ze dat niet krijgen. Het voorstel werkt ook met minder FTE door alle taken proportioneel af te schalen. De meeste taken kunnen zelfs nuttig zijn met minder dan een hele FTE.
- Meldingen leiden zo veel mogelijk tot positieve opvolging en boetes zijn voor excessen.
- Er valt meer winst te behalen in het vergroten van de pakkans dan strenger straffen.
Mijn suggestie voor een verdeling van taken ziet er als volgt uit:
Data-analyse en adviezen (Reactief, 4 FTE)
Met een klein team worden de gemelde datalekken geanalyseerd met als doel om veel voorkomende verbeterpunten te verzamelen en deze om te zetten in praktische adviezen voor maatregelen voor preventie, detectie, response en herstel. Deze adviezen worden allemaal gepubliceerd en dienen als naslag voor iedereen om van te leren en als normuitleg die later gebruikt kan worden in handhaving.
Triage meldingen (Reactief, 4 FTE)
Meldingen van datalekken komen in grote aantallen binnen. Triage moet beoordelen of er meldingen bij zitten die opgepakt zouden kunnen worden in handhaving. Bijvoorbeeld omdat betrokkenen onterecht niet geïnformeerd zijn, omdat de afhandeling van het datalek onvoldoende lijkt te zijn of omdat meldingen onvolledig of duidelijk onjuist zijn ingevuld. Een hele kleine selectie van de meldingen wordt doorgestuurd aan handhavend onderzoek.
Triage klachten en tips (Reactief, 2 FTE)
Behalve meldingen komen er ook tips en klachten binnen over datalekken die mogelijk niet gemeld zijn. Deze moeten ook worden beoordeeld. Sommige meldingen zijn onterecht of onduidelijk, andere zijn misschien belangrijk genoeg om direct op te moeten pakken. Alle signalen die deze afdeling als potentieel terecht opmerkt worden doorgestuurd naar de afdeling handhavend onderzoek.
Speuren naar niet-gemelde datalekken (Proactief, 2 FTE)
Behalve nieuwsberichten, klachten en tips zijn er verschillende methoden om datalekken op te sporen die mogelijk niet bij de AP gemeld zijn. Omdat er een enorme bias zit in wat er aan tips en klachten binnenkomt moet de AP ook zelf speuren zodat er zo min mogelijk datalekken structureel over het hoofd worden gezien. Alle aangetroffen datalekken worden doorgestuurd aan de relevante collega’s. Dat kunnen internationale collega’s zijn, of de afdeling handhavend onderzoek na een controle of ze niet al zijn gemeld bij de AP.
Handhavend onderzoek (Proactief/Reactief, 11 FTE)
Het doel van deze afdeling is om op basis van alle binnengekomen signalen onderzoeken te starten. De verwachte output van dit team zou neer moeten kunnen komen op enkele (gepubliceerde) handhavingsbesluiten per FTE per jaar. Prioriteiten zouden gericht moeten zijn op het aanjagen van transparantie over lekken en een structureel verbeterproces bij de verwerkingsverantwoordelijken. En waar nodig het uitkiezen van specifieke zaken om heldere bruikbare normen uit te werken (voorbeelden stellen). Het is belangrijk dat de handhavingsbesluiten, ook als er geen overtreding wordt geconstateerd, worden gepubliceerd zodat zoveel mogelijk organisaties kunnen leren van elkaars fouten.
Toch een datalek?
Ondanks mijn kritische houding adviseer ik nooit om een datalek niet te melden als ik geloof dat dat wel moet. Wat wel heel belangrijk is, is weten hoe je moet reageren op een datalek en je daar zo veel mogelijk op voor te bereiden. Als ik een organisatie helder zie communiceren over een datalek en de maatregelen die ze nemen geeft dat mij over het algemeen juist heel veel vertrouwen in de organisatie. Heldere communicatie in een melding bij de AP en daarbuiten kan ook helpen om de kans te verlagen dat de AP een onderzoek start vanwege de melding. Hieronder volgen een paar tips:
- Zorg dat je de feiten op een rijtje hebt. Wanneer is de inbreuk ontdekt? Wat heb je kunnen vaststellen dat er gebeurd is? Etc.
- Wees terughoudend met interpretaties. Dat er losgeld is gevraagd wil niet zeggen dat de criminelen eerlijk zijn over alles wat ze gedaan hebben. Niet gezien hebben dat er ook wachtwoorden gestolen zijn wil niet zeggen dat dat niet gebeurd is. Als je de onzekere factoren expliciet maakt helpt het je betere prioriteiten te stellen én kan het voorkomen dat je later moet terugkomen op wat je gecommuniceerd hebt naar de AP of naar betrokkenen.
- Wees helder over wat je nog gaat doen. Reageren op een inbreuk kan een stuk langer duren dan de 72 uur deadline voor de meldplicht. Het is dus heel normaal dat nog niet alles is afgehandeld. Maar hoe duidelijker je bent over waar je nog mee bezig bent, hoe minder noodzaak er voor de AP is om vervolgvragen te stellen.
- Voorbereiding is cruciaal. Achteraf erachter komen dat je tijd nodig hebt om processen op te zetten of informatie mist is niet handig. Vanuit de techniek betekent dat bijvoorbeeld dat je voor degelijke logging moet zorgen zodat je achteraf bijvoorbeeld kan achterhalen wat er precies gelekt is en wanneer. Maar oefen ook met het proces. Wie kan bij welke informatie? Wie hakt de knopen door? Werken alle leveranciers goed mee?