Brute_force_attack

Per 1 januari 2016 gaat de nieuwe wet Datalek Meldplicht van kracht. Dit is een wijziging van de Wet bescherming persoonsgegevens (Wbp) op twee belangrijke punten: er wordt een strengere meldplicht ingevoerd en de boetebevoegdheid van het CBP (College Bescherming Persoonsgegevens) wordt aanzienlijk uitgebreid. Het is een belangrijke wetswijziging voor iedereen die met persoonsgegevens werkt, en zeker dus ook voor jou als beheerder van een webshop. Maar ondanks dat de wet over een paar weken al in gaat, zijn er nog een hoop onduidelijkheden. Wat betekent het nu precies voor je? In de hoop meer duidelijkheid te krijgen sloot ik afgelopen week aan bij een seminar van advocatenkantoor SOLV (gespecialiseerd in IT en e-commerce) over deze nieuwe wet. In dit artikel hoop ik de stof iets concreter te maken voor jullie.

Wet Datalek Meldplicht in een notendop

Vanaf 1 januari 2016 is het voor organisaties verplicht om een melding te doen bij het CBP zodra er persoonsgegevens gelekt zijn door een beveiligingsincident. Denk aan een hack waarbij men toegang heeft gekregen tot je database, maar ook aan het verliezen van een laptop in de trein waarmee je je orders afhandelt. Naast melding te maken bij het CBP dien je in ernstige gevallen ook de betrokkenen (dus de mensen van wie de persoonsgegevens zijn gelekt) op de hoogte te stellen. De details van de wet staan vrij helder omschreven in de beleidsregels die het CBP heeft uitgebracht, zie cbpweb.nl. Lees deze zeker even door.

Uitgebreidere meldplicht

De wet Datalek Meldplicht heeft een getrapt model, dat er als volgt uitziet:

Wet Datalek Meldplicht Webshop

Dit model is afkomstig uit de officiële beleidsregels van het CBP. Als er er onverhoopt iets is gebeurd dien je dus eerst voor jezelf na te gaan of er sprake is van een beveiligingsincident en of er persoonsgegevens verloren zijn gegaan. Dit wordt vrij ver doorgetrokken: stuur je een mailtje met orderdetails per ongeluk naar de verkeerde persoon, dan zijn er volgens het CBP al persoonsgegevens gelekt. Je zult dan melding moeten doen bij het CBP.

Melden binnen 72 uur

Zo’n incident dien je binnen 72 uur te melden, ‘voor zover mogelijk’. Die 72 uur gaat in op het moment dat je er zelf achterkomt. Kom je dus pas na 3 dagen erachter dat je gehackt bent, dan gaan vanaf dan de 72 uur in. Het CBP wil natuurlijk wel voorkomen dat men uit angst alles maar meldt, puur om die 72 uur te halen. Vandaar de ‘voor zover mogelijk’ …

Wanneer moet je ook de betrokkenen informeren?

Merk op dat het een getrapt model is. Als je voor jezelf vaststelt dat je het niet hoeft de melden bij het CBP, dan hoef je ook de betrokkenen niet te informeren.
Ook als je het wel het CBP moet melden, betekent dit nog niet dat je de betrokkenen op de hoogte moet stellen. Je bent hiertoe pas verplicht als “het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Nu begrijp ik dat dat het geval is als er credit card gegevens zijn buitgemaakt of als het om een vreemdgaanders-site gaat, maar voor alle andere gevallen is deze omschrijving vrij vaag. Tegelijkertijd is het wel aan jou om deze afweging te maken. Gelukkig zal het in de praktijk zo zijn dat het CBP jou laat weten of het nodig is of niet.

Wel benoemen ze specifiek wat je te doen staat als de gelekte data beveiligd is door middel van encryptie of hashing. In de beleidsregels staat hierover het volgende: “Als u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.” Je moet het lek dan wel melden bij het CBP, maar niet aan de betrokkenen. Dit betekent in de praktijk echter wel dat je geregeld moet controleren of de encryptie nog intact is. Dat houdt je van de straat, zeg maar …

Kans op een fikse boete

Als je bij het CBP melding maakt van een datalek betekent dat niet dat je direct een boete krijgt opgelegd. In de meeste gevallen krijg je een ‘bindende aanwijzing’ om je beveiliging aan te scherpen. Het CBP kan je wél direct een boete opleggen als “de overtreding opzettelijk is gepleegd of als er sprake is van ernstig verwijtbare nalatigheid”.

Wat is ernstige verwijtbare nalatigheid?

Opzettelijk overtreding’, die is duidelijk. Als je persoonsgegevens doorverkoopt aan een derde is er sprake van opzet. Maar ‘ernstige verwijtbare nalatigheid’, wat is dat? Ben je al nalatig als je niet op de laatste Magento software draait, als je niet elke patch hebt geïnstalleerd, als je geen SSL certificaat gebruikt? In artikel 66 lid 4 van de Wet Bescherming Persoonsgegevens zie je dat er geen enkel woord aan vuil wordt gemaakt.
In de juridische wereld wordt dan al snel gesproken over ‘gangbare veiligheidsmaatregelen’. Maar wat dát dan precies is, zullen we voor onszelf moeten bepalen. Uiteindelijk is het het CBP dat bepaalt of jou ernstige nalatigheid kan worden verweten. Natuurlijk kun je dit oordeel wel altijd aanvechten bij de rechter.

Als je het mij vraagt zijn dit gangbare veiligheidsmaatregelen voor een webshop:

  • Zorg dat je een SSL certificaat gebruikt, zodat klantgegevens versleuteld worden verstuurd.
  • Zorg dat je bij veiligheidspatches van software als Magento (en al je extensies) direct actie onderneemt. Als Magento je heeft gemaild over een kritieke security patch en je die niet installeert, vind ik dat je nalatig bent.
  • Zorg dat je op een veilige versie van Magento draait. Dat hoeft niet per se de laatste versie te zijn, maar wel de laatste security release.
  • Werk niet aan je site op openbare computers als je er niet heel zeker van bent dat er geen verouderde software of keyloggers gebruikt wordt.

Mis je er een paar? Vul ze graag aan. Ik ben wel benieuwd wat jullie onder ‘gangbare veiligheidsmaatregelen’ verstaan.

Hoogte van de boete

De hoogte van de boete kan oplopen tot 820.000 euro of 10% van de omzet. Deze bedragen kunnen in de praktijk natuurlijk nogal uiteenlopen. Die 10% van de omzet wordt waarschijnlijk genoemd voor bedrijven en situaties waarbij 820.000 euro niet genoeg is. Een opzettelijk datalek wordt gezien als een serieus vergrijp en voor bedrijven met een flinke omzet kan 820.000 euro een peulenschil zijn.

Neem voorzorgsmaatregelen

Het mag duidelijk zijn: je wilt überhaupt niet bij het CBP aan hoeven te kloppen. Maar we weten dat een volledig veilig internet een utopie is. Dat weet het CBP ook. Het doel van deze wet is dus ook niet om lekken volledig te voorkomen, maar om awareness te creëren bij partijen die werken met persoonsgegevens en hiermee indirect zoveel mogelijk schade te voorkomen.

Als webshopeigenaar kun je je met enkele voorzorgsmaatregelen voorbereiden op de wet Datalek Meldplicht:

  • Neem de gangbare veiligheidsmaatregelen. Bepaal voor jezelf wat die zijn, maar zorg in ieder geval voor een SSL certificaat, houd je site up-to-date, installeer veiligheidspatches, etc.
  • Monitor nauwlettend wat er op je site gebeurt. Als je hier strak op zit ben je een eventuele hacker al op het spoor voordat hij/zij schade kan aanrichten. Daarnaast is het natuurlijk een nachtmerrie als niet jij, maar een journalist of een ethical hacker het lek voor je ontdekt.
  • Zorg dat je een plan hebt liggen voor als het onverhoopt toch mis is gegaan. Een soort ‘data lek response planning / -team’. Hoe uitgebreid je dat maakt hangt natuurlijk af van hoe groot je bedrijf is. Maar bedenk je dat je niet erg lang de tijd hebt om het lek te melden en het scheelt al de helft aan paniek als je weet wat je moet doen. En wié wat moet doen.

Meer weten over hoe je je shop veilig houdt?

Kijk op onze themapagina Security.

Lees onze whitepaper Hoe Houd Je Hackers Buiten?

Magento shop? Controleer ‘m op kwetsbaarheden op MageReport.com

Bekijk wat we bij het Hypernode platform extra voor je doen om je shop veilig te houden

Scan je eigen Magento shop op veiligheidslekken