Meldplicht bij datalekken

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden aan het CBP (College Bescherming Persoonsgegevens). De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. De details van de wet staan omschreven in de beleidsregels die het CBP heeft uitgebracht, zie cbpweb.nl.

In dit artikel leggen we uit wat de wet betekent voor Byte en voor klanten van Byte.

Wat is de wet Meldplicht datalekken?

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden aan het CBP (College Bescherming Persoonsgegevens). Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het CBP zodra zij een ernstig datalek hebben. In sommige gevallen moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Wanneer moet een datalek worden gemeld?

Niet elk datalek moet worden gemeld. De wet bepaalt dat “ernstige” datalekken binnen 2 werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de 2e categorie:

  • Inloggegevens
  • Financiële gegevens
  • Kopieën van identiteitsbewijzen
  • School- of werkprestaties
  • Gegevens die betrekking hebben of levensovertuiging
  • Gegevens die betrekking hebben op gezondheid

Verschillende rollen

Byte kan zowel de rol als ‘Bewerker’ als ‘Verantwoordelijke’ hebben. De rol van bewerker betekent een derde partij die persoonsgegevens verwerkt. Omdat jij als klant gebruikt maakt van ons hostingplatform, zijn wij in dit geval de Bewerker. Een Bewerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de bewerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Wij zullen je dus tijdig op de hoogte stellen als je website is gehackt. De overweging of er melding gemaakt moet worden van de hack ligt dan niet bij Byte, maar bij de website eigenaar.

Naast de rol van Bewerker is er ook de rol van verantwoordelijke. Byte houdt haar klanten bij in een systeem, beheert servers en heeft een kantoor waar computers en laptops staan. Deze systemen, servers en computers kunnen ook gehackt worden. In dat geval heeft Byte de rol van verantwoordelijke. Als een van deze systemen of servers gehackt worden en er worden klantgegevens gelekt, dan heeft Byte de plicht om dit te melden aan het CBP. Het CBP bepaald dan of Byte ook de verantwoordelijkheid heeft om haar klanten op de hoogte te stellen.

Wat moet Byte doen?

Als er een datalek (hack) is in de website die gehost wordt door Byte, dan zal Byte dit moeten melden aan de verantwoordelijke van de website, dus de eindklant. In deze situatie is Byte wat ze noemen de Bewerker.

Als er een datalek plaats vindt op de servers van Byte en de gegevens van onze klanten gelekt zijn, dan heeft Byte de rol van Verantwoordelijke. Wij zullen het datalek moeten documenteren en het lek melden aan het CBP.

Wanneer hoeft Byte een datalek niet te melden?

Een datalek hoeft niet gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de gegevens versleuteld zijn of wanneer de gegevens op afstand verwijderd kunnen worden (van bijvoorbeeld de gestolen/verloren laptop). We moeten er dan wel zeker van zijn dat niemand de gegevens heeft kunnen inzien. Wij dragen hiervoor de bewijslast.

Wat moet je als klant van Byte doen?

Als je website is gehackt betekent dit niet direct dat je dit moet melden aan het CPB. Alleen als er bij de hack gevoelige gegevens (zie kopje “Wanneer moet een datalek gemeld worden”) toegankelijk zijn geweest, heb je meldplicht. Je hebt dan 2 dagen de tijd om het lek te melden aan het CBP.  De meldplicht ligt bij de eigenaar van de website, Byte geeft lekken in websites van haar klanten niet door aan het CBP.

Een DDoS aanval geldt niet als hack. Bij een DDoS worden er in korte tijd enorm veel verzoeken naar een website of applicatie gestuurd met als doel de website of applicatie ‘uit de lucht te halen’. Bij een Brute Force aanval ligt dit anders. Een Brute force aanval lijkt op een DDoS, behalve dan dat er veel verzoeken worden gestuurd naar een pagina waar je door middel van inloggegevens een website kunt benaderen (zoals de backend van je WordPress site). Hierbij worden talloze inlog combinaties uitgeprobeerd en bestaat de kans dat kwaadwilligen toegang hebben (gehad) tot je site.

Hoe meld je een datalek?

Het CBP zal een standaardformulier beschikbaar stellen voor het melden van een datalek. Het formulier zal vervolgens opgeslagen worden in een register van de toezichthouder, dat niet openbaar is. Op de website van het CBP vind je meer informatie over de meldplicht datalekken.

 

0