SnelStart
Gepubliceerd: 16 februari 2018
De inwerkingtreding van AVG/GDPR bevestigt nog maar eens dat dat het lekken van persoonsgegevens moet worden gemeld bij de Autoriteit Persoonsgegevens. Wanneer is sprake van een datalek en wat is de ernst van de gelekte gegevens voor de personen die het betreft? Dat onderzoeken we nader in dit blog.
Working Party
We starten het 'onderzoek' bij Article 29 Working Party (WP29), het adviesorgaan binnen de EU. Hier worden privacy en veiligheid vanuit beleid vertaald naar meer praktische adviezen. De Working Party heeft een document opgesteld met 'Guidelines on Personal Data breach notification under Regulation 2016/679' met het veelzeggende nummer wp250. Artikel 29 van dit document verwijst naar een document van het Europese instuut ENISA voor het classificeren van de ernst van een datalek.ENISA
Het classificeren van de impact hoeven we niet zelf uit te vinden. In Europa wordt dat bepaald door het ENISA. In een handleiding van dit gespecialiseerde instituut staat precies omschreven hoe je de ernst van een datalek classificeert. Daarmee is het probleem niet verholpen, maar dan weet je wél of je naast het informeren van de Autoriteit Persoonsgegevens ook verplicht bent alle betrokkenen te informeren.
Impactbepaling
Aan de hand van het zogeheten 'severity assessment' van ENISA kan de impact worden ingeschat. Je krijgt een gedetailleerde uitleg om een goede beoordeling te kunnen maken. De ernst wordt bepaald aan de hand van verschillende beoordelingscriteria, Data Processing Context (DPC).
Wat voor soort persoonsgegevens zijn gelekt?
• Eenvoudig: biografische gegevens, contactgegevens, volledige namen, gezinsleven, werkervaring, etc. (DPC = 1).• Gedrag: locatie, reisgegevens, persoonlijke voorkeuren en gewoonten (DPC = 2).
• Financieel: inkomen, transacties, bankafschriften, creditcard statements, facturen, etc. (DPC = 3).
• Gevoelig: politieke voorkeur, religie en levensovertuiging, gezondheid, etc. (DPC = 4).
Wegingsfactoren
• Volume van data; aantal records of bestanden dat is gelekt.• Karakteristiek van de verwerkende organisatie: is het een zorginstelling, marketingbureau, schildersbedrijf, etc.
• Accuraatheid en actualiteit van de gegevens
• Publieke beschikbaarheid van de gegevens voor het lek
• Soort data
Bepaling aan de hand van een tabel kan verhoging van de basisfactor opleveren
• Gaat het bijvoorbeeld om eenvoudige persoonsgegevens van kinderen? Dan wordt de factor met 3 punten verhoogd en wordt de ernst groter.
Ease of Identification (EoI)
Hoe eenvoudig kan iemand worden geïndentificeerd aan de hand van de gelekte gegevens?• Verwaarloosbaar. Als bijvoorbeeld iemands naam veelvoorkomend is in de populatie (EoI = 0,25)
• Beperkt. Als bijvoorbeeld iemands naam in een land niet veelvoorkomend is (EoI = 0,5)
• Significant. Als bijvoorbeeld iemands naam in een stad niet veelvoorkomend is (EoI = 0,75)
• Maximum. Als bijvoorbeeld een naam uniek is in een populatie of samen met een geboortedatum wordt gelekt (EoI = 1)
Circumstances of Breach (CB)
• Onder welke omstandigheden zijn de gegevens gelekt, verloren of beschadigd? Dit zijn de soorten van inbreuk:• Verlies van vertrouwelijkheid. De gegevens zijn (potentieel) voor meer partijen toegankelijk dan bedoeld.
• Verlies van integriteit. De gegevens zijn gewijzigd of beschadigd waardoor het individu nadelige gevolgen kan ondervinden.
• Verlies van beschikbaarheid. De gegevens zijn niet beschikbaar waardoor een individu nadelige gevolgen kan ondervinden.
• Malicious intent. Er is met kwade opzet gehandeld om gegevens te manipuleren, beschadigen of vernietigen waardoor een individu nadelige gevolgen kan ondervinden.
Voorbeelden:
• Het vernietigen van persoonsgegevens op een harde schijf van een PC die buiten gebruik gesteld is, heeft niet plaatsgevonden (CB = +0).
• Een e-mail met bijlage waarin persoonsgegevens staan is onterecht verstuurd aan bekende ontvanger (CB = +0,25).
• Een bestand met persoonsgegevens wordt op LinkedIn gedeeld (CB = +0,5).
Severity
Op basis van de weging van de voorgaande factoren komen we dan tot een severity indicatie. Met de onderstaande formule kunnen we de ernst van het lek classificeren:
Severity = DPC x EoI + CB
Severity wordt bepaald door 4 maten:
• Getal kleiner dan 2 is een lage ernst• Getal ligt tussen 2 en 3 is een gemiddelde ernst
• Getal ligt tussen 3 en 4 is een hoge ernst
• Getal ligt boven de 4 is een zeer hoge ernst
Voorbeeld
Een bedrijfs-pc wordt afgedankt zonder de gegevens op de harde schijf te vernietigen. De pc wordt door een voorbijganger meegenomen die bij thuiskomst de computer opstart en een actuele lijst met 2500 klanten aantreft. In de lijst staan naam, adres, woonplaats en telefoonnummer en een overzicht van recentelijk aangeschafte goederen met factuurgegevens. De voorbijganger besluit zijn vondst anoniem openbaar te maken door deze op pastebin.com te publiceren. De gegevens zijn daarmee volledig buiten controle van de organisatie die de pc heeft afgedankt. Het lek wordt door een anoniem persoon aan de organisatie gerapporteerd. Wat is de ernst van dit lek?
Data Processing Context: er zitten financieel geclassificeerde gegevens in, dus dat is score 3. Door de omvang van het lek moeten we als correctiefactor nog het getal 1 erbij optellen, waardoor we op eindcijfer 4 komen.
Ease Of Identification: alle klanten zijn uniek te identificeren door complete adresgegevens, score 1.
Circumstances of Breach: er is sprake van verlies aan vertrouwelijkheid, malicious intent is niet aannemelijk, score +0,5.
Het severity-getal komt daarmee op 4 x 1 + 0,5 = 4,5. We spreken in dit geval van een zeer hoge ernst. De gevolgen van deze uitkomst komen aan bod in het melden van een datalek (zie ook de blog 'Help een datalek!').
Expertise noodzakelijk
Het is verstandig om er een professional bij te betrekken om zaken vast te stellen of uit te sluiten en om te voorkomen dat nalatig of verkeerd wordt gehandeld. Dit levert namelijk een groot bedrijfsrisico op en kans op fikse boetes. Zoek dus contact met een organisatie die je kan helpen als het mis gaat. Dat slaapt een stuk beter.
