AVG, een datalek, hoe ernstig is dat?

door: Carlo Kuip op: 16 februari 2018

AVG, een datalek, hoe ernstig is dat?

Met de inwerkingtreding van AVG/GDPR in mei van dit jaar wordt nog eens bevestigd dat het lekken van persoonsgegevens gemeld moet worden bij de Autoriteit Persoonsgegevens.

Wanneer is sprake van een datalek en wat is de ernst van de gelekte gegevens voor de personen die het betreft? Laten we dat eens nader onderzoeken. We beginnen bij de Article 29 Working Party (WP29), het adviesorgaan binnen de EU waarin privacy en veiligheid vanuit beleid worden vertaald naar meer praktische adviezen. De Working Party heeft een document opgesteld met daarin Guidelines on Personal Data breach notification under Regulation 2016/679 met het veelzeggende nummer wp250. Zoals dat gaat, verwijst artikel 29 naar een volgend document voor het classificeren van de ernst van een datalek. Dat komt echter bij een ander Europees instituut vandaan, het ENISA.

ENISA

Het classificeren van de impact hoeven we gelukkig niet zelf uit te vinden. In Europa wordt dat bepaald door het ENISA. In een handleiding van dit gespecialiseerde instituut staat precies omschreven hoe de ernst van een datalek kan worden geclassificeerd. Daarmee is het probleem natuurlijk niet verholpen, maar we weten dan wel of we naast het informeren van de Autoriteit Persoonsgegevens ook verplicht zijn alle betrokkenen te informeren.

Impact bepaling

Aan de hand van de zogeheten severity assessment van ENISA kan de impact worden ingeschat. U krijgt een gedetailleerde uitleg om een goede beoordeling te kunnen maken.

De ernst wordt bepaald aan de hand van drie beoordelingscriteria:

Data Processing Context (DPC)

  • Wat voor soort persoonsgegevens zijn gelekt?
    • Eenvoudig; biografische gegevens, contactgegevens, volledige namen, gezinsleven, werkervaring, etc. (DPC = 1)
    • Gedrag; locatie, reisgegevens, persoonlijke voorkeuren en gewoonten (DPC = 2)
    • Financieel; inkomen, transacties, bankafschriften, creditcard statements, facturen, etc. (DPC = 3)
    • Gevoelig; politieke voorkeur, religie en levensovertuiging, gezondheid, etc. (DPC = 4)
  • Wegingsfactoren
    • Volume van data; aantal records of bestanden dat is gelekt
    • Karakteristiek van de verwerkende organisatie: is het een zorginstelling, marketingbureau, schildersbedrijf, etc.
    • Accuraatheid en actualiteit van de gegevens
    • Publieke beschikbaarheid van de gegevens voor het lek
    • Soort data
  • Deze wordt bepaald aan de hand van een tabel en kan verhoging van de basisfactor opleveren
    • Gaat het bijvoorbeeld om eenvoudige persoonsgegevens, maar wel van kinderen, dan zal in dat geval de factor met 3 punten worden verhoogd en wordt de ernst groter
  • Ease of Identification (EoI); Hoe eenvoudig kan iemand worden geïndentificeerd aan de hand van de gelekte gegevens
    • Verwaarloosbaar
      • Als bijvoorbeeld iemands naam veelvoorkomend is in de populatie (EoI = 0,25)
    • Beperkt
      • Als bijvoorbeeld iemands naam in een land niet veelvoorkomend is (EoI = 0,5)
    • Significant
      • Als bijvoorbeeld iemands naam in een stad niet veelvoorkomend is (EoI = 0,75)
    • Maximum
      • Als bijvoorbeeld een naam uniek is in een populatie of samen met een geboortedatum wordt gelekt (EoI = 1)
    • Circumstances of Breach (CB); Onder welke omstandigheden zijn de gegevens gelekt, verloren of beschadigd
      • Soorten inbreuk
        • Verlies van vertrouwelijkheid; de gegevens zijn (potentieel) voor meer partijen toegankelijk dan bedoeld
        • Verlies van integriteit; de gegevens zijn gewijzigd of beschadigd waardoor het individu nadelige gevolgen kan ondervinden
        • Verlies van beschikbaarheid; de gegevens zijn niet beschikbaar waardoor een individu nadelige gevolgen kan ondervinden
        • Malicious intent; er is met kwade opzet gehandeld om gegevens te manipuleren, beschadigen of vernietigen waardoor een individu nadelige gevolgen kan ondervinden

Voorbeelden:

  • Het vernietigen van persoonsgegevens op een harde schijf van een PC die buiten gebruik gesteld is, heeft niet plaatsgevonden (CB = +0)
  • Een e-mail met bijlage waarin persoonsgegevens staan is onterecht verstuurd aan bekende ontvanger (CB = +0,25)
  • Een bestand met persoonsgegevens wordt op LinkedIn gedeeld (CB = +0,5)

Severity

Op basis van de weging van de voorgaande factoren komen we dan tot een severity indicatie. Met de onderstaande formule kunnen we de ernst van het lek classificeren:

Severity = DPC x EoI + CB

Severity wordt bepaald door 4 maten:

  • Getal kleiner dan 2 is een lage ernst
  • Getal ligt tussen 2 en 3 is een gemiddelde ernst
  • Getal ligt tussen 3 en 4 is een hoge ernst
  • Getal ligt boven de 4 is een zeer hoge ernst

Voorbeeld:

Een bedrijfs-pc wordt afgedankt zonder de gegevens op de harde schijf te vernietigen. De pc wordt door een voorbijganger meegenomen die bij thuiskomst de computer opstart en een actuele lijst met 2500 klanten aantreft. In de lijst staan naam, adres, woonplaats en telefoonnummer en een overzicht van recentelijk aangeschafte goederen met factuurgegevens. De voorbijganger besluit zijn vondst anoniem openbaar te maken door deze op pastebin.com te publiceren. De gegevens zijn daarmee volledig buiten controle van de organisatie die de pc heeft afgedankt. Het lek wordt door een anoniem persoon aan de organisatie gerapporteerd. Wat is de ernst van dit lek?

Data Processing Context

Er zitten financieel geclassificeerde gegevens in, dus dat is score 3. Door de omvang van het lek moeten we als correctiefactor nog het getal 1 erbij optellen, waardoor we op eindcijfer 4 komen.

Ease Of Identification

Alle klanten zijn uniek te identificeren door complete adresgegevens, score 1.

Circumstances of Breach

Er is sprake van verlies aan vertrouwelijkheid, malicious intent is niet aannemelijk, score +0,5.

Het Severity getal komt daarmee op 4 x 1 + 0,5 = 4,5

We spreken in dit geval van een zeer hoge ernst.

De gevolgen van deze uitkomst komen aan bod in het melden van een datalek (zie ook blog 3 Help een datalek! Hoe zit dat met de AVG?)

Expertise noodzakelijk

Al met al is dit geen eenvoudige materie. Het is dus ook zeker verstandig om er een professional bij te betrekken om zaken vast te stellen of uit te sluiten en om te voorkomen dat er nalatig of verkeerd wordt gehandeld. Dit levert namelijk een groot bedrijfsrisico op en kans op fikse boetes. Zoek dus contact met een organisatie die u kan helpen als het mis gaat. Dat slaapt een stuk beter. 

In mijn laatste blog in deze serie, nummer zes die morgen wordt gepubliceerd, laat ik zien hoe wij bij SnelStart omgaan met de AVG en wat we allemaal doen om de gegevens van onze klanten te beschermen.


Carlo Kuip

Door Carlo Kuip

Carlo is enterprise architect bij SnelStart. Carlo is altijd bezig met vernieuwingen op het gebied van technologie. Daarnaast is hij continu op zoek naar verbeteringen in het proces. Zijn credo: "The only way to go fast is to go well."

Wat vond u van dit artikel?
Goed verhaal! of Geef een tip of stel een vraag aan Carlo Kuip.


Volg Carlo Kuip op social media: