Het zou heel plezierig zijn wanneer er een API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en met een klik op de knop kunnen doorzetten naar het meldpunt”, vindt ook Zwenne. De AP heeft volgens Zwenne inmiddels wel al diverse belangrijke verbeteringen doorgevoerd, zoals het opnieuw mogelijk maken van bulkmeldingen (die eerder waren afgeschaft). “Met een bulkmelding is het mogelijk voor bijvoorbeeld verzekeraars en pensioenfederaties om gelijksoortige meldingen ‘op te sparen’ en periodiek te melden. Daarmee wordt voorkomen dat iedere verkeerd verstuurde brief afzonderlijk moet worden gemeld. Voor zo’n bulkmelding is wel vooraf toestemming nodig van de AP. ” Risicoloze meldingen Zwenne ziet in zijn praktijk als advocaat ook weleens datalekken langskomen waarbij het de vraag is of ze wel risicovol zijn. “Er zijn daarover veel misverstanden. Datalekken moeten gemeld worden, tenzij er géén risico is voor betrokkenen. In gevallen met een hoog risico, moet het datalek ook aan de betrokken personen zelf worden gemeld. Daar zit een gelaagdheid in die voor organisaties vaak niet helemaal duidelijk is.” Sommige meldingen die nu gemaakt worden zijn bovendien niet nodig. “Een aantekening in de eigen registers kan al genoeg zijn voor een juiste afhandeling. Toch wordt er dan gemeld, omdat de onzekerheid groot is en een boete van de AP torenhoog kan zijn.” Zwenne geeft als voorbeeld een e-mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. "Dat gaat niet altijd goed; dat overkomt ons allemaal weleens. Maar een melding hoeft niet nodig te zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het bericht niet geopend heeft en direct heeft verwijderd, ook uit ‘deleted items’. Voorwaarde is dan wel dat je een ontvanger kunt vertrouwen.” ‘Geldt ransomware altijd als datalek?’ De Autoriteit Persoonsgegevens krijgt geregeld vragen over datalekken waarbij ransom- of cryptoware is aangetroffen. De AP heeft daarom als onderdeel van de campagne Alert Online informatie over ransomware en datalekken op de site geplaatst. Wanneer ransomware bestanden heeft versleuteld waarin persoonsgegevens zijn opgeslagen, is er sprake van een datalek. “Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen”, aldus de AP. “De organisatie meldt dat de verantwoordelijke er bij ransom- of cryptoware niet vanuit kan gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. Gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.” Datalekken moeten gemeld worden, tenzij er géén risico is voor betrokkenen Nummer 43, juli 2022 Wie precies wil weten wat de daadwerkelijke omvang van een datalek is, zal grondig onderzoek moeten doen. “Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht. Als een verantwoordelijke geen onderzoek doet, moet hij ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.” De AP schrijft verder dat bij inbreuken op de digitale beveiliging via ransomware dezelfde criteria gelden voor het melden van het datalek als voor datalekken met een andere oorzaak. 87
88 Online Touch Home