Datalek melden: Hoeveel tijd heb je eigenlijk?*

| IB&P | ,

Hoe te handelen bij een datalek mag inmiddels duidelijk zijn (zo niet, lees dan dit stappenplan). Toch belandde ik laatst in een discussie over de vraag: wánneer start de 72-uur termijn voor het melden van een datalek bij een toezichthoudende autoriteit, als dit datalek is ontstaan bij een verwerker?

In dit blog onderzoek ik twee visies:

  1. de 72-uur termijn start wanneer een verwerker een datalek vaststelt; of
  2. de 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek.

In de praktijk zie ik visie 1 vaak voorbijkomen, maar ik vond ook goede argumenten voor visie 2. Ik begin met uit te leggen wie moet melden en wat ‘kennis krijgen van een datalek’ precies betekent.

Verwerkingsverantwoordelijke meldt het datalek

De verwerkingsverantwoordelijke is degene is die een datalek moet melden aan de toezichthouder, zie overweging 85 en artikel 33 van de AVG. Ook is duidelijk dat de 72-uur termijn start wanneer de verwerkingsverantwoordelijke kennis krijgt van een datalek. Maar wat houdt dat in: ‘kennis krijgen van een datalek’?

‘Kennis krijgen van een datalek’

Een redelijke mate van zekerheid is vereist volgens de WP29 richtlijn over datalekken:

(…) a controller should be regarded as having become “aware” when that controller has a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised.” (WP29 is inmiddels EDPB)

Wat betekent ‘een redelijke mate van zekerheid’ concreet? Allereerst nemen de verwerker en de verwerkingsverantwoordelijke maatregelen om incidenten snel te herkennen. Is dat niet voldoende om met een redelijke mate van zekerheid een datalek vast te stellen? Dan mag de verwerkingsverantwoordelijke kort de tijd nemen voor onderzoek (artikel 32 AVG). Tot zover geen onduidelijkheden, maar vanaf dit punt zijn er twee visies te onderscheiden.

Gangbare visie

De 72-uur termijn start wanneer een verwerker een datalek vaststelt

Hoewel de AVG zwijgt over de details is deze visie in de praktijk het meest gangbaar en daar is ook iets voor te zeggen wanneer we kijken naar de WP29 richtlijn datalekken:

“The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has become aware.”

Deze visie zou gangbaar moeten blijven aangezien het Engels de officiële taal van EU-richtlijnen is. Of zijn er argumenten voor een andere visie?

Te verdedigen visie

De 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek

Dezelfde zin uit de Engelse richtlijn is in de Nederlandse WP29 richtlijn datalekken heel anders vertaald:

“(…) derhalve dient de verwerkingsverantwoordelijke in beginsel te worden geacht “kennis” te hebben gekregen zodra de verwerker hem van de inbreuk in kennis heeft gesteld.”

Deze Nederlandse vertaling is wellicht onvoldoende om over stag te gaan, aangezien de Engelse tekst leidend is.

In de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten start de 72-uur termijn ook nadat de verwerker het datalek bij de verwerkingsverantwoordelijke meldt:

“If the breach occurred at the processor, therefore, and the processor informs the data controller, the data controller is not aware of the breach until that moment, and the 72-hour period starts then.”

Maar er is meer.

Onderzoek “telt niet mee”

De verwerker kan geen “kennis krijgen” van een datalek zolang zijn onderzoek nog loopt. Ook de termijn om het lek te melden aan de verwerkingsverantwoordelijke (in het VNG-model: 24 uur) start nog niet. Zie de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten:

“The processor cannot be considered to be ‘aware’ of a breach, and the 24-hour period for reporting incidents does not commence, as long as the investigation is underway.”

De WP29 richtlijn datalekken sluit hierop aan. Ook de verwerkingsverantwoordelijke heeft (kort de) tijd voor een onderzoek:

“Accordingly, it should be clear that there is an obligation on the controller to act on any initial alert and establish whether or not a breach has, in fact, occurred. This brief period allows for investigation, and for the controller to gather evidence and other relevant details. However, once the controller has established with a reasonable degree of certainty that a breach has occurred, if the conditions in Article 33(1) have been met, it must then notify the supervisory authority without undue delay and, where feasible, not later than 72.”

Stappenplan: datalek bij verwerker

Het volgende stappenplan ontstaat wanneer ik bovenstaande op een rijtje zet:

  • (Veronderstelde voorbereiding) De verwerker en verwerkingsverantwoordelijke implementeren individueel en gezamenlijk maatregelen om datalekken te herkennen en te voorkomen
  • Er doet zich een incident voor bij de verwerker
  • De verwerker valt terug op geïmplementeerde maatregelen of doet onderzoek naar het incident
  • De verwerker krijgt kennis van het datalek en stelt het lek vast
  • De termijn voor de verwerker om het datalek aan de verwerkingsverantwoordelijke te melden start nu! (Standaard Verwerkersovereenkomst Gemeenten hanteert 24 uur)
  • De verwerker meldt het datalek bij de verwerkingsverantwoordelijke
  • De verwerkingsverantwoordelijke valt terug op geïmplementeerde maatregelen of doet onderzoek naar de melding van de verwerker
  • De verwerkingsverantwoordelijke stelt met redelijke mate van zekerheid vast dat er sprake is van een datalek
  • De 72-uur termijn voor het melden van het datalek aan de autoriteit start nu!

Neem de tijd voor het melden van een datalek

In dit blog liet ik zien dat de 72-uur termijn pas start nadat de verwerkingsverantwoordelijke voor zichzelf heeft vastgesteld dat er sprake is van een datalek. Daarnaast mogen verwerker en verwerkingsverantwoordelijke allebei een onderzoek instellen. En de tijd die ze daaraan besteden telt niet mee voor de 72-uur termijn.

Je zou nu kunnen denken dat je als CISO of Privacy Officer rustig aan kunt doen. Vergeet niet dat je aan de toezichthouder verantwoording moet afleggen over de tijd voorafgaand aan een melding. Gebruik daarom de extra tijd om open te communiceren met verwerkers. Maak afspraken, neem maatregelen en evalueer. Hiermee voorkom je stress en onnodige meldingen aan de toezichthouder.

Heb je hulp nodig bij het opzetten van een datalekprocedure? Of wil je ondersteuning om tot goede afspraken en maatregelen met verwerkers te komen? Neem dan contact met ons op.

* Deze blog is oorspronkelijk geschreven door oud-collega Eelke de Jong

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?