Gegevens van klanten en gebruikers van uw website of digitale dienstverlening verzamelen en bewaren is een tweesnijdend zwaard. Deze gegevens zijn niet alleen voor uw onderneming van groot belang voor een correcte facturatie, klantenservice, marketing en innovatie, ze trekken ook cybercriminelen aan. Die zijn uiteraard geïnteresseerd in financiële gegevens zoals codes van bankkaarten, maar gaan vaak ook aan de haal met gevoelige informatie over gezondheid, familiesituatie of seksuele voorkeur. Hacking van deze gegevens is dan ook schering en inslag.
De grote cyberaanvallen van afgelopen zomer (onder andere met de Wannacry-ransomware) tonen aan dat een goede cyberbeveiliging vandaag geen luxeproduct meer is voor een onderneming. Het advies is evident: deze gegevens zo goed mogelijk beschermen en afschermen. Maar wat gedaan indien criminelen toch aan de haal gaan met deze gegevens? Moet u dit melden aan de getroffen klanten of gebruikers? En wat met de autoriteiten? Er zijn op dit vlak belangrijke wijzigingen op komst.
Informeren: vandaag geen verplichting, behalve voor telecomoperatoren
Vandaag bestaat er enkel voor telecomoperatoren een wettelijke verplichting om na een cyberincident de autoriteiten in te lichten. Telecomoperatoren moeten een lek binnen de 24 uur melden aan het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT) en binnen de 72 uur een uitgebreider verslag uitbrengen. Dit moet enkel gebeuren indien het incident een belangrijke impact heeft op de exploitatie en veiligheid van telecomnetwerken en -diensten.
Voor andere spelers is er een mogelijkheid om een datalek te melden bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – binnenkort de Gegevensbeschermingsautoriteit – maar dit is geen verplichting. De onderneming kan hiervoor zelf kiezen, of niet. Uit de cijfers van de Commissie blijkt dat datalekken nauwelijks worden gemeld.
Dat geheimhouding vanuit een economisch perspectief ook niets steeds de beste oplossing is, bewijst de hetze rond het dataverlies van Yahoo! Vorig jaar kwam aan het licht dat er in 2013 een dramatisch datalek had plaatsgevonden van de accountgegevens van nagenoeg alle gebruikers. Yahoo! besloot om het datalek geheim te houden. Toen de media hier alsnog over berichtten, had dit grote gevolgen voor de aandelenkoers van Yahoo! en daardoor voor de overnameprijs die Verizon betaalde. De economische analyse van het al dan niet melden is één ding. Maar u moet er ook rekening mee houden dat, als de klant schade loopt doordat u dit niet meldde, deze eventueel schadevergoeding kan vragen. Op dit moment zijn er in België nog geen gevallen bekend waar een gebruiker de verwerkingsverantwoordelijke voor de rechtbank daagde wegens schade door het verlies of de diefstal van gegevens.
Nieuw: meldingsplicht op komst
Vanaf 25 mei 2018 verandert een en ander door de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG). Deze verordening voorziet in een algemene meldingsplicht voor de verwerkingsverantwoordelijke van persoonsgegevens bij datalekken.
Een datalek is volgens de verordening elke inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (art. 4.12) AVG). Er is dus niet alleen een meldingsplicht in het geval van een hacking, maar evenzeer bij het louter verlies van gegevens door slordigheid. Uit onderzoek blijkt dat het merendeel van de datalekken per ongeluk gebeurt door toedoen van de verwerkingsverantwoordelijke zelf.
In de eerste plaats zal er een verplichting komen om een datalek te melden aan een nog op te richten Centraal Meldpunt voor Datalekken, dat zal opereren onder de Gegevensbeschermingsautoriteit. Deze melding is niet nodig als het niet waarschijnlijk is dat een datalek een risico inhoudt voor de rechten en vrijheden van het individu. Is dat wel het geval, dan moet de verwerkingsverantwoordelijke het datalek binnen de 72 uur melden, met vermelding van de volgende gegevens (art. 33 AVG):
- de aard van de inbreuk, het aantal betrokkenen en de categorieën van betrokkenen;
- de aard van de gelekte persoonsgegevens en het aantal (bijvoorbeeld financiële gegevens, zoals de code van een kredietkaart);
- de waarschijnlijke gevolgen van de inbreuk (bijvoorbeeld financiële fraude);
- de contactgegevens van de data protection officer (DPO) of een andere contactpersoon bij wie meer informatie kan worden verkregen; en
- de maatregelen die de verantwoordelijke nam om de inbreuken te beperken, voorkomen of verhelpen (deze informatie kan later meegedeeld worden).
In de tweede plaats moet de verwerkingsverantwoordelijke de persoon wiens persoonsgegevens zijn gelekt eveneens informeren, doch enkel wanneer er een hoog risico bestaat voor zijn of haar rechten en vrijheden. Dat betekent dat u sneller en vaker de toezichthoudende autoriteit dan de persoon in kwestie zal moeten verwittigen.
Het overkoepelende orgaan van alle toezichthoudende autoriteiten binnen de Europese Unie, de "Werkgroep Artikel 29" (WP29) werkte verdere richtsnoeren uit voor de inschatting van dit risico (Guidelines on Personal data breach notification under Regulation 2016/679). Het al dan niet bestaan van het risico hangt onder meer af van de gevoeligheid van de gelekte gegevens (bijvoorbeeld gegevens over de gezondheid tegenover de leeftijd van de persoon), de context van het datalek (hacking of niet) en het mogelijke gebruik hiervan.
Omzetting van de meldingsplicht in België
Momenteel concretiseert de Belgische wetgever deze meldingsplicht verder. De regering kondigde reeds aan dat er een Centraal Meldpunt voor Datalekken komt onder auspiciën van de Gegevensbeschermingsautoriteit, waar de verantwoordelijke het datalek zal moeten melden. Dit Meldpunt coördineert daarop de reactie op dit lek. Tegenover het niet melden staan zware boetes. Deze kunnen opgelegd worden bovenop boetes voor een gebrekkige beveiliging van persoonsgegevens.
We merken op dat de Europese Unie met de NIS-richtlijn een nog strengere bijkomende meldingsplicht voorziet voor de bedrijven en instellingen die zogenaamde essentiële diensten aanbieden. Dit zijn onder andere bedrijven die instaan voor energievoorziening, transport, bankwezen, infrastructuur voor de financiële markt, gezondheidzorg, levering en distributie van drinkwater en digitale infrastructuur. Zij moeten elk cyberincident met aanzienlijke gevolgen voor de continuïteit van de door hen verleende essentiële diensten meteen melden aan de nog op te richten nationale Computer Security Incident Response Teams. Ook deze richtlijn moet tegen mei 2018 worden omgezet.
En wat met de politie: heeft een klacht neerleggen wel zin?
Zowel inbreken in het systeem, schade aanrichten, als gegevens stelen, veranderen of vernietigen zijn strafbaar. Daardoor is hacken ook strafbaar indien er geen financieel motief was. Dit geldt eveneens voor het platleggen van een website om politieke redenen of louter voor de kick. De Belgische wetgever heeft de cybermisdrijven zo breed geformuleerd dat zo goed als elke nadelige actie ten opzichte van een informaticanetwerk hieronder valt.
De keuze om al dan niet een klacht neer te leggen bij te politie kan passen in een policy van de onderneming waarbij elke strafrechtelijke overtreding wordt gevolgd door een klacht. Wij adviseren vanuit onze praktijk om eveneens rekening te houden met de slaagkansen van een dergelijke klacht, onder andere op basis van het soort aanval, de verzamelde gegevens en oorsprong van de aanval, alsook de financiële, materiële of imagoschade.
De inspectiedienst van de Gegevensbeschermingsautoriteit zal bovendien ook de procureur des Konings kunnen verwittigen indien de inbreuk ook een strafrechtelijke inbreuk uitmaakt. De meldingsplicht zal daardoor ook aanleiding kunnen geven tot het opstarten van een strafrechtelijk onderzoek, ongeacht of de verantwoordelijke verwerker of de persoon wiens gegevens zijn gelekt dit wenst.
Uit de officiële statistieken van de politie blijkt dat het aantal klachten voor cybermisdrijven de laatste jaren sterk gestegen is. Cybercriminaliteit is dan ook al enkele jaren een prioriteit van zowel de politie, als justitie. Deze cijfers weerspiegelen echter slechts een fractie van het geschatte aantal cybermisdrijven. Bovendien blijkt dat slechts een klein deel van deze aangiftes ook effectief tot een vervolging leidt. Dit komt doordat er vaak te weinig gegevens voorhanden zijn, doordat de aanvallers gebruik hebben gemaakt van allerhande middelen om zich onvindbaar te maken of doordat de daders hun aanval plannen vanuit een land waarvan ze weten dat het niet of nauwelijks meewerkt met het gerecht. Een aangifte doen van de cyberaanval is daarom geen garantie voor het vinden van de daders of de vergoeding van de schade.
Welke keuze u ook maakt, om de optie van een dergelijke klacht en vervolging open te houden, moet er een noodprocedure bij de IT-afdeling van de onderneming zijn om zoveel mogelijk gegevens te verzamelen over de aanval, alsook een actieplan om de mogelijke schade te beperken.
Catherine Van de Heyning
catherine.vandeheyning@eubelius.com
Anneleen Van de Meulebroucke
anneleen.vandemeulebroucke@eubelius.com
Tom Bauwens
tom.bauwens@eubelius.com