Een spannend nieuw meldformulier datalekken!

Maandag 31 mei 2021 ging het nieuwe meldformulier datalekken van de Autoriteit Persoonsgegevens online. Privacy Company dook er meteen bovenop om de nieuwigheden in kaart te brengen. Hierbij troffen we een aantal risico’s, inclusief een behoorlijke oeps. Deze delen we natuurlijk graag met je.

Nieuw!

Het meldformulier is iets anders qua opzet. Je ziet voortaan niet meer alle vragen, maar op basis van de antwoorden die je geeft, krijg je de voor jou relevante vragen gepresenteerd. Daarbij is de vraagvolgorde ook veranderd. Ik vind het tof dat je rechts in het meldformulier toch de door jou gegeven antwoorden op een rij zichtbaar kunt maken. Het is een gemiste kans dat de uitleg bij de vragen zo summier is. Voor onervaren melders kan het juist helpen als er extra uitleg staat.

Hoewel je verplicht bent om alle vragen te beantwoorden tenzij anders aangegeven, is dat in het formulier niet altijd duidelijk aangegeven. Zo hoef je geen KvK-nummer in te voeren om door te kunnen, maar wel je naam en adres. KvK is dus niet verplicht, NAW wel. Maar dat zie je dus niet.

Nieuwe onderdelen
Er zitten een aantal nieuwe onderdelen in. Het is belangrijk jouw eigen meldproces daarop aan te passen, zodat je alle onderdelen meteen uitvraagt bij degene die de melding doet. Er zijn vooral veel beschrijvingsvelden en keuzelijstjes toegevoegd.

- Registratienummer FG (optioneel);
- Als je organisatie alleen een adres in het buitenland heeft, geef je dat apart op;
- Aangeven hoe de inbreuk is ontdekt;
- Optionele documentatie uploaden bij beschrijving incident en reactie betrokkene;
- Als gegevens ontoegankelijk of onbegrijpelijk zijn gemaakt kun je de encryptie- hashing of andere relevante techniek  beschrijven (optioneel);
- Een keuzemenu bij de vraag ‘waarom gaat u niet melden aan betrokkenen’ met een aantal opties;
- Hoera, een download- en een bewaarknop!

De introductiepagina bij het meldformulier geeft aan dat het 15-30 minuten duurt om het in te vullen. Jullie ervaringen daarmee hoor ik graag!  

Spannend!

Bulkmeldingen
In het formulier kunnen organisaties met toestemming van de AP bulkmeldingen doen. Dit is als sinds 2017 een pilot, dus dit geldt niet voor iedereen. Ik ben benieuwd hoe de AP deze bulkmeldingen gaat controleren. Achteraf is namelijk niet meer te controleren welke datalekken wel én niet gemeld zijn, anders dan door aantallen met elkaar te vergelijken. Een oplossing zou een API kunnen zijn, waarmee meldingen vanuit een intern incidentenregister of een privacy management platform automatisch doorgezet kunnen worden. Dat zou veel organisaties veel tijd kunnen besparen.

Ontdekt of niet?
Als een inbreuk voortduurt of het onbekend is of de inbreuk nog voortduurt, wordt de vraag gesteld wanneer het incident is ontdekt (de uitleg over de ontdekking is verplicht). Vervolgens wordt de vraag gesteld, of het moment van ontdekking ook het moment van vaststelling van de inbreuk is: “Is dit het moment waarop u het incident heeft bestempeld als inbreuk (“datalek”) en dus kennis heeft gekregen van de inbreuk?” En daarbij de uitleg “Met het krijgen van kennis van een inbreuk wordt bedoeld dat op basis van objectieve factoren kan worden aangenomen dat het aannemelijk is dat een inbreuk zich heeft voorgedaan. Ter verduidelijking: dit is niet het moment waarop het incident bij de FG is gemeld. Dit wordt als reden voor te laat melden niet door de AP geaccepteerd.” Met andere woorden: de organisatie moet óók al objectief kunnen beoordelen of er sprake is van een datalek. Dat is best spannend en vereist veel training. Dit is overigens geheel in lijn met recente rapportage van Booking.com. Vreemd genoeg hoef je een te late kennisgeving verder niet toe te lichten.

Documenten uploaden
Voor het geven van uitleg over het datalek en de inhoudelijke melding aan betrokkenen is het mogelijk om documenten te uploaden. Het lijkt evident welke risico’s hier aan zitten. Je kunt het verkeerde document uploaden, vergeten te uploaden, maar nog erger, bedrijfsgevoelige informatie uploaden of een nieuw datalek veroorzaken door persoonsgegevens te uploaden. Het aanpassen van je meldproces om dit te voorkomen, is dus cruciaal.

Phishing? Dan mogelijk betrokkenen melden van wie gegevens in de mailbox stonden.
“Let op: indien u een phishing incident meldt, is het mogelijk dat u twee groepen betrokkenen moet informeren, namelijk degenen wiens contactgegevens in de e-mailbox stonden en de degenen wiens (bijzondere of gevoelige) persoonsgegevens in de e-mailbox waren opgenomen, bijvoorbeeld in een bijlage.” Het uitzoeken van deze informatie is meestal administratief ondoenlijk. Dat betekent dat een publieke melding gemaakt moet worden. Bekijk het positief, misschien gebruiken mensen hun mailbox daardoor niet langer als archief (note-to-self).

Heel spannend!

Bewaren van niet gefinaliseerde meldingen
De AP verzamelt de inhoud van formulieren al voordat ze bewust worden ingestuurd, ook als je ze nog niet gefinaliseerd hebt. De privacyverklaring zegt daar verder niks over, dus aangenomen moet worden dat deze informatie 7 jaar bewaard blijft. Het is onwenselijk om gedeeltelijk ingevulde formulieren met mogelijk nog concept-antwoorden met de toezichthouder te delen. Je wilt immers in absolute vrijheid het formulier volledig kunnen afmaken, eventueel bespreken met interne stakeholders en pas opsturen als dat expliciet de bedoeling is. Vul het formulier dus pas in als je zeker weet wat je wilt invullen. Doorn in het oog is nog steeds het niet hoeven in te loggen voor het doen van een melding, valse meldingen kunnen daardoor ook nog steeds gemaakt worden.

De AP zegt zelf: “U kunt een sjabloon maken voor veelvoorkomende datalekken of een datalek dat zich in een korte tijd vaak voordoet. Zo hoeft u bepaalde delen van het formulier niet bij elke melding opnieuw in te vullen.” Dan moet je dus eerst een soort voorlopige melding maken, want er is geen aparte sjabloon knop. Deze wordt dan dus ook voorlopig opgeslagen. 

Doorgifte van gegevens naar Google en de Financial Times
Een behoorlijke oeps dan tot slot. Uit ons onderzoek bleek dat metadata (incl. IP-adres) verzonden werd naar Google en de Financial Times, die uit het IP-adres mogelijk kunnen afleiden welk bedrijf de melding aan het invullen was. De AP heeft dit (na een publieke melding) snel hersteld (1 dag), maar nog geen reactie gegeven of zij een poging doet om de per ongeluk verstrekte persoonsgegevens te laten wissen.

Gepubliceerd op
7/6/2021
datalekken, autoriteit persoonsgegevens, privacy company, riscio data lek, FG