DPIA op Europese ESET beveiligingsdiensten: geen hoge risico's

We publiceren deze blog over onze bevindingen met toestemming van SLM Cloud. Voor vragen over het onderzoek kunt u contact opnemen met de persvoorlichter van het Nederlandse Ministerie van Justitie en Veiligheid via 070 3707345.
Resultaat: 16 lage risico’s op het gebied van gegevensbescherming
Uit de technische tests blijkt dat ESET Protect Elite kritieke bedreigingen en beveiligingsinbreuken vanuit apparaten en cloudapps adequaat detecteert, waaronder kwaadaardige e-mails, bestanden en URL’s die via e-mail (Gmail) en via SharePoint worden uitgewisseld, zowel binnen de eigen organisatie als van personen buiten de organisatie.
SLM Cloud (strategisch leveranciersmanagement voor clouddiensten, ondergebracht bij het Ministerie van Justitie) heeft met ESET een aangepaste gegevensverwerkingsovereenkomst gesloten, en ESET heeft maatregelen geïmplementeerd of aangekondigd om de 16 geïdentificeerde gegevensbeschermingsrisico’s te beperken. Belangrijk is dat ESET naast zijn standaard clouddiensten al een nieuwe, soevereine, exclusief Europese private-cloudoptie heeft gebouwd. Dit betekent dat Nederlandse overheidsorganisaties kunnen kiezen tussen deze nieuwe EU private cloud en de on-premises-oplossing, zonder dat ze de risico’s van de doorgifte van persoonsgegevens hoeven te beoordelen.
Overheidsorganisaties moeten nog een aantal specifieke risicobeperkende maatregelen nemen totdat ESET de overeengekomen risicobeperkende maatregelen heeft geïmplementeerd. ESET zal de meeste van de overeengekomen risicobeperkende maatregelen tegen het einde van het derde kwartaal van 2026 hebben genomen, en één maatregel tegen het einde van 2026. De 16 resterende lage risico’s met bijbehorende risicobeperkende maatregelen worden nader toegelicht in de tabel in de DPIA.
Vijf categorieën persoonsgegevens
Deze DPIA beoordeelt de gegevensbeschermingsrisico’s voor vijf categorieën persoonsgegevens:
- Gegevens over beveiligingsincidenten (de gegevens die door ESET worden gegenereerd over verdachte inhoud en acties van beheerders en/of software om bedreigingen te voorkomen)
- Account Gegevens (van de beheerder en van de eindgebruiker)
- Diagnostische Gegevens (inclusief telemetriegegevens)
- Support Gegevens
- Website Gegevens (zowel het alleen na log-in toegankelijke beheerdersportaal als vier relevante, openbaar toegankelijke websites)
Deze DPIA gebruikt niet de term Inhoudelijke Gegevens (Content Data), aangezien deze gegevens uitsluitend door klanten in hun eigen omgeving worden verwerkt. De beveiligingsdiensten van ESET scannen wel inhoudelijke gegevens, zoals bezochte URL’s, uitvoerbare bestanden (executables) en andere bestanden, maar wanneer ESET deze gegevens verwerkt, worden ze in de DPIA ‘Gegevens over beveiligingsincidenten’ genoemd.
De door SLM Cloud onderhandelde verwerkersovereenkomst specificeert deze vijf relevante categorieën persoonsgegevens.
De AVG-rol van ESET
Op basis van een analyse van de standaard verwerkersovereenkomst van ESET, het openbare privacybeleid en de relevante servicevoorwaarden concludeerde deze DPIA aanvankelijk dat ESET voor de meeste categorieën persoonsgegevens en voor veel essentiële en onvermijdelijke doelen van de gegevensverwerking als verantwoordelijke moest worden aangemerkt. Dit leidde tot een aantal hoge risico’s op het gebied van gegevensbescherming in verband met een verlies van controle over de aard, de doelen en de gevolgen van de gegevensverwerking. ESET en SLM Cloud zijn sindsdien contractueel overeengekomen dat ESET voor vier specifieke doelen optreedt als verwerker voor de vijf relevante categorieën persoonsgegevens (met uitzondering van de inhoudelijke gegevens, aangezien deze bij de klant blijven).
Deze vier hoofddoelen zijn:
- Het leveren en onderhouden van goed functionerende en up-to-date software en diensten (met specifieke subdoelen).
- Het beveiligen van de software en diensten (inclusief kwetsbaarheidsbeoordeling en patchbeheer).
- Het bieden van technische support, inclusief het gebruik van geaggregeerde Support Gegevens om de software en ondersteuning voor alle klanten te verbeteren.
- Het verwerken van tot een minimum beperkte persoonsgegevens uit ESET LiveGrid Feedback en Reputation voor statistische doeleinden en om de software en diensten technisch te verbeteren.
Aangezien elke leverancier bepaalde persoonsgegevens van zijn klanten moet gebruiken voor zijn eigen legitieme zakelijke doeleinden, bijvoorbeeld om facturen te versturen, zijn SLM Cloud en ESET ook een limitatieve lijst overeengekomen van 8 specifieke toegestane verdere verwerkingsdoelen. Dit betekent dat ESET deze gegevens (die het als verwerker verkrijgt) verder mag verwerken als verantwoordelijke, wanneer dit strikt noodzakelijk en evenredig is voor deze doelen, en binnen de beperkingen die zijn overeengekomen in de gewijzigde gegevensverwerkingsovereenkomst. In verkorte vorm zijn deze 8 doelen:
- Voldoen aan wettelijke verplichtingen (alle persoonsgegevens).
- Facturering, uitvoering van bestellingen en doelen voor betaling (commerciële contactgegevens, Account Gegevens en bepaalde Diagnostische Gegevens).
- Website analytics.
- Controle op naleving van licentievoorwaarden, opsporing en preventie van fraude, en bescherming van de rechten van ESET (Account- en Diagnostische Gegevens).
- Verbetering en optimalisatie van de prestaties en efficiëntie van de software en de IT-infrastructuur (geaggregeerde Diagnostische Gegevens).
- Interne rapportage, financiële rapportage, omzetplanning, capaciteitsplanning, prognosemodellering en productstrategie op basis van analyses van het gebruik van de afgenomen diensten (geaggregeerde (boven het niveau per tenant) Account-, Diagnostische, Support en Website Gegevens).
- Feedback van beheerders (alleen met geldige toestemming) (inhoud van Feedback, Account Gegevens en Diagnostische Gegevens).
- Auditdoelen (alle persoonsgegevens).
Lees de volledige DPIA in het Engels op Open Overheid.
Lees de technische bijlage in het Engels op Open Overheid.

