Vandaag werd bekend dat er een groot datalek heeft plaatsgevonden bij (onder andere) Bevolkingsonderzoek Nederland. Dit is een instantie in Nederland die belast is het met uitvoeren van bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker. In het kader van deze onderzoeken worden ontzettend veel persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens (zoals uitslagen van tests) en gevoelige persoonsgegevens (zoals bsn). Nu is gebleken dat gegevens van ongeveer 485.000 Nederlandse vrouwen gestolen zijn via een toeleverancier. Het gaat daarbij onder andere om allerlei soorten persoonsgegevens, zoals adresgegevens, medische gegevens (zoals uitslagen) en burgerservicenummers. Het datalek vond plaats bij het laboratorium dat uitstrijkjes en zelftesten analyseert. Deze gegevens zijn nu dus gestolen en volgens de nieuwsberichten worden deze aangeboden op het dark web. Naar aanleiding van de berichtgeving willen we kort stilstaan bij enkele zaken die opvallen.
Dit is natuurlijk een vreselijke gebeurtenis, vooral voor de slachtoffers, waarbij het nog niet goed in te schatten is wat de concrete gevolgen daarvan zijn. Op dit moment is het zelfs nog in grote mate onduidelijk wat er precies aan de hand is. Het Z-CERT, het computercrisisteam in de zorgsector dat ingeschakeld wordt bij zulke grote cyberincidenten, kwam met een bericht naar buiten, waarin de directeur van het Z-CERT het volgende aangaf:
“Voor een volledig beeld van de impact is transparantie vanuit leveranciers belangrijk. Zonder aanvullende informatie van een leverancier kunnen wij ons onderzoek niet verdiepen, bepalen welke instellingen risico lopen en deze tijdig informeren. Én minstens zo belangrijk, mogelijke slachtoffers weten niet dat zij betrokken zijn bij een datalek.”
In dit citaat worden een aantal belangrijke punten aangestipt waar we als privacyadvocaten vaak mee te maken krijg. Het gaat daarbij om transparantie vanuit leverancier en de informatieplicht tegenover slachtoffers. We beginnen met het laatste punt.
Bij dergelijke datalekken moet namelijk het slachtoffer centraal staan. Een datalek kan namelijk allemaal vervelende gevolgen hebben. In dit concrete geval kunnen er allerlei negatieve gevolgen optreden. Zo kunnen slachtoffers zelf te maken krijgen met phishing en identiteitsfraude. Maar het kan ook zo zijn dat medische gegevens op straat komen te liggen, waarbij er allerlei soorten gevolgen kunnen optreden, zoals in de professionele sfeer (er wordt bijvoorbeeld bekend dat iemand een bepaalde vorm van kanker heeft en daarom wordt iemand niet aangenomen) maar ook in de persoonlijke sfeer. Om die reden staat in de AVG dat slachtoffers, bij zulke omvangrijke datalekken, geïnformeerd moeten worden over het datalek.
Hierbij geldt dat (enige) spoedeisendheid in veel gevallen gevraagd is. In de AVG staat namelijk dat slachtoffers "onverwijld" geïnformeerd moeten worden over het datalek. Wat "onverwijld" precies inhoudt, verschilt per datalek. Wanneer wachtwoorden gelekt zijn, is het bijvoorbeeld van belang dat er zeer snel een bericht uitgaat naar slachtoffers zodat zij hun wachtwoord(en) kunnen wijzigen.
Vanwege de mogelijke grote en vervelende gevolgen, is het tegelijkertijd belangrijk dat organisaties waar het datalek heeft plaatsgevonden, dit zorgvuldig, uitgebreid en op toegankelijke wijze doen. Helaas komt het maar al te vaak voor dat organisaties zich hier gemakkelijk proberen van af te maken door weinig informatie te geven, in de hoop dat het daarmee overwaait. Maar dat is de verkeerde gedachtegang. (Mede) om deze reden heeft de Autoriteit Persoonsgegevens recentelijk nog richtlijnen gepubliceerd over wat er in een kennisgeving tegenover slachtoffers behoort te staan. De AP heeft 8 aanbevelingen gegeven voor een goed waarschuwingsbericht. Deze kan je hier vinden: Zo informeert u slachtoffers over een datalek | Autoriteit Persoonsgegevens
Snelheid en zorgvuldigheid gaan vaak niet hand in hand. De AP geeft dan ook aan dat er ook eerst een voorlopig waarschuwingsbericht verstuurd kan worden. Na het uitgebreide onderzoek kan dan een nieuw waarschuwingsbericht verstuurd worden.
Uit de berichtgeving omtrent het datalek blijkt ook dat snelheid en zorgvuldigheid op gespannen voet kunnen staan. De cyberaanval op het laboratorium vond namelijk plaats tussen 3 en 6 juli. Slachtoffers kunnen in de komende dagen een brief verwachten met informatie. Daar zit dus ruim een maand tussen. Dat klinkt als een erg lange termijn, wellicht zelfs te lang gezien het feit dat slachtoffers in principe onverwijld geïnformeerd moeten worden. Dat kan allerlei oorzaken hebben, waarvan een onwelwillende leverancier lijkt de oorzaak te zijn (althans, zo kan opgemaakt worden uit het citaat van de Z-CSIRT). Dat is behoorlijk problematisch. Om aan de informatieverplichting (en aan de overige verplichtingen) te kunnen voldoen, is het noodzakelijk dat je snel alle informatie tot je beschikking krijgt.
In veel gevallen stuiten organisaties echter op een leverancier die onbereikbaar of niet coöperatief is. Dat frustreert niet alleen het eigen onderzoek van een organisatie naar het datalek, maar zorgt er ook voor dat de mogelijke impact van een datalek op slachtoffers veel groter wordt dan nodig is. Daarom is het belangrijk om in je verwerkersovereenkomst met je leverancier hier heel concrete en afdwingbare afspraken over te maken.
De verwerkersovereenkomst krijgt echter vaak genoeg niet de aandacht die er wel aan gegeven zou moeten worden. Het vormt immers vaak een bijlage bij een hoofdovereenkomst waarnaar pas gekeken wordt als er al overeenstemming bereikt is over de hoofdovereenkomst. Of organisaties vinden de verwerkersovereenkomst gewoonweg niet belangrijk genoeg. Hierdoor blijft de toetsing vaak oppervlakkig en blijven verwerkersovereenkomsten geneveld in basale en vage termen. Wanneer je dan ineens een beroep moet doen op deze vage en basale afspraken uit je verwerkersovereenkomst, kom je in een discussie terecht over de reikwijdte van die termen of is de leverancier van mening dat ze aan hun verplichtingen voldoen. Het gevolg is dat jouw organisatie niet goed het datalek kan onderzoeken en daardoor de slachtoffers niet tijdig en/of volledig kan informeren.
In een tijdperk van toegenomen digitalisering, waarin cyberaanvallen steeds vaker voorkomen en ook zorginstellingen hier steeds vaker slachtoffer van worden, is het absoluut noodzakelijk om de verwerkersovereenkomst dezelfde aandacht te geven als de hoofdovereenkomst. Onderwerpen zoals de informatieplicht bij datalekken kunnen namelijk zeer concreet vormgegeven worden door heldere begrippen te gebruiken of begrippen goed te definiëren, duidelijke termijnen op te nemen, en concreet te vermelden welke informatie jouw organisatie nodig hebt voor het onderzoek. Om deze verplichting afdwingbaar te maken, kan je ervoor kiezen om bepaalde vrijwaringen op te nemen ten aanzien van deze verplichtingen of door een boetebepaling op te nemen.
Natuurlijk moet een leverancier tijdens de onderhandelingen ook meewerken. Wanneer een leverancier haar prioriteiten en interne processen op orde heeft, dan zullen ze in veel gevallen hier zeer meedenkend in zijn. Stuit je op een partij die hier niet meedenkend in is? Dan moet je je afvragen of je daar wel mee in zee wil gaan.
Dan nog een laatste lesson-learned. Het datalek is een schrijnend voorbeeld van te ruime datatoegang en gebrekkige toepassing van privacy-by-design, met verstrekkende gevolgen voor de betrokkenen én het vertrouwen in de zorg. De vraag rijst waarom het laboratorium waar het lek plaatsvond, toegang had tot zó veel direct identificeerbare persoonsgegevens. Dit lijkt niet in lijn met het beginsel van dataminimalisatie. Bovendien had pseudonimisering — waarbij persoonsgegevens worden vervangen door een unieke code en alleen via een aparte sleutel herleidbaar zijn — hier een effectieve en relatief eenvoudige beveiligingsmaatregel kunnen zijn. In de contractering met een andere partij is het dus ook noodzakelijk om heel duidelijke afspraken te maken over welke persoonsgegevens deze partij écht nodig heeft en welke beveiligingsmaatregelen genomen moeten worden.
Een datalek kan altijd plaatsvinden. Op grond van de AVG hoef je een datalek ook helemaal niet te voorkomen. Wel ben je verplicht om goede processen te hebben en om goede afspraken te maken met je leveranciers. Dit waarborgt immers dat datalekken snel opgespoord kunnen worden, er snel oplossingen gevonden kunnen worden en snel aan de informatieplichten voldaan kan worden. Dat zorgt ervoor dat de schade bij slachtoffers zo veel mogelijk beperkt wordt, en daarmee ook de schade bij de organisatie zelf.
