Wat Je Moet Weten over Welke Datalekken Beboet Worden, En Hoe Je Ze Kunt Vermijden

Rebecca Wine
By: Rebecca Wine AVG | 9 december

Vanwege de manier waarop de AVG is geschreven en het feit dat het betrekkelijk nieuw is, zijn er nog veel onbeantwoorde vragen. Bijvoorbeeld, hoe weten we of de richtlijnen en procedures van onze organisatie voldoen aan de vereisten van de AVG? Hoeveel zullen we beboet worden als er een datalek is?

DLA Piper heeft op 20 januari 2021 een verslag gepubliceerd dat de AVG boetes en datalekken over het afgelopen jaar samenvat (de website is in het Deens, maar je kunt het verslag hier in het Engels vinden). Dit verslag geeft ons een beter idee van welke datalekken vaak beboet worden, en welke datalekken in de toekomst beboet zullen worden.

Dit artikel zal je helpen om een dieper inzicht te krijgen in de soorten datalekken waar je best op moet letten, en specifieke strategieën die je kunt gebruiken om te voorkomen dat je bedrijf mogelijk beboet wordt.

De grootste boetes vorig jaar

Onderstaande tabel toont de drie grootste boetes die vorig jaar zijn uitgedeeld, en toont waarom het belangrijk is om de AVG serieus te nemen.

Nummer

Toezichthouder

Boete

Reden

1.

Franse gegevensbeschermingsautoriteit, CNIL

€50 miljoen

Google Inc, is beboet voor niet naar behoren uitleggen hoe ze gegevens verwerken, onvoldoende wettelijke basis hebben om gegevens omtrent gepersonaliseerde reclame te verwerken.

2.

De toezichthoudende autoriteit voor gegevensbescherming Hamburg

€35,26 miljoen

Een wereldwijde detailhandelaar is beboet voor onvoldoende wettelijke basis hebben voor het verwerken van gegevens.

3.

De toezichthoudende autoriteit voor gegevensbescherming Italië, de Garante

€27,8 miljoen

Een telecombedrijf is beboet voor niet naar behoren uitleggen hoe ze gegevens verwerken, geen wettelijke basis hebben voor de verwerking van gegevens en meer.

 

Dit artikel zal de volgende punten behandelen:

  • De mogelijkheid om in beroep te gaan tegen boetes

  • Overwegingen voor multinationale organisaties

  • Vier soorten datalekken die vorig jaar vaak beboet zijn

  • Illegale overdracht van gegevens naar derde landen: toekomstige databoetes

Je kunt in beroep gaan tegen AVG boetes

In het afgelopen jaar hebben EU-landen een stijging van 19% van inbreukmeldingen gerapporteerd. Dit is een gemiddelde van 331 meldingen per dag. Toezichthouders hebben in totaal €158,5 miljoen aan boetes uitgedeeld sinds 28 januari 2020, maar dit is niet alles. Sommige organisaties zijn succesvol in beroep gegaan tegen deze claims, wat tot grote dalingen in verwachte boetes heeft geleid. De boetes zijn met 80-90% verlaagd, grotendeels door de financiële problemen veroorzaakt door Covid-19.

De belangrijkste conclusie hier: het loont om in beroep te gaan en de opgelegde boetes aan te vechten.

Welke soort datalekken worden beboet?

Dezelfde regels worden op verschillende manieren toegepast

Omdat elk land zijn eigen toezichthouder heeft, verschillen de datalekken en boetes van land tot land. Ook al stammen alle gegevensbeschermingswetten in de EU en het VK van de AVG af, de nalevingsculturen in organisaties verschillen sterk.

Daarnaast hebben de verschillende gegevensbeschermingsautoriteiten verschillende interpretaties van de wetgeving en daardoor verschillende handhavingspraktijken. Deze onzekerheid is het uitdagendst voor multinationale organisaties die actief zijn in vele verschillende landen, omdat dit het moeilijker voor hen maakt om vooruit te lopen op de verschillende interpretaties van de AVG en ze te implementeren. Desalniettemin zijn de hieronder samengevatte boetes vaak uitgedeeld, ongeacht de toezichthouder.

Smart CTA_e-book NL

Tekortkoming in het duidelijk en open communiceren over de manier waarop gegevens verwerkt worden.

Organisaties zijn in de problemen gekomen als ze niet open en helder zijn met gebruikers over hoe ze hun persoonsgegevens verwerken. De belangrijkste manier waarop ze dit tonen is in hun privacyverklaring. Deze verklaring moet op een eenvoudige manier aan individuele gebruikers uitleggen hoe de organisatie hun individuele gegevens zal verwerken, en hoe hun praktijken voldoen aan de AVG.

Organisaties werden beboet voor te ingewikkelde privacyverklaringen. Ze zijn ook beboet als verklaringen te ruw, onnauwkeurig, of onvolledig zijn. Bijvoorbeeld, als je persoonsgegevens naar een derde land verplaatst (buiten de EU), maar dit niet communiceert, dan is je privacyverklaring onvolledig.

Het is een fijne lijn...

De uitdaging bij het opstellen van privacyverklaringen is dat als je te veel details opneemt, je publiek het misschien niet begrijpt, en je dus het transparantieprincipe van de AVG schendt. Aan de andere kant, als je te weinig details opneemt, loop je het risico op het krijgen van een boete voor onnauwkeurige of onvolledige informatie.

Mogelijke oplossing: DLA Piper stelt in haar verslag een ‘gelaagde benadering’ voor bij privacyverklaringen. Deze benadering presenteert de privacyverklaring op drie verschillende manieren:

  1. Een korte privacymelding (een korte uitleg over waarom persoonsgegevens gebruikt worden, en waar meer informatie te vinden is),

  2. Een middellange verklaring (bijv. een illustratie die beschrijft hoe persoonsgegevens gebruikt worden),

  3. Een lange verklaring (een volledig en grondig privacybeleid dat alle noodzakelijke informatie om aan de AVG te voldoen dekt).

Dit is echter ook geen kogelvrije oplossing. Sommige organisaties zijn beboet geweest voor deze methode, omdat in sommige gevallen gebruikers te veel verschillende privacyverklaringen moesten lezen en aanvaarden. In dat geval werd de informatie gepresenteerd op een manier die veel te ingewikkeld was voor de gebruiker.

Ook de Nederlandse Autoriteit Persoonsgegevens publiceerde een aanbeveling om fragmentatie van de privacyverkaring te vermijden en alles in één document te publiceren.

De conclusie is dat het extreem moeilijk kan zijn om de complexiteit van verwerking aan normale consumenten die geen rechtendiploma hebben uit te leggen. Al met al heeft het verslag van DLA Piper geen sterke oplossing voor dit probleem. De belangrijkste conclusie hier: wees voorzichtig bij het opstellen van privacyverklaringen, en vraag om hulp wanneer je twijfels hebt.

Geen wettelijke reden hebben of tonen om persoonsgegevens te verwerken

Er zijn veel verschillende scenario’s waarin je organisatie een wettelijke reden (ook wel wettelijke grondslag) heeft om gegevens te verwerken.

Bijvoorbeeld: je organisatie verkoopt een abonnement op een muziekapp en vraagt consumenten om toestemming te geven, zodat je hun muziekvoorkeuren kunt verwerken om andere liedjes en artiesten die ze wellicht leuk vinden voor te stellen.

Organisaties zijn beboet voor het niet hebben van wettelijke toestemming om persoonsgegevens te verwerken. Ze zijn ook beboet, zelfs wanneer er een wettelijke grondslag is voor verwerking, maar de organisatie dit niet goed heeft gedemonstreerd of gedocumenteerd. Daarom is documentatie even belangrijk als het bestaan van een wettelijke grondslag om te verwerken.

Tenslotte zijn organisaties beboet wanneer het verwerken gebaseerd was op ongeldige toestemming. Dit is een brede term die een hele reeks aan situaties dekt. Sommige hiervan zijn: iemand kan gestraft worden of een kans missen als hij geen toestemming geeft, iemand beseft misschien niet dat hij toestemming heeft gegeven, de organisatie noemt zichzelf niet specifiek bij het vragen om toestemming, enz.

Om te verzekeren dat persoonsgegevens wettelijk gebruikt worden, moeten organisaties:

  1. Gegevens duidelijk in kaart brengen in een grondig en nauwkeurig register van verwerkingsactiviteiten (verwerkingsregister).

  2. Regels en richtlijnen hebben die persoonsgegevens goed beschermen.

  3. Documentatie hebben die toont dat ze wettelijk persoonsgegevens kunnen gebruiken.

  4. Een heldere privacyverklaring hebben die voor elke verwerkingsactiviteit aanhaalt onder welke wet deze gegevensverwerking is toegestaan.

Mogelijke oplossing: Je kunt een risicogebaseerde benadering toepassen waarbij je meer tijd en aandacht geeft een verwerkingsactiviteiten met een hoger risico. Voor deze activiteiten is het belangrijk dat je een Data Protection Impact Assessment (DPIA) gebruikt. Dit is een soort risicobeoordeling die kan helpen identificeren waar de gegevensbeschermingsrisico’s liggen bij een bepaald project of plan. Deze beoordelingstool helpt je, indien correct gebruikt, om te demonstreren op welke manieren je voldoet aan al je gegevensbeschermingsverplichtingen.

Het niet toepassen van passende beveiligingsmaatregelen

Volgen de AVG moeten organisaties ‘passende’ maatregelen nemen om ervoor te zorgen dat er een veiligheidsniveau is dat overeenkomt met hoeveel risico er is voor het individu wiens gegevens je verwerkt. De term ‘passend’ is erg subjectief, wat het moeilijk maakt voor organisaties om adequaat zulke maatregelen te identificeren en te implementeren. Gebaseerd op de boetes die echter in het afgelopen jaar zijn uitgedeeld kunnen we een beter idee krijgen van wat gezien wordt als passende veiligheidsmaatregelen.

De volgende tabel is een lijst van veiligheidsmaatregelen die wellicht geïmplementeerd moeten worden om een boete te vermijden.

Veiligheidsmaatregel Uitleg

Geprivilegieerde gebruikersaccounts monitoren

Een geprivilegieerde gebruiker is iemand die toegang heeft tot systemen en gegevens die gevoelig kunnen zijn en extra bescherming nodig hebben. Het is daarom belangrijk om deze gebruikers te monitoren door het gedrag te analyseren en rapporten te maken, om te verzekeren dat de persoonsgegevens beschermd worden.

Server hardening

Een proces dat de bescherming van een server versterkt, door het gebruik van technieken om toegang tot beheerdersaccounts te voorkomen.

Versleuteling van persoonsgegevens

Versleuteling of encryptie verwijst naar een proces dat normale tekst in een code verandert die alleen met een speciale sleutel gedecodeerd kan worden. Het is met name nuttig voor het beschermen van gevoelige persoonsgegevens.

Multi-factor authenticatie

Een extra veiligheidsmaatregel die de gebruiker verplicht om twee of meer verificatiefactoren te gebruiken om toegang te krijgen tot een applicatie, online account of iets anders. Dit kan een vooraf bepaald wachtwoord zijn, opgevolgd door een code die naar je verzonden wordt, of een die je in fysieke vorm hebt.

Toegangsbeveiliging

Dit garandeert dat de gebruikers zijn wie ze zeggen dat ze zijn, en dat ze de toestemming hebben om toegang te krijgen tot bedrijfsgegevens. Je zou dit op basis van noodzaak moeten doen, en onthoud dat het nodig om de toegang van een gebruiker te verwijderen wanneer die niet meer nodig is.

Penetratietesten

Dit is een gesimuleerde cyberaanval op je computersysteem om na te gaan waar je kwetsbaar bent en wat kan worden uitgebuit. Dit is geen eenmalige maatregel; dit moet regelmatig worden gedaan.

Vermijd ingebouwde wachtwoorden

Wachtwoorden in normale tekst kunnen makkelijk gehackt worden. ‘Hardcoded’ wachtwoorden zijn als normale tekst ingebed in de broncode. Het hardcoden van wachtwoorden moet vermeden worden.

Loggen van mislukte toegangspogingen

Het is belangrijk om mislukte toegangspogingen bij te houden. Als er een datalek plaatsvindt, is het dan veel gemakkelijker om dit te traceren en te onderzoeken.

Manual code reviews

Dit is het proces waarbij de broncode regel voor regel wordt gelezen om na te gaan waar je organisatie kwetsbaar is. Het kan ook persoonsgegevens aan het licht brengen die verkeerd zijn opgeslagen. In het algemeen kan het de veiligheid van een organisatie aanzienlijk verbeteren.

Het gebruik van de Payment Card Industry Data Security Standard (PCI DSS)

Het gebruik van deze set veiligheidsstandaarden verzekert dat je organisatie creditcardinformatie aanvaardt, verwerkt, opslaat en verzendt op de veiligste manier.

 

Mogelijke oplossing: Organisaties moeten overwegen en evalueren of deze maatregelen nodig zijn bij hun inspanningen om persoonsgegevens te beschermen. Organisaties zouden ook moeten overwegen om de reden waarom ze een bepaalde veiligheidsmaatregel wel of niet hebben aangenomen duidelijk te documenteren.

Inbreuk op de dataminimalisatie- en dataretentieprincipes

Organisaties zijn beboet wanneer ze te veel gegevens verwerkt hebben of te veel gegevens opgeslagen hebben. In de twee decennia voor de aanname van de AVG was er erg weinig regulering over hoe persoonsgegevens gebruikt kunnen worden, gecombineerd met een enorme toename in de hoeveelheid persoonsgegevens die door organisaties verwerkt en opgeslagen wordt. Nu hebben deze organisaties te maken met de tijd- en middelenintensieve taak van het ontwarren en sorteren van deze enorme hoeveelheid data. Dit vereist de volgende twee dingen:

  1. Het vinden en classificeren van alle gegevens in twee categorieën: wat verwijderd moet worden (dataminimalisatie) en wat opgeslagen moet worden.

  2. Het verwijderen van persoonsgegevens die opgeslagen zijn in oude systemen en toepassingen, waarbij veilige verwijdering ofwel niet mogelijk is of niet eenvoudig is.

Mogelijke oplossingen: Om dit op te lossen en te voorkomen dat betrokkenen schade wordt berokkend, moeten organisaties een overzicht creëren van al hun gegevens, en gegevens wissen die zij niet meer nodig hebben of waarvoor zij niet meer het recht hebben om deze te verwerken. Daarnaast is het belangrijk om richtlijnen te ontwikkelen en systemen te gebruiken waarmee gegevens in de toekomst veilig kunnen worden verwerkt.

Overdracht van persoonlijke gegevens naar derde landen en internationale organisaties: Zal in de toekomst vaker beboet worden

In juli 2020, is het Shrems II-oordeel door de hoogste rechtbank van Europa uitgesproken, die “naast boetes, de onmiddellijke opschorting van vermeende illegale overdrachten van persoonsgegevens uit de EU naar derde landen” vereiste. We hebben de resultaten van dit oordeel nog niet gezien, en het kan wat tijd kosten voordat dit zijn effect vindt in de handhaving.

Mogelijke oplossing: We wachten nog steeds op de voltooide concepten van de Commissie omtrent de behandeling van gegevens die zijn overgedragen naar derde landen (landen die geen lid zijn van de EU en het VK). Normaal, wanneer organisaties gegevens moeten doorgeven aan derde landen, gebruiken zij daarvoor een “standard contractual clause” (een modelcontract). Dit contract is bedoeld om persoonsgegevens te beschermen, zodat ze bij het verlaten van de EU door de AVG beschermd blijven in andere landen die niet dezelfde mate van bescherming bieden aan persoonsgegevens.

Zodra de commissie dit beleid heeft bijgewerkt moeten organisaties een Transfer Impact Assessment (TIA) uitvoeren. Dit zal illustreren welke risico’s gelinkt zijn met de overdracht van persoonsgegevens naar buiten de EU, en je organisatie moet dienovereenkomstig de modelcontracten herzien.

Het veilig verwerken van persoonsgegevens is een uitdagende taak. Vaak zijn degenen die voor deze taak verantwoordelijk zijn geen juridische experts in dit gebied. Meer informatie over de best practices en processen voor het veiligstellen van persoonsgegevens, kan je terugvinden op onze blog.