Volgens het weblog Troyhunt zijn ongeveer 711 miljoen unieke e-mailadressen die stonden opgeslagen op een Nederlandse server gebruikt om spam mee te versturen. Naast de e-mailadressen waren ook de bijhorende wachtwoorden opgenomen.
De server was kennelijk door een beveiligingsfout zonder wachtwoord toegankelijk. De gegevens zijn vervolgens ingezet bij een grootschalige malware-operatie waarbij software vermomd als een bankupdate naar e-mailadressen over de hele wereld is verzonden. Doordat de software afkomstig was van echte e-mailadressen werd de malware door veel spamfilters niet herkend, hetgeen heeft geleid tot tienduizenden besmette computers. Het is volgens TroyHunt één van de grootste datalekken ooit.
Wet bescherming persoonsgegevens
Dat het hier om een datalek gaat, ook in de zin van artikel 34a Wbp, is evident. De technische maatregelen ter bescherming van persoonsgegevens werd doorbroken (sterker nog die bestonden niet eens). Het datalek brengt (een aanzienlijke kans op) ernstige nadelige gevolgen met zich mee zodat een melding bij de Autoriteit Persoonsgegevens (“AP”) verplicht is (ervan uitgaande dat de verantwoordelijke in Nederland is gevestigd). Voor zover over het bestaan van ‘ernstige nadelige gevolgen’ zou worden getwijfeld, bieden de beleidsregels meldplicht datalekken van de AP uitkomst. Daarin wordt expliciet door de AP bepaald dat bij een lek van een wachtwoord / inlognaam combinatie in beginsel altijd moet worden gemeld.
Daar komt bij dat het lek ook aan de betrokkenen zelf moet worden gemeld. Betrokkenen moeten de mogelijkheid krijgen om het wachtwoord van het e-mailaccount te veranderen. Vaak wordt voor meerdere diensten dezelfde wachtwoorden gebruikt, zodat ook de wachtwoorden voor die diensten aangepast moeten worden.
Dit datalek betekent tevens een schending van artikel 13 Wbp, dat verantwoordelijken verplicht passende technische en organisatorische maatregelen te nemen tegen onrechtmatige verwerking van persoonsgegevens. Het mag duidelijk zijn dat geen beveiliging, in ieder geval niet als passende technische maatregel kwalificeert.
Het zou niet veel verbazing wekken als de verantwoordelijke in dit geval een fikse boete opgelegd zou krijgen van de AP. Sinds 2016 heeft de AP immers de bevoegdheid om boetes van maximaal € 820.000,– of 10% van de jaaromzet op te leggen (artikel 66 Wbp en 23 lid 4 Wetboek van Strafrecht).
Toch is dit niet zo eenvoudig. De AP kan namelijk pas boetes opleggen als het eerst een bindende aanwijzing heeft gegeven (artikel 66 lid 3 Wbp). Pas als die niet wordt opgevolgd, volgt een boete. Dat is slechts anders als er sprake is van opzet of ernstige verwijtbare nalatigheid. Als de verantwoordelijke melding heeft gedaan van het lek en vervolgens wel passende technische en organisatorische maatregelen heeft genomen, lijkt een boete niet voor de hand te liggen.
Dat is anders als er bewust geen melding is gedaan. In dat geval is er sprake van een opzettelijke schending van artikel 34a lid 1 Wbp waarin de meldplicht staat opgenomen. Volgens de boetebeleidsregels van de AP valt een schending van artikel 34a Wbp in beginsel in Categorie II met een boetebandbreedte tussen € 120.000 en € 500.000. Hoewel de AP in bepaalde gevallen een categorie kan opschalen, is de maximum boete voor het niet melden van het datalek in principe € 500,000,-.
Verder constateerden we dat er sprake was van een schending van artikel 13 Wbp. Kan daar dan geen boete voor worden opgelegd? Alleen als er sprake is van opzet of ernstige verwijtbare nalatigheid. De oorzaak van de ‘beveiligingsfout’ is mij niet bekend, maar als blijkt dat er geen enkel beveiligingsbeleid aanwezig was, zou mijns inziens van ernstige verwijtbare nalatigheid gesproken kunnen worden. Van een partij die zo veel e-mailadressen en bijbehorende wachtwoorden onder zich heeft, mag worden verwacht dat het een goed doordacht en uitgebreid beveiligingsbeleid hanteert. Een schending van artikel 13 Wbp valt ook in Categorie II zodat ook hier een maximum van € 500.000,– geldt. Samen met de schending van artikel 34a Wbp is de boete maximaal 1 miljoen euro.
Algemene Verordening Gegevensbescherming
Verandert het bovenstaande onder de Algemene Verordening Gegevensbescherming (“AVG”) die 25 mei 2018 van toepassing is ? De artikelen in de AVG die betrekking hebben op datalekken (artt. 33 en 34) verschillen op een aantal punten van het huidige artikel in de Wbp, maar ook onder de AVG zou hier zonder twijfel sprake zijn van een datalek. In artikel 25 lid 1 AVG is de verplichting opgenomen passende technische en organisatorische maatregelen te nemen.
En de boetes? Die worden aanzienlijk hoger namelijk tot maximaal 20 miljoen of 4% van de wereldwijde omzet indien dat cijfer hoger is (art 83 lid 5). Overtredingen van artikelen 25, 33 en 34 en vallen onder de categorie met een boetemaximum van 10 miljoen of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar als dat cijfer hoger is (art 83 lid 4).
Opvallend is dat artikel 83 AVG anders dan de Wbp niet bepaalt dat eerst een bindende aanwijzing opgelegd moet worden. Boetes kunnen direct worden uitgedeeld. Ook in de concept Uitvoeringswet (de wet die uitvoering geeft aan de AVG in Nederland) is de bindende aanwijzing niet opgenomen. Dat is vreemd omdat de bindende aanwijzing sinds 1 januari 2016 in de Wbp is opgenomen nadat de Raad van State dat had aanbevolen. Tijdens de verdere behandeling van de wetswijziging is er bovendien uitvoerig over dit punt gediscussieerd. Reden voor het opnemen van de bindende aanwijzing is dat de Wbp veel vage normen kent zodat het voor de verantwoordelijke niet eenvoudig is om te bepalen in hoeverre hij in overtreding is. Tijdens de behandeling werd de verwachting uitgesproken dat de Uitvoeringswet ook een regeling zoals de bindende aanwijzing zou bevatten. Waarom de concept Uitvoeringswet een dergelijke regeling niet bevat, is niet bekend. Wellicht dat in de definitieve versie de bindende aanwijzing alsnog wordt opgenomen.
Lees hier het bericht over het datalek op nrc.nl