Beveiliging, datalekken en ransomware: aanvallen die serieus genomen moeten worden.

Juridische Watch nr. 32 – Februari 2021

Beveiliging, datalekken en ransomware: aanvallen die serieus genomen moeten worden. De pers berichtte eind februari opnieuw over een Groot datalek in de medische sector.

Gevoelige informatie over meer dan 500.000 mensen, waaronder bloedgroepen en burgerservicenummers, werd verkocht op een speciaal forum en vervolgens vrijelijk op internet gepubliceerd.

In deze gegevenslijst zijn ook de gebruikersnamen en wachtwoorden opgenomen waarmee deze patiënten verbinding konden maken met de medische centra en analyselaboratoria die door het datalek zijn getroffen.

Er loopt een gerechtelijk onderzoek en zowel de ANSSI als de CNIL hebben de zaak ter hand genomen.

De ernst van het datalek hangt evenzeer af van het aantal getroffen personen als van de gevoeligheid van de gegevens.

Dit is een kans om de balans op te maken van de maatregelen die we moeten nemen om op dergelijke aanvallen te reageren en vooral om ons er op voorhand tegen te beschermen.

De CNIL, de ANSSI en het Ministerie van Justitie hebben verschillende handleidingen gepubliceerd om verwerkingsverantwoordelijken te helpen zich te beschermen tegen dergelijke beveiligingsinbreuken., of het nu gaat om een interne fout of een ransomware-aanval.

In de aanbevelingen die met name door de CNIL zijn gepubliceerd, worden de verschillende fasen voor het beheer van de beveiliging van de gegevensverwerking opgesomd.

In essentie is het passend om:

• Identificeer de gegevensverwerking en de bijbehorende ondersteuning (hardware, software, communicatiekanalen, papieren ondersteuning):

• Beoordeel de risico's die elke verwerking met zich meebrengt en identificeer de mogelijke gevolgen voor de rechten en vrijheden van de betrokken personen in het geval van onrechtmatige toegang tot gegevens, ongewenste wijziging van gegevens of verdwijning van gegevens.

Wanneer er sprake is van verwerking van bijzondere categorieën van persoonsgegevens, zoals gezondheidsgegevens, is de impact van een datalek voor de betrokkenen nog groter.

Daarom is voor een dergelijke behandeling een grondige risicobeoordeling vereist.

• Identificeer de bronnen van risico (menselijke bronnen en niet-menselijke bronnen).
• Analyseer de mogelijke bedreigingen, d.w.z. de mogelijke triggergebeurtenissen (bijv. vandalisme, degradatie door natuurlijke slijtage, volle opslageenheid, denial-of-service-aanval).
• Identificeer bestaande of geplande maatregelen om elk risico aan te pakken (bijv. back-ups, encryptie). Maatregelen moeten in verhouding staan tot de risico's. Wanneer de verwerkte gegevens gevoelig zijn, moet een bijzonder hoog beveiligingsniveau worden gegarandeerd. Het opslaan van wachtwoorden in platte tekst in de bestanden van de verwerkingsverantwoordelijke moet daarom worden verboden: de informatie moet worden versleuteld en er moeten sterke authenticatiemaatregelen worden genomen.
• Beoordeel de ernst en waarschijnlijkheid van de risico's in het licht van de voorgaande elementen.

Indien er sprake is van een datalek, moeten er onmiddellijk passende maatregelen worden genomen om het lek te stoppen en de gevolgen voor de betrokken personen te beperken.

De verantwoordelijke persoon moet bovendien de CNIL binnen 72 uur na kennisname van de overtreding op de hoogte stellen.

Zij is bovendien verplicht om de betrokkenen individueel te informeren wanneer het datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.  Dit is het geval wanneer het om gevoelige gegevens gaat, zoals gezondheidsgegevens.

In het kader van het grote datalek dat eind februari plaatsvond, is er daarom behoefte aan informatie van de gedupeerden.

De schade kan zeer ernstig zijn voor patiënten, van wie de medische zorg in het geding kan zijn, maar ook voor de verwerkingsverantwoordelijken, van wie de reputatie en het bedrijf op het spel staan.

De CNIL wijst erop dat het aantal meldingen van datalekken in 2020 met 24% is toegenomen en dat het aantal inbreuken als gevolg van cryptolocker-aanvallen op zorginstellingen (ziekenhuizen, EPHAD's, verpleeghuizen, laboratoria, enz.) in één jaar tijd is verdrievoudigd.

Bovendien hebben twee derde van de sancties die de CNIL oplegt betrekking op schendingen van verplichtingen inzake gegevensbeveiliging, een trend die in heel Europa zichtbaar is.

En ook

Frankrijk:

De “tousanticovid”-applicatie evolueert naar een systeem dat gebruikers waarschuwt voor de mogelijke heropening van sporthallen, restaurants of concertzalen. 

De CNIL, die het ontwerpbesluit ontving, gaf over het algemeen een positief oordeel. Er werd echter wel gevraagd om het systeem voor het registreren van bezoeken alleen verplicht te stellen voor plaatsen met een hoog risico (barrièremaatregelen zijn moeilijk te implementeren) en het niet verplicht te stellen voor plaatsen waar de aanwezigheid gevoelige gegevens kan prijsgeven (zoals gebedshuizen).

Na de publicatie van zijn richtlijnen voor het gebruik van cookies Afgelopen oktober herinnerde de CNIL eraan dat de deadline voor naleving eind maart afloopt.

Er werd een brief gestuurd naar tweehonderd overheidsinstanties en naar de belangrijkste particuliere spelers, waarin met name werd benadrukt dat de gebruiker met dezelfde mate van eenvoud cookies moet kunnen accepteren of weigeren (de knop 'configureren' die vaak in banners voorkomt, voldoet niet aan deze vereiste).

Europa:

• België: Gegevensbeschermingsautoriteit publiceert een gedetailleerde gids over Technieken voor het opschonen van gegevens en het vernietigen van gegevensmedia, een reflex die maar al te vaak wordt verwaarloosd bij het wegdoen van een computertool.

• Verenigd Koninkrijk: Europese Commissie publiceert ontwerpbesluit met betrekking tot de beschermingsniveau gegarandeerd door het Verenigd Koninkrijk op een verwerking van persoonsgegevens die gelijkwaardig is aan die in de Europese Unie.

Als het Europees Comité voor gegevensbescherming en vertegenwoordigers van de lidstaten deze beoordeling ondersteunen, kunnen gegevensoverdrachten naar het Verenigd Koninkrijk zonder aanvullende voorwaarden worden voortgezet.

Er dient ook op gewezen te worden dat de Europese Toezichthouder voor gegevensbescherming op 22 februari een advies heeft uitgebracht waarin hij herhaalde dat gegevensbescherming als fundamenteel recht niet onderhandelbaar is in het kader van handelsovereenkomsten tussen de Europese Unie en het Verenigd Koninkrijk.

• Europa – ePrivacy Na vier jaar onderhandelen hebben de EU-lidstaten eindelijk een gemeenschappelijk standpunt aangenomen over de bescherming van elektronische communicatie.

Naar verwachting zal de ePrivacyverordening de huidige richtlijn actualiseren door onder meer de regels voor de vertrouwelijkheid van communicatie, de bescherming van metagegevens en de regels die van toepassing zijn op cookies en andere trackers te specificeren.

De tekst moet nog in het Europees Parlement worden besproken en de definitieve versie treedt twee jaar na publicatie in werking.

• Europa – gezondheidspaspoort De Europese Commissie heeft op 1 maart aangekondigd dat zij bezig is met de voorbereiding van een project voor een gemeenschappelijk paspoort voor lidstaten, dat het verkeer van personen in de huidige context van de pandemie moet vergemakkelijken.

In dit paspoort worden persoonsgegevens opgenomen over vaccinaties, verworven immuniteit of door de betrokkene uitgevoerde tests.

De Commissie verzekert dat er maatregelen zullen worden genomen om discriminatie en misbruik van de privacy van de betrokken personen te voorkomen.

Internationaal :

VERENIGDE STATEN: Na Californië bereiden ongeveer tien Amerikaanse staten wetgeving voor over de bescherming van persoonsgegevens, inclusief de staten New York en Washington.

Over het algemeen geven deze wetten minder uitgebreide rechten aan gebruikers dan de AVG. Gebruikers krijgen liever het recht om bezwaar te maken tegen de verwerking van hun gegevens, dan dat ze om voorafgaande toestemming worden gevraagd.

Ze hebben in ieder geval het voordeel dat ze de transparantie van de gegevensverwerking verbeteren en Amerikaanse consumenten verhaalmogelijkheden bieden.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.