Onlangs werd bekend dat de Autoriteit Persoonsgegevens (AP) een boete van EUR 475.000,- heeft opgelegd aan Booking.com wegens het te laat melden van een grootschalig datalek. Booking gaat niet in beroep tegen deze beslissing. Uit het boetebesluit is een aantal belangrijke lessen te trekken, bijvoorbeeld over het belang van de pro-forma melding.
Wanneer moet een inbreuk in verband met persoonsgegevens worden gemeld?
Artikel 33 van de AVG bepaalt dat een inbreuk in verband met persoonsgegevens, ook wel een datalek genoemd, moet worden gemeld aan de AP. Dit hoeft niet indien het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
De inbreuk moet “zonder onredelijke vertraging en, indien mogelijk uiterlijk 72 uur nadat hij [de verwerkingsverantwoordelijke] er kennis van heeft genomen”, worden gemeld.
Wanneer heeft een verwerkingsverantwoordelijke ‘kennis genomen’ van een inbreuk? De WP29 heeft daarover in een van haar richtlijnen eerder vermeld dat dit het geval is “wanneer hij een redelijke mate van zekerheid heeft dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid”. Wanneer dit precies het geval is, hangt af van de omstandigheden van de specifieke inbreuk:
“In sommige gevallen zal het van meet af aan vrij duidelijk zijn dat er sprake is van een inbreuk, terwijl het in andere gevallen enige tijd kan duren om vast te stellen of persoonsgegevens zijn gecompromitteerd. De nadruk moet echter liggen op onmiddellijke actie om een incident te onderzoeken teneinde vast te stellen of er inderdaad sprake is van een inbreuk op persoonsgegevens en, indien dat het geval is, corrigerende maatregelen te nemen en de inbreuk te melden indien nodig.” (WP29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 12).
Mag je een datalek wel onderzoeken voordat je meldt?
Een veel gestelde vraag in het kader van de termijn van 72 uur is of deze termijn wel voldoende is om gedegen onderzoek te kunnen doen. Gelet op de Richtlijn van de WP29 zou dit voldoende moeten zijn en mag er eerst onderzoek worden gedaan.
In de recente kwestie van Booking speelt deze vraag ook. Booking stelt dat de overschrijding van de 72-uurstermijn gerechtvaardigd was, omdat zij eerst onderzoek moest doen voordat zij de melding kon maken. Daarnaast voert Booking een efficiëntie-argument: het was efficiënter om de verschillende incidenten te bundelen. Dit overtuigt de AP echter niet. De AP legt in dit specifieke geval niet zozeer de nadruk op de noodzaak om onderzoek te doen, maar juist op de onmiddellijke actie tot onderzoek. Daarin heeft Booking volgens de AP steken laten vallen: nadat de eerste melding van het incident Booking had bereikt, heeft Booking onvoldoende actie ondernomen om het onderzoek ook daadwerkelijk op te starten.
De uitleg die Booking gaf aan het – in de woorden van de AP – ‘stilzitten’ na de eerste kennisname van het incident, was dat haar inschatting was dat het geen incident bij Booking betrof. Op zichzelf had Booking daar ook een onderbouwing voor: de betrokkenen waren benaderd via e-mail, en in de systemen van Booking werden de e-mailadressen gehasht opgeslagen. Indien een kwaadwillende toegang zou hebben gehad tot deze systemen, dan was het niet mogelijk geweest om de daadwerkelijke e-mailadressen van de hotelgasten in te zien. Daarom heeft Booking geen verdere actie ondernomen.
Dit was volgens de AP echter in tegenspraak met de eigen protocollen van Booking. Daarin stond dat ieder vermoeden van een incident direct diende te worden doorgezet naar het Security Team van Booking. De AP is van oordeel dat uit de feiten en omstandigheden voldoende vermoeden naar voren had moeten komen om het incident inderdaad door te zetten naar het Security Team.
De pro-forma melding
Volgens de AP heeft Booking bij de eerste melding al een verkeerde inschatting gemaakt. De vraag rijst wat er was gebeurd als Booking wél direct in actie was gekomen en het incident had doorgezet naar het Security Team om onderzoek te doen. De AP geeft daarover aan dat een onderzoek naar de omvang en precieze merites van een inbreuk inderdaad langer dan 72 uur in beslag kan nemen. Juist om die reden is in de AVG de mogelijkheid van een pro-forma melding opgenomen. De AP noemt dit een ‘melding in stappen’.
In artikel 33 lid 4 AVG staat opgenomen: “Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.”
Het meldingsformulier kent de optie om een voorlopige melding te maken. Bij de laatste vraag kan worden aangegeven dat er nog een vervolgmelding zal worden gedaan, zoals de afbeelding hieronder weergeeft. Gelet op het oordeel van de AP in de kwestie van Booking, is het dus aan te raden om die voorlopige melding in ieder geval binnen 72 uur te maken.
Op dit oordeel valt overigens nog wat af te dingen. De AP lijkt te oordelen dat de melding hoe dan ook binnen 72 uur moet worden gemaakt. Dat is echter niet wat er in de AVG staat en bovendien tegenstrijdig met hetgeen de AP eerder in haar oordeel naar voren bracht. In de AVG staat (zie ook hiervoor) dat de inbreuk ‘zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen’. Dat impliceert dat zich ook situaties kunnen voordoen waarin een melding binnen die termijn niet lukt. De vraag is of deze belangrijke nuancering op de 72-uurstermijn geen dode letter wordt door de verwijzing van de AP naar de mogelijkheid tot het doen van een pro-forma melding. De redenering van de AP impliceert dat er altijd binnen 72 uur na het ontdekken van een incident een pro-forma melding moet worden gedaan, ook als daarin enkel nog kan worden gemeld dat er een onderzoek gaande is. Of de soep daadwerkelijk zo heet gegeten wordt, blijft in het midden: in de kwestie van Booking volgde de eerste melding ongeveer een maand na de ontdekking van de inbreuk.
Praktische implicaties
Voornoemde redenering van de AP kan in elk geval leiden tot onwenselijke praktische implicaties, zoals een onredelijke en onrealistische administratieve belasting, die tevens een onredelijke financiële belasting kan opleveren. Dit argument heeft Booking ook aangevoerd, maar is door de AP van tafel geveegd. Volgens de AP zijn die implicaties niet het gevolg van de AVG, maar van het eigen beleid dat Booking hanteert, waarin stond dat ook vermoedens van beveiligingsincidenten moesten worden opgeschaald naar het Security Team.
In de AVG staat dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het vermogen om een inbreuk tijdig op te sporen en te melden moet worden beschouwd als een essentieel onderdeel van die maatregelen. Volgens de AP vloeit daaruit niet voort dat ieder potentieel beveiligingsincident moet worden gemeld. Hoe deze conclusie zich verhoudt tot hetgeen de AP heeft opgemerkt ten aanzien van de pro-forma melding, is echter niet helder.
Conclusie
Wat leert de kwestie Booking ons nu over het doen van datalekmeldingen?
- De boete voor Uber wegens te laat melden uit 2018 staat niet langer op zichzelf; de AP deelt daadwerkelijke boetes uit wegens een te late melding van een datalek;
- Ieder mogelijk beveiligingsincident dient voortvarend te worden onderzocht;
- Doe voor de zekerheid binnen 72 uur een pro-forma melding waarin in ieder geval duidelijk wordt gemaakt welke actie er al is ondernomen en dat het onderzoek nog gaande is;
- Houd u aan uw eigen protocollen: een strikte escalatielijn dient ook strikt te worden nageleefd;
- Het correct afhandelen van een beveiligingsincident is geen sinecure: fouten kunnen u duur komen te staan. Schakel daarom tijdig de hulp van (juridische) experts in.
Vragen?
Heeft u vragen over hoe te handelen bij datalekken of cyberincidenten? Neem dan contact op met Nynke Brouwer of een van de andere leden van het Privacy- of Cybersecurityteam.
