Het melden van incidenten en mogelijke gegevenslekken is een cruciale fase tijdens het crisisbeheer. Er zijn verschillende redenen om bevoegde instanties zo snel en transparant mogelijk in kennis te stellen:
- Lokale besturen, maar ook andere organisaties, zijn gebonden aan bepaalde wettelijke verplichtingen wanneer het gaat over een gegevenslek of cyberveiligheidsincident.
- Sommige instantie kunnen je lokaal bestuur met raad en daad bijstaan tijdens een cyberveiligheidsincident. De kans bestaat bovendien dat het niet gaat over een alleenstaand geval, waardoor de bevoegde instanties mogelijk over belangrijke informatie beschikken waar je nog geen zicht op hebt.
- Als je een klacht wil indienen tegen dader(s), is het vereist dat je contact opneemt met de ordehandhavende instanties (denk aan de initiële melding bij de politie).
- Door te rapporteren krijgt de overheid een beter overzicht van het algemene veiligheidslandschap en de verspreiding van cybercriminaliteit. Hierdoor kunnen lokale besturen ook beter ondersteund worden.
Neem beslissingen rond het informeren van getroffenen op basis van de bevindingen van het incident response team, de IT-dienst, functionaris gegevensbescherming en/of veiligheidsconsulent. Tijdens deze fase zal een antwoord geformuleerd moeten worden op vragen als:
Mocht je lokaal bestuur nog geen melding naar het CERT gedaan hebben - bijvoorbeeld omdat het niet nodig leek om extra advies in te winnen - is het toch een goed idee om dit te doen op vrijwillige basis. Indien andere lokale besturen getroffen worden, kan je melding belangrijke informatie bevatten om hen zo goed mogelijk op weg te helpen. Mogelijks heb je tijdens je crisisaanpak ook nog enkele zaken over het hoofd gezien, een externe kijk vormt dan een grote meerwaarde.
Zodra blijkt dat er sprake is van een datalek, is het van belang dat dit ook gemeld wordt aan de Vlaamse Toezichtcommissie (Vlaamse autoriteit) en de Gegevensbeschermingsautoriteit (Federale autoriteit). Deze meldingen zijn verplicht en komen ook met een concreet tijdsinterval.
Gaat het hier over een datalek?
De GDPR-wetgeving definieert een datalek of gegevenslek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.” Denk hierbij bijvoorbeeld aan het verlies van een USB-stick, een ongeoorloofde toegang tot een database of een mail die verstuurd werd naar een verkeerd adres.
Je kan eenvoudig nagaan of er sprake is van een datalek, door volgende vragen te beantwoorden:
- Gaat het hier over persoonsgegevens? Niet onbelangrijk: met persoonsgegevens bedoelt men alle gegevens die betrekking hebben op een natuurlijk persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Ook een nummer, zoals een IP-adres, zal dus in heel wat gevallen als een persoonsgegeven beschouwd worden.
- Werden deze persoonsgegevens blootgesteld aan vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang?
- Is deze blootstelling te wijten aan een inbreuk op de veiligheid?
Verzamel de naam en adresgegevens van getroffenen, denk hierbij aan slachtoffers van een datalek en inwoners waarvoor geen of slechts beperkte dienstverlening mogelijk is, en zorg ervoor dat zij zo snel mogelijk verwittigd worden. Zorg er tevens voor dat de verzamelde data veilig wordt behandeld, verstuurd en opgeslagen.
Hoe en wanneer dien je te melden?
De meldingsplicht naar de Vlaamse Toezichtcommissie en Gegevensbeschermingsautoriteit omvat datalekken die een risico inhouden betreft lekken die een risico inhouden voor de rechten en vrijheden van de betrokkenen. Denk aan communicatie die niet langer confidentieel is, met zichtbare factuurgegevens en adressen voor derden.
De melding naar beide instanties dient binnen de 72 uur te gebeuren na de vaststelling van het datalek. Beide instanties hebben een vast formulier voor meldingen van datalekken:
Voor de melding bundel je alle relevante informatie, denk hierbij aan:
- Binnen welk kader worden de getroffen gegevens verwerkt?
- Wat was de oorzaak van het gegevenslek?
- Wat is de grootorde van het gegevenslek?
- Wat zijn de waarschijnlijke gevolgen voor slachtoffers?
- Datum en tijdstip van het lek, alsook van de vaststelling?
- Welke maatregelen worden genomen om het lek en de mogelijke gevolgen aan te pakken?
- Contactinfo van de leidende ambtenaar, DPO en andere contactpersonen?
-
…
Indien het cyberveiligheidsincident gepaard gaat met een datalek met een hoog risico voor de slachtoffers, dien je deze personen op de hoogte te brengen. Deze verantwoordelijkheid komt toe aan de verantwoordelijke voor de gegevensverwerking.
Het is van belang om hierbij na te denken over een geschikt communicatiemiddel. Dit zal natuurlijk afhangen van een aantal factoren, zoals het aantal getroffenen en de mate waarin de slachtoffers gekend zijn. Bij een beperkt aantal slachtoffers is het mogelijk om de getroffenen persoonlijk te contacteren, wanneer het over een groot aantal slachtoffers gaat zijn bredere kanalen mogelijks geschikter (denk aan de lokale website en media). Let wel op, ook indien gekozen werd voor een bredere communicatie, bijvoorbeeld omdat vele slachtoffers niet gekend zijn, is het de verantwoordelijkheid van het lokaal bestuur om hun identiteit te achterhalen.
Het opzetten van een elementair callcenter voor getroffenen vraagt uitzonderlijke inspanningen, maar kan ook een belangrijk hulpmiddel zijn om reputatieschade zoveel mogelijk te vermijden.
De kennisgeving moet verstaanbaar zijn voor de getroffenen en dient zeker volgende informatie te bevatten:
- Naam van de verantwoordelijke voor de gegevensverwerking
- Contactgegevens voor bijkomende informatie
- Een samenvatting van het incident, met de vermoedelijke timing en omstandigheden
- De aard van de betrokken gegevens
- Mogelijke gevolgen voor de getroffenen
- De genomen maatregelen om het lek te verhelpen en mogelijke schade te beperken
Gezien de mogelijke implicaties van deze communicatie met betrekking tot de positie en aansprakelijkheid van het lokaal bestuur, is het aangewezen om juridisch advies in te winnen - intern of extern - voor de kennisgeving naar betrokkenen.
Om de gevolgen voor de getroffenen zoveel als mogelijk te beperken, kan het nodig of wenselijk zijn om contact op te nemen met externe partijen, denk bijvoorbeeld aan:
Aangezien enkele van de bovenvermelde meldingen onderhevig zijn aan wetgeving en regels, is het belangrijk om duidelijk te registeren welke meldingen reeds gedaan werden en na te kijken of alle relevante instanties gecontacteerd werden (VTC, GBA, CERT, Politie, …).
Door alle beschikbare informatie gekoppeld aan de meldingen in een register te bundelen, kunnen deze gegevens vlot terug opgevraagd worden wanneer nodig of relevant. Het gehanteerde logboek voor crisisbeheer kan hiervoor gebruikt worden.
In het geval dat je lokaal bestuur een verzekeringspolis heeft afgesloten voor cyberveiligheidsincidenten, kan de financiële dienst op voorhand contact opnemen om de huidige situatie te schetsen en informatie in te winnen over de mogelijke gevolgen en voorzorgen.
