Persoonsgegevens BN’ers op straat door datalek fotograaf

Bovenstaande blijkt uit een onderzoek van RTL Nieuws na een tip van een anonieme tipgever. De server van de familie Smulders was niet met een wachtwoord beveiligd, waardoor iedereen toegang had tot de informatie op die server. Op de server draaide niet alleen de website van de familie Smulders, maar bevond zich kennelijk ook allerhande persoonlijke informatie van Bekende Nederlanders die – uiteraard – niet voor anderen beschikbaar diende te zijn. Het betrof niet alleen foto’s maar ook adresgegevens, mobiele telefoonnummers, kentekens van auto’s, namen van partners en kinderen. Kortom, informatie die diep ingrijpt in iemands privéleven.

De vraag of dit voorval een datalek is in de zin van de Wet bescherming persoonsgegevens (‘Wbp’), die op 25 mei 2018 wordt vervangen door de Algemene Verordening Gegevensbescherming (‘AVG’) kan met een volmondig ‘ja’ worden beantwoord. Er zijn immers persoonsgegevens in handen gevallen van derden die geen toegang tot die gegevens zouden mogen hebben. En dat is het gevolg van een beveiligingslek. Er was namelijk sprake van een onbeveiligde server waar andere personen kennelijk gemakkelijk toegang toe hadden. In mijn blog van 29 juni 2017 ging ik in op datalekken en de vraag hoe daar mee om te gaan.

Deze gebeurtenis onderstreept maar weer eens het belang van een passende beveiliging van persoonsgegevens. De wet bepaalt dat sprake moet zijn van een afdoende technische en organisatorische beveiliging van persoonsgegevens. Kennelijk was op beide vlakken door de familie Smulders niets geregeld waardoor persoonsgegevens van Bekende Nederlanders die door hen werden verwerkt ook door anderen gemakkelijk toegankelijk waren.

Hoe ver die beveiliging moet gaan, is afhankelijk van de aard en de gevoeligheid van de persoonsgegevens die worden verwerkt. Die gevoeligheid is in dit geval hoog, helemaal omdat de informatie die op straat is komen te liggen in criminele circuits waardevol is. Zo kan dergelijke informatie worden gebruikt door kwaadwillende hackers om met een gerichte phishing aanval op het e-mailadres of mobiele telefoonnummer de smartphone, smartwatch of computer over te nemen.

Overigens kan ook de vraag worden gesteld of het de familie Smulders überhaupt was toegestaan alle gegevens van de Bekende Nederlanders die zij kennelijk op hun servers bewaarden te verwerken. Voor de verwerking van persoonsgegevens is namelijk een wettelijke grondslag en een doel vereist. Tot voor kort gold dat verwerking van persoonsgegevens alleen mogelijk was na vooraf door de Autoriteit Persoonsgegevens verkregen toestemming indien geen sprake was van een vrijstelling. Vanaf de inwerkingtreding van de AVG geldt dat de grondslag en het doel van de verwerking van persoonsgegevens (in beginsel) moet worden bijgehouden in een Register van verwerkingen. Hieraan besteedde ik aandacht in mijn blog van 6 november 2017.

De Wbp, en straks de AVG, bepalen dat binnen 72 uur na ontdekking van een datalek melding moet worden gedaan bij de Autoriteit Persoonsgegevens. Gezien de reactie van de familie Smulders op het datalek is het de vraag of die melding is gedaan. In dit geval volstaat een melding bij alleen de Autoriteit Persoonsgegevens echter niet. Omdat het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de personen van wie de gegevens op straat zijn komen te liggen, dienen ook zij op de hoogte te worden gesteld.

Het datalek dat zich heeft voorgedaan lijkt op het eerste gezicht knullig en een gemakkelijke eerste reactie is “Hoe kon het dat die server niet beveiligd was?”. Gezien de eigen reactie van Peter Smulders zal het antwoord zijn dat de familie Smulders zich nimmer heeft gerealiseerd dat het onbeveiligd opslaan van al deze gevoelige informatie op hun server een risico zou kunnen inhouden. Helaas is een dergelijke onwetendheid vaak de oorzaak van een datalek. Bij het voorkomen van datalekken is het belangrijk om technische veiligheidsmaatregelen te implementeren, zoals firewalls, wachtwoorden, encryptie, e.d. Minstens zo belangrijk is echter dat diegenen die vertrouwelijke informatie verwerken, zich ervan bewust worden dat ze hier zorgvuldig mee om moeten gaan. Die bewustwording geldt organisatiebreed: niet alleen in de top, maar vooral op de werkvloer. De reactie “Ik heb er geen verstand van en dat wil ik graag zou houden”, daar kom je niet mee weg.