Onlangs legde de Autoriteit Persoonsgegevens (AP) Transavia een boete op van 400.000 euro nadat een hacker zich toegang had verschaft tot hun systemen en de daarin opgenomen persoonsgegevens. Transavia zou onvoldoende maatregelen hebben getroffen die pasten bij de risico’s (art. 32 AVG). Het onderzoeksrapport verwijst hierin onder meer naar internationale standaarden en expliciet naar maatregelen uit de ISO 27001 norm. In dit artikel bespreken we hoe deze boete voorkomen had kunnen worden. Daarnaast geeft het inzicht in de manier waarop een privacytoezichthouder naar de situatie kijkt.
Situatieschets
In september 2019 heeft een hacker binnengedrongen in de systemen van Transavia. Daarbij kon de hacker van 25 miljoen personen de persoonsgegevens inzien, daarbij is vastgesteld dat de gegevens van 83.000 personen zijn gedownload. De hacker kreeg hier toegang tot door twee accounts van de IT-afdeling van Transavia te gebruiken. Dat ging relatief eenvoudig omdat a) het wachtwoord makkelijk te raden was, b) alleen het wachtwoord voldeed om binnen te raken (dus geen multifactorauthenticatie) en c) via deze twee accounts de hacker toegang had tot een groot aantal systemen omdat de toegang van deze accounts niet was beperkt tot de noodzakelijke systemen.
Risicogebaseerd passend beveiligingsniveau
Wanneer een organisatie persoonsgegevens gebruikt, moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligd worden. De set beveiligingsmaatregelen moet bescherming bieden tegen datalekken maar dit hoeft niet 100% waterdicht te zijn. Vandaar dat men spreekt van ‘passend’ beveiligingsniveau; passend bij de risico’s die er zijn voor de betrokkenen.
Bij Transavia ging het om persoonsgegevens van ruim 25 miljoen mensen en de inbreuk leidde tot het lekken van zowel persoonsgegevens (namen, geboortedatums, contactgegevens, etc.) van 83.000 mensen als ook gezondheidsgegevens (rolstoelgebruik, doofheid en blindheid) van 367 mensen. Inbreuk op deze gegevens kan voor veel personen materiele of immateriële schade tot gevolg hebben. Oftewel, hier wordt een hoog niveau van maatregelen passend geacht. Het was volgens de Autoriteit Persoonsgegevens (AP) zeker mogelijk om beveiligingsmaatregelen te implementeren voor het risico dat zich voordeed. Invoering van de juiste maatregelen zou het mogelijk hebben gemaakt om de vertrouwelijkheid van de verwerkte persoonsgegevens te waarborgen en het risico van een datalek te verkleinen, aldus de AP in hun rapport.
Beveiligingsmaatregelen en de rol die ISO 27001 hierin kan spelen
In het onderzoek van de AP wordt er ook verwezen naar ISO 27001. Ze doen in dit bij de aanbevelingen op het gebied van informatiebeveiliging in relatie tot waar het voornamelijk mis ging. Laten we eens dieper ingaan op de hier bedoelde maatregelen.
Toegangsbeveiliging
De ISO 27001 stelt eisen aan de toegangsbeveiliging. Onder meer dat sterke wachtwoorden vereist zijn (§ A.9.4.3). Hoewel de ISO 27001 (i.t.t. NEN 7510-1) niet letterlijk stelt dat tweefactor-authenticatie verplicht is, stelt de AP dat deze methodiek al jarenlang een gangbare, vrij eenvoudig te implementeren beveiligingsmaatregel is. Eentje die ook geadviseerd werd door de aanbieder van de telewerksoftware (Citrix) van Transavia en bovendien behoorde tot het beleid van de organisatie zelf. De implementatie ervan liep echter achter. In de ISO 27001-norm vinden we hierover dat toegang moet worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging (§ A.9.4.1).
Toegangsrechten
De AP noemt naast de toegangsbeperking ook de regelmatige controle van de toegangsrechten van gebruikers (§ A.9.2.3 en § A.9.2.5). Hierbij valt op dat er wel dergelijke controles bleken te zijn geweest die aantoonden dat het een en ander niet op orde was, maar dat hieraan geen adequate opvolging is gegeven. De AP acht dit zeer nalatig hetgeen een boete verhogende werking kreeg. In de norm komt de opvolging van dergelijke situaties terug in het snel, doeltreffend en ordelijk reageren op incidenten (§ A.16.1.1) en in het implementeren van benodigde maatregelen in de afhandeling van afwijkingen (§ 10.1).
Segmenteren
Last but not least verwijt de AP dat Transavia te weinig heeft gedaan met het segmenteren van het netwerk (§ A.13.1.3). Ten aanzien van deze netwerkscheiding wordt tevens verwezen naar publicaties van het Nationaal Cybersecurity Centrum (NCSC). Deze zijn terug te vinden in het rapport van de AP. Van genoemde beveiligingsmaatregelen met betrekking tot wachtwoordbeheer, netwerksegmentatie en gebruikersrechten, stelt de AP dat deze tot het passende beveiligingsniveau hadden moeten behoren.
Wat in het onderzoek verder nog naar voren komt, en waarover aanbevelingen zijn gedaan, is dat het mogelijk bleek om bepaalde logbestanden te verwijderen en dat bepaalde logging niet bijgehouden werd. Het beeld van wat er was gebeurd op de systemen was daardoor onvolledig. De norm stelt hierover (in § A.12.4.1 t/m § A.12.4.3) dat logbestanden moeten worden gemaakt, bewaard en regelmatig moeten worden beoordeeld, maar ook dat deze moeten worden beschermd. Waarbij dit eveneens geldt voor bevoorrechte gebruikers met speciale bevoegdheden. Hier ging het dus ook niet helemaal goed.
Informatiebeveiligingsmanagementsysteem
Hieruit kunnen we opmaken dat het hebben van goede werkend managementsysteem voor informatiebeveiliging (ISO 27001) veel leed kan voorkomen. Het reduceert het risico op datelekken en daarmee de kans op een boete. Tevens kan er een eventuele boete verhogende werking mee voorkomen komen. Voor de lezer die op basis van de ISO 27001-norm nog geen goed beeld heeft bij hoe de beveiligingsmaatregelen concreet ingevuld kunnen worden, is er een implementatierichtlijn beschikbaar. Dit is de ISO 27002 waarvan op korte termijn een herziene versie wordt gepubliceerd. Voor de zorgsector zijn deze in de NEN 7510-1 aangevuld met zorgspecifieke maatregelen en in de NEN 7510-2 met zorgspecifieke implementatierichtlijnen.
Privacy-informatiemanagementsysteem
Tot slot merk ik op dat de AVG de verwerking van persoonsgegevens weliswaar toestaat mits passende technische en organisatorische beveiligingsmaatregelen zijn getroffen, maar dat dit slechts één van de randvoorwaarden is. ISO 27001 waarmee dit dus ingevuld kan worden, gaat primair uit van de bedrijfsrisico’s waarbinnen het reduceren van boetes prima past. Overige privacyrandvoorwaarden vallen veelal buiten schot. Met name omdat het perspectief van de risico’s voor betrokkenen niet of nauwelijks wordt belicht. Zo kunt u uw uiterste best doen om persoonsgegevens te beveiligen terwijl het wellicht überhaupt helemaal niet verwerkt mag of hoeft te worden. Hiervoor is inmiddels een privacy-informatiemanagementsysteem beschikbaar (ISO 27701) dat een uitbreiding is op het managementsysteem voor informatiebeveiliging en gezamenlijk invulling geeft aan de bescherming van privacy waar deze mogelijk in het gedrang komt door de verwerking van persoonsgegevens. Hierdoor ontstaat dus een managementsysteem waarin zowel waardevolle (bedrijfs)informatie wordt beschermd als ook de privacy van anderen.
Gestructureerd aan de slag met ISO 27001
Wanneer u op een gestructureerde wijze met ISO 27001 aan de slag gaat, kunt u dus wellicht een hoop leed voorkomen. Door middel van ons handige stappenplan voor ISO 27001 certificering, legt u in fases uw route richting certificering af. Bovendien heeft u met een stappenplan op voorhand alvast een beeld van welke stappen u moet doorlopen voor het opstellen van een ISO 27001 systeem. Onze experts delen bovendien hun waardevolle kennis om u te laten slagen.
Download het ISO 27001 Stappenplan
Onderwerpen:
Alle onderwerpen Wetgeving Certificeren ISO 27001 informatiebeveiliging privacywetgeving AVG ISO 27701
