De Autoriteit Persoonsgegevens (AP) heeft op 25 mei 2022 een jaaroverzicht gepubliceerd over de datalekken in 2021. In deze bijdrage enkele opvallende zaken hieruit die voor pensioenfondsen interessant kunnen zijn.
Cyberaanvallen
De AP opent de Datalekkenrapportage 2021 met een sterke stijging van het aantal cyberaanvallen met 88% t.o.v. 2020. Uitdrukkelijk statement van de AP is, dat bij een ransom-ware situatie sprake is van een datalek. Ook al wordt het losgeld betaald, er is geen enkele garantie dat de gegevens ook daadwerkelijk zijn verwijderd en niet zullen worden doorverkocht. En (!), de AP ziet het betalen van het losgeld niet als een passende achteraf genomen maatregel (art. 34 AVG), dus moeten de slachtoffers worden geïnformeerd. Het gebruik van de term ‘slachtoffers’ is opvallend omdat in de regelgeving wordt gesproken van ‘betrokkenen’.
Datalekker bij IT-leveranciers
De AP heeft 28 datalekken bij IT-leveranciers gemeld gekregen, voor 1.800 getroffen organisaties met minimaal 7 miljoen slachtoffers. De AP benadrukt in de rapportage dat de verwerkingsverantwoordelijke verantwoordelijk is voor melding van een datalek bij de AP; de verwerkingsverantwoordelijke kan hier niet steunen op een eigen melding door de verwerker zelf.
Verder constateert de AP, na onderzoek van 14 van de 28 datalekken, dat de IT-leveranciers prioriteit lijken te leggen op het gedetailleerd onderzoeken van de oorzaak en het herstellen van de processen en niet op het melden en het informeren van slachtoffers. De AP benadrukt het belang van snelle melding door de verwerkingsverantwoordelijke (dat vereist goede afspraken met de verwerker hierover!) en adequaat en tijdig informeren van slachtoffers, zodat die zich kunnen beschermen tegen de gevolgen van het datalek.
In het rapport heeft de AP nog zes aanbevelingen opgenomen voor het uitbesteden van ICT. Deze kunnen helpen om het uitbestedingsbeleid en de verwerkersovereenkomsten te reviewen en/of te verbeteren. Op deze aanbevelingen komen we in een afzonderlijke publicatie nog terug.
Toezicht op meldplicht
Het toezicht van de AP is risico gebaseerd en wordt met name gevoed door het informeren van de slachtoffers. In 2021 ontving de AP 24.866 meldingen. Daarvan gaven circa 18.000 na eerste analyse geen aanleiding tot nadere toezichtshandelingen. Voor de resterende circa 7.000 waren wel extra toezichtshandelingen vereist, omdat de AP daar grote risico’s identificeerde. Met name situaties met veel slachtoffers of (veel) gevoelige persoonsgegevens. Voor 36 datalekmeldingen is een onderzoek gestart, waarvan 14 bij IT-leveranciers.
Feiten en cijfers 2021
Van alle 24.866 gemelde datalekken was 11% afkomstig uit financiële dienstverlening. Opvallend is dat dit percentage lager is dan het jaar daarvoor omdat één organisatie (incassokantoor) het werkproces heeft aangepast waardoor veel minder betalingsherinneringen bij verkeerde ontvangers terecht zijn gekomen.
Van de vijf meest voorkomende incidenten hebben er vier betrekking op verkeerd bezorgde post. Voornaamste oorzaak was dat geadresseerde niet meer op het geregistreerde adres woont. De vijfde categorie is hacking/malware/phishing.
De AP legt haar focus op de belangen van de slachtoffers en dus op het melden en de argumentatie rond wel/niet informeren van de slachtoffers. Bij alle datalekken zal het fonds hier een goede afweging moeten (blijven) maken en vastleggen.
Als ik de aandacht in het rapport voor IT-leveranciers combineer met de toenemende aandacht van DNB voor de gehele uitbestedingsketen, is mijn afdronk dat het steeds belangrijker wordt voor pensioenfondsen om te weten hoe de keten in elkaar zit en waar de risico’s liggen. PUO’s maken gebruik van telecom-operators en diverse partijen om portals en werkplekken te beheren. Die partijen hebben enorme hoeveelheden gegevens en zijn daarmee interessante objecten voor malafide nieuwsgierigheid. En PUO’s hebben niet alle IT in eigen beheer. Pensioenfondsen moet het keten-inzicht hebben om hun verantwoordelijkheid als verwerkingsverantwoordelijke te kunnen dragen.
DNB heeft in 2020 en 2021 ook diverse onderzoeken verricht naar de beheersing van de uitbestedingsrisico’s bij pensioenfondsen en diverse adviezen gegeven om grip te houden op de uitbestedingsketens. Om het hele artikel hierover te lezen klik hier.
