HAN krijgt boete van AP opgelegd wegens onvoldoende beveiliging van persoonsgegevens

Aanleiding

Op 1 september 2021 heeft de HAN bij de AP melding gedaan van een datalek. Dat datalek had betrekking op het volgende. Een hacker had onrechtmatig toegang verkregen tot persoonsgegevens en heeft contact opgenomen met de voorzitter van het college van bestuur van de HAN. De hacker heeft daarbij losgeld geëist voor een discrete afhandeling. De HAN is daar niet op ingegaan.

Uit het forensisch onderzoek dat de HAN met betrekking tot deze kwestie heeft laten uitvoeren, volgt dat de hacker gebruik heeft gemaakt van een zogenoemde SQL-injectie via een webformulier. Een SQL-injectie is een techniek waarbij een hacker kwaadaardige SQL-code in invoervelden van een webapplicatie invoert om de database van de achterliggende server te manipuleren, hetgeen kan leiden tot ongeautoriseerde toegang tot gevoelige informatie, dataverlies, dataverwijdering, of zelfs volledige controle over de database. De HAN heeft (in haar aanvullingen op de datalekmelding) bij de AP verklaard dat de gelekte gegevens afkomstig waren van een databaseserver die meerdere databases omvatte. Het aantal gegevensrecords dat is getroffen door het datalek is uiteindelijk bijgesteld naar enkele honderdduizenden, waarvan 95% algemene persoonsgegevens, 2% gevoelige gegevens en 1% bijzondere persoonsgegevens. De databaseserver bevatte 407 burgerservicenummers en 183 documentnummers van legitimatiebewijzen. Deze bevindingen waren voor de AP aanleiding om een onderzoek te starten naar de beveiligingsmaatregelen die de HAN voorafgaand aan het incident had getroffen.

De AP benadrukt dat een datalek op zichzelf geen overtreding van de AVG vormt. Het onderzoek heeft zich daarom gericht op de vraag of de HAN de verwerking van persoonsgegevens op de web- en databaseserver voorafgaand aan het datalek adequaat had beveiligd conform artikel 32 AVG.

Artikel 32 AVG

De AVG verplicht de verwerkingsverantwoordelijke om, rekening houdend met onder meer de stand van de techniek, de uitvoeringskosten en de risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De AP licht toe dat dit vereist dat de volgende stappen worden doorlopen:

1. De aan de verwerking inherente risico’s voor de rechten en vrijheden van personen moeten worden geïnventariseerd;
2. De risico’s moeten worden beoordeeld op de waarschijnlijkheid van het optreden ervan en de ernst van de nadelige gevolgen voor de betrokken personen;
3. Er moeten maatregelen worden getroffen waarmee deze risico’s kunnen worden beperkt, zodat er een op het risico afgestemd beveiligingsniveau ontstaat;
4. Het hiervoor bedoelde beveiligingsniveau moet worden gewaarborgd.

Bevindingen van de AP

Uit het onderzoek van de AP volgt dat de HAN in de periode voorafgaand aan 2021 beschikte over een informatiebeveiligingsbeleid. Ten aanzien van de door de AP onderzochte web- en databaseserver is echter vast komen te staan dat de HAN desondanks niet alle hiervoor genoemde stappen heeft doorlopen en daardoor niet een op het risico afgestemd beveiligingsniveau heeft gewaarborgd. Daarmee heeft de HAN artikel 32 AVG overtreden.

De AP baseert deze conclusie op de volgende tekortkomingen.

SQL-injectie

De HAN was zich bewust van het risico van SQL-injectie, maar heeft de ernst van dit risico onvoldoende beoordeeld. Daardoor zijn onvoldoende maatregelen getroffen om dit risico te beperken. Uit de onderzochte programmacode blijkt dat aandacht voor SQL-injectie niet consequent was. De HAN kon niet aantonen dat bij het specifieke webformulier een risicoanalyse is uitgevoerd of dat het geldende best practices-beleid is toegepast. Dit beleid is namelijk niet aan de AP overgelegd.

Daarnaast concludeert de AP dat de logging en monitoring op de databaseserver te beperkt was. Slechts een deel van de queries werd gelogd en de gelogde gegevens werden beperkt gemonitord. Hierdoor heeft de HAN niet onderkend dat sprake was van SQL-injectie. De AP stelt vast dat er eerder al twee keer sprake was van SQL-injectie zonder dat de HAN dit had opgemerkt.

Toegangsrechten

De AP stelt vast dat het beveiligingsbeleid van de HAN het least privilege-beginsel bevatte. Dit beginsel is in de praktijk echter niet toegepast. Dat bleek uit de wijze waarop de toegangsrechten op de databaseserver waren ingericht. Zo beschikte de databasegebruiker waar het in dit onderzoek om ging over alle toegangsrechten voor de gehele databaseserver, terwijl daarvoor geen rechtvaardiging bestond. Daardoor kon een kwetsbaarheid in één applicatie leiden tot toegang tot alle databases op de server, waaronder databases met persoonsgegevens.

Bewaartermijnen

De HAN beschikte over een verwijderingsbeleid en was zich bewust van het risico van het onnodig bewaren van persoonsgegevens. De AP stelt echter vast dat dit beleid niet is geïmplementeerd en uitgevoerd. Op de databaseserver bevonden zich persoonsgegevens van applicaties die al lange tijd waren uitgefaseerd. Door het ontbreken van een adequaat verwijderproces (in het verwijderingsbeleid) is onnodig het risico ontstaan dat zich een inbreuk op deze gegevens zou voordoen.

Wachtwoorden

Op de databaseserver waren 4.381 wachtwoorden opgeslagen in platte tekst, zonder enige versleuteling. Daarnaast waren 5.194 wachtwoorden opgeslagen die zijn gehasht met de MD5- en SHA1-algoritmen. Deze algoritmen worden sinds 2004 respectievelijk 2017 als onveilig beschouwd.

De wachtwoorden waren afkomstig uit uitgefaseerde applicaties waarvan bij de HAN niet bekend was dat de gegevens nog werden bewaard. De HAN heeft gesteld dat de gebruikte MD5- en SHA1-algoritmen ten tijde van de ontwikkeling van deze applicaties nog voldeden. Ook indien die stelling juist zou zijn, geldt volgens de AP dat de HAN verplicht was om de risico-inventarisatie door de tijd heen te actualiseren. De HAN heeft in ieder geval onvoldoende maatregelen getroffen om de wachtwoorden voldoende te blijven beveiligen.

De AP benadrukt tot slot dat adequate beveiliging geen kwestie is van op zichzelf staande risico’s en maatregelen. In dit geval heeft juist de samenhang van de genoemde tekortkomingen bijgedragen aan de substantiële omvang van het incident.

Boete

De overtreding door de HAN van artikel 32 AVG is aangemerkt als een overtreding van categorie II op grond van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019. De bandbreedte van de boete bedraagt in dat geval €120.000 tot €500.000 (met een basisboete van €310.000). De AP heeft bij het bepalen van de uiteindelijke hoogte van de boete rekening gehouden met de door de HAN genomen herstelmaatregelen en de inspanningen om de gevolgen voor betrokkenen te beperken en stelt de boete vast op €175.000. Ook al is daarmee een bestuurlijke boete opgelegd, vermeldt de AP op haar website dat de zaak met de HAN is geschikt en dat de HAN geen bezwaar zal aantekenen tegen de boete.

Betekenis voor de praktijk

Dit boetebesluit laat zien dat de AP artikel 32 AVG toetst aan de hand van vier concrete stappen: 1) het inventariseren van de risico’s, 2) het beoordelen van die risico’s, 3) het treffen van maatregelen ter beperking van die risico’s en 4) het waarborgen van het beveiligingsniveau.

Het beschikken over een informatiebeveiligingsbeleid is daarbij onvoldoende wanneer niet kan worden aangetoond dat dit beleid daadwerkelijk is toegepast op specifieke systemen en risico’s. Tekortkomingen in afzonderlijke maatregelen kunnen (in onderlinge samenhang bezien) leiden tot de conclusie dat geen op het risico afgestemd beveiligingsniveau is gewaarborgd, wat aanleiding kan geven tot oplegging van een bestuurlijke boete door de AP.

Onze privacyrecht advocaten adviseren onder meer over (het voldoen aan) de verplichtingen uit de AVG, waaronder de verplichting uit artikel 32 AVG, en over toezicht door de AP. Heeft u vragen op dit gebied, neem dan gerust contact met ons op.