Op zeer korte termijn zijn er een aantal datalekken bij grote, openbare instellingen in de publiciteit geweest: de VREG, de NMBS en het Belgische Leger. De VREG gaf tijdelijk volledige toegang en schrijfrechten aan iedereen die inlogde op de certificaten databank. De NMBS had maandenlang op een onbeveiligde en publiek toegankelijke locatie op de website de databank met persoonsgegevens van NMBS Europe klanten online staan. Het Belgische leger tot slot bleek op een slecht beveiligde HRM portal de blogger Belsec geen strobreed in de weg te leggen om bestanden met daarin militaire IDs terug te vinden. In dit laatste geval is het gelukkig zo dat de securityactivist van belsec zich zo strikt mogelijk binnen de wetgeving blijft plaatsen en zich houdt aan responsable disclosure.

Buiten de op het oog eenvoudige manier waarop de data te vinden was is ook de wijze waarop er gereageerd werd op de datalekken vanuit de instanties zelf verbazend. Waar de VREG nog vrij resoluut tot actie overging en snel communiceerde werd vanuit de NMBS en het Belgische Leger uitermate laconiek gereageerd. De reden hiervoor kan liggen in het feit dat, ondanks een ogenschijnlijk brede consensus naar het tegendeel, er geen wetten zijn overtreden. Om te beoordelen of dit inderdaad het geval is moet bepaald worden welke wet van toepassing is en op welke wijze deze eventueel overtreden is. De van toepassing zijnde wet is hier in ieder geval de Privacywet van 8 december 1992. Het Data Protection Institute waagt zich aan een korte analyse betreffende deze datalekken ten opzichte van deze wet. Leidend om te bepalen of de wet van toepassing is zijn een aantal fundamentele vragen:

Betreft het persoonsgegevens?

Artikel 1 lid 1 van de wet is hierin vrij duidelijk:

Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Voor wat betreft de data breaches die recentelijk plaats vonden bij de VREG, NMBS en het Belgische leger betrof het concreet de volgende gegevens die op straat lagen:

  • VREG: persoonsgegevens (op zijn minst naam, adres etc.) gebruikers, mogelijkheid tot wijzigen tot rekeningnummer toe
  • NMBS: persoonsgegevens (op zijn minst naam, adres)
  • MILBE: militaire Ids (unieke en dus persoonlijk identificeerbare nummers), telefoonnummers, emailadressen

Op basis hiervan zou men moeten concluderen dat de datalekken bij alledrie de instanties inderdaad persoonsgegevens betreffen.

Vind er verwerking van persoonsgegevens plaats?

Artikel 1, lid 2 vermeldt het volgende:

Onder “verwerking” wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens

In alle genoemde gevallen betrof het persoonsgegevens die geautomatiseerd vastgelegd waren (website). Men mag dus stellen dat hier sprake was van verwerking.

Wie is er verantwoordelijk voor de (verwerking van) persoonsgegevens?

We citeren opnieuw de wet, nog steeds  Artikel 1, lid 4

 Onder “verantwoordelijke voor de verwerking” wordt […] de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. […]

Bij de VREG en de NMBS gaat het om gegevens die klanten beschikbaar hebben gesteld aan de VREG en NMBS en die door beiden verwerkt worden voor een welbepaald doel. Het Belgische Leger is als werkgever verantwoordelijk voor de persoonsgegevens die het in zijn rol als werkgever verzamelt. In alle drie de gevallen was de informatie beschikbaar op de eigen website en niet via derden. Ook hier ligt het dus voor de hand dat alle betroffen instanties ook verantwoordelijk waren voor de persoonsgegevens de gelekt zijn.

Is de verantwoordelijke voor de verwerking ook verantwoordelijk voor de beveiliging van persoonsgegevens?

Artikel 16, lid 4:

Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, […], de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.

  • VREG: persoonsgegevens toegankelijk en zelfs wijzigbaar door programmeerfout
  • NMBS: persoonsgegevens maandenlang online, database wijd verspreid door menselijke fout
  • MILBE: persoonsgegevens online, vrij te raadplegen, door technische/menselijke fout

De wijze waarop de gegevens in bovenstaande gevallen beschikbaar waren betroffen allen situaties die mits “gepaste, technische en organisatorische maatregelen nodig voor de bescherming” niet hadden mogen voorkomen.

Conclusie en gevolg

Bovenstaande (eenvoudige) analyse toont aan dat er toch grond bestaat voor de claim dat de betreffende organisaties overtredingen hebben begaan ten op zichten van de wet, wat de NMBS betreft lijkt ook de Privacy Commissiedit aan te geven. In wezen kan iedere persoon wiens gegevens gelekt zijn zich als benadeelde partij aanmelden en klacht indienen bij de Privacy Commissie, al kan alleen een gang naar de rechter leiden tot vervolging. Het zal interessant zijn om te zien in hoeverre er ook inderdaad concrete gevolgen worden gekoppeld aan de datalekken zoals deze hebben plaats gevonden bij de VREG, NMBS en het Belgische Leger. Hieromtrent nog een laatste citaat uit de wet betreffende de gevolgen van overtreding uit artikel 15bis:

 […]De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling in strijd met de bij of krachtens deze wet bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend.