Afgelopen weekend waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor een ernstig beveiligingslek in de veel gebruikte softwaretool log4j. De cyberwaakhond raadt bedrijven en organisaties aan zich voor te bereiden op misbruik door internetcriminelen. Het lek kan vanuit juridisch perspectief grote gevolgen hebben, stelt universitair docent en onderzoeker privaatrecht en technologie Tim Walree (Radboud Universiteit). ‘De vraag is wel of je bedrijven daarvoor verantwoordelijk kunt houden’, zegt Walree.
Wat maakt dit beveiligingslek zo ernstig?
‘Het is een script binnen software die ontelbare softwareontwikkelaars gebruiken. Alle bedrijven, organisaties en overheidsinstanties zitten erdoor in onzekerheid. Het Citrix-beveiligingslek twee jaar geleden was anders. Dat ging om een specifieke leverancier, waarvan niet iedereen gebruik maakte. Dat was overzichtelijker. Bij deze kwetsbaarheid heb je geen idee. Het is een stukje logging software dat registreert wat een applicatie doet en dat overal in kan zitten.’
Welke gevolgen kan het lek hebben voor ondernemingen?
‘In de relatie tussen een bedrijf en burgers of consumenten kunnen de gevolgen verstrekkend zijn. Een beveiligingslek kan leiden tot diefstal van data. Derden kunnen dan toegang krijgen tot persoonsgegevens van klanten van bedrijven, of van burgers.
En tot informatie van de bedrijven zelf. Er wordt gevreesd voor ransomware-aanvallen. Gijzelsoftware zorgt dat bedrijven geen toegang meer hebben tot gegevens. Of dat klanten of consumenten geen toegang meer hebben tot hun gegevens. Gegevens zijn dan niet meer beschikbaar, terwijl de Algemene Verordening Gegevensbescherming (AVG) zegt dat bedrijven moeten zorgen dat gegevens altijd beschikbaar zijn. En als bedrijven niet meer bij hun gegevens kunnen, ligt hun werk stil. Dat raakt hun bedrijfscontinuïteit, en ze kunnen bepaalde afspraken niet nakomen of opdrachten niet uitvoeren. Dat kan enorme schade met zich meebrengen. Zakelijke klanten kunnen dan zeggen: vervelend, dit beveiligingsincident, maar je moet zorgen dat je je zaken op orde hebt.’
Kunnen zakelijke klanten een bedrijf aansprakelijk stellen voor schade?
‘Dat is maar de vraag. Dit lek is zo wijdverspreid, het zit zo verstopt in software, je kunt je afvragen of bedrijven daarvoor wel verantwoordelijk zijn. Of er schuld is. Schuld is een belangrijke voorwaarde voor aansprakelijkheid. Op grond van de AVG bestaat er wel risicoaansprakelijkheid. Dan heb je schuld, zonder dat je zelf iets fout hebt gedaan. Maar deze situatie is heel nieuw: er zit een lek in software, waaraan je geen schuld hebt, maar waarvoor je wel verantwoordelijk bent. Over aansprakelijkheid in dit geval durf ik geen uitspraken te doen. Zakelijke klanten kunnen bedrijven wel aansprakelijk stellen voor het niet nakomen van afspraken.’
Welke beginselen van de AVG brengt dit beveiligingslek mogelijk in gevaar?
‘De AVG zegt dus: gegevens moeten altijd beschikbaar zijn. Bedrijven moeten met die gegevens vertrouwelijk omgaan. Mogelijk schendt de kwetsbaarheid in de software ook een derde kernwaarde van de AVG, namelijk de integriteit van de gegevens. Dat gebeurt als criminelen gaan morrelen aan cijfers, of klantgegevens aanpassen. Dan raakt het lek drie heel belangrijke pijlers van de AVG. Een vierde punt is dat de Autoriteit Persoonsgegevens erop moet toezien dat bedrijven passende beveiligingsmaatregelen implementeren. Dat geldt voor elk bedrijf, elke organisatie, elk overheidsorgaan in Nederland. Maar in hoeverre kun je bedrijven verantwoordelijk houden voor iets dat kennelijk ook Apple en Microsoft niet hadden gezien? Kun je verwachten dat veel kleinere bedrijven dezelfde verantwoordelijkheid dragen? Ik denk het persoonlijk niet.’
Wat kunnen en moeten ondernemingen in dit kader doen?
‘Iedereen wordt door dit lek gedwongen om te kijken of alles in orde is, want veel bedrijven hebben geen idee welke software ze precies gebruiken en welke scripts die software gebruikt. Het dwingt bedrijven een scan te maken, of om een gespecialiseerd bedrijf hun systemen na te laten lopen. Zelf wilde ik gisteren inloggen in een systeem van de Radboud Universiteit. Dat lukte niet, omdat de IT-dienst het systeem stil had gelegd om onderzoek te doen naar mogelijke kwetsbaarheden door het lek. Dat is denk ik een goede zaak. Bedrijven en organisaties hebben een zorgplicht om hun systemen na te lopen.
Die plicht zit eigenlijk in artikel 32 van de AVG, dat een bedrijf passende beveiligingsmaatregelen moet nemen. Op grond daarvan moet een organisatie blijven controleren of haar systemen op orde zijn en bekijken: welke systemen heb ik, ben ik hierdoor geraakt? Op grond van de AVG moeten bedrijven en organisaties periodieke assessments doen om van een systeem of software risico’s voor de privacy van mensen in kaart te brengen en hoe het die kan afdekken. Dit beveiligingslek is een goede aanleiding om dat assessment nu al te doen. Maar je kunt ook zeggen dat een bedrijf op grond van het algemeen aansprakelijkheidsrecht een zorgplicht heeft om onderzoek te doen.’
Volgens artikel 34 van de AVG moet een organisatie een datalek binnen 72 uur melden bij toezichthouder AP. Speelt dat nog een rol?
‘Als er een inbreuk op de beveiliging is en het risico is hoog, moet je dat inderdaad melden bij de AP. Als het risico nog hoger is, moet je het ook melden aan de betrokkenen, degenen van wie persoonsgegevens worden verwerkt die mogelijk gelekt zijn. En het bijzondere is: als je niet kunt uitsluiten dat iets is gebeurd, en dat kan een hoog risico opleveren voor het lekken van persoonsgegevens, moet je het ook melden aan de toezichthouder en betrokkenen. Deze regel geldt eveneens voor elk bedrijf. Ik kan me voorstellen dat de bakker op de hoek of een scholengemeenschap niet kan achterhalen van welke software ze precies gebruik maken. Als ze de kwetsbaarheid niet kunnen uitsluiten, moeten ze dat naar de letter van de wet dus melden.’
Kunnen bedrijven die hun zaken niet op orde hebben een boete verwachten?
‘Ik denk niet dat de toezichthouder hierop al gaat ageren. Deze kwetsbaarheid is door iedereen over het hoofd gezien. De wetenschap was er nog niet. Als bedrijven over een half jaar of een jaar nog steeds geen software updates hebben uitgevoerd met betrekking tot deze kwetsbaarheid, kan dat anders liggen.’
