Data-inbreuken zijn al lang geen uitzondering meer in het digitale landschap. De afgelopen dagen toonden incidenten bij ziekenfonds Helan en telecomoperator Orange Belgium aan hoe verschillend dergelijke inbreuken kunnen zijn en welke verschillende gevolgen dit heeft voor organisaties wat betreft hun meldplicht.
De inbreuk bij Helan raakte enkele dagen geleden bekend. Een eerdere IT-update leidde tot een technisch incident waarbij persoonlijke gegevens van klanten tijdelijk niet correct gekoppeld werden aan de juiste personen. Klanten ontvingen hierdoor communicatie die niet op hen van toepassing was.
Hoewel Helan het exacte aantal getroffen klanten niet bekendmaakte, gaat het mogelijk om medische gegevens die bij verkeerde personen terechtkwamen. Sommige klanten ontvingen ten onrechte terugbetalingen, anderen moeten langer wachten op hun uitkering door de fout in het systeem. Het ziekenfonds stelt aangifte te hebben gedaan bij de Belgische Gegevensbeschermingsautoriteit.
Orange: cyberaanval treft 850.000 klanten
Bij Orange Belgium was het scenario compleet anders. Eind juli ontdekte de telecomoperator een cyberaanval waarbij criminelen ongeoorloofde toegang kregen tot gegevens van ongeveer 850.000 klanten. Het ging om namen, telefoonnummers, sim-kaartnummers, puk-codes en tariefplannen.
Gevoelige data zoals adressen, wachtwoorden of financiële informatie bleven gespaard, maar de gelekte sim- en puk-codes kunnen wel gebruikt worden voor sim-swaps of social engineering-aanvallen.
Hier volgde een andere meldingsprocedure. “Wij hebben het Centrum voor Cybersecurity België, de Gegevensbeschermingsautoriteit en het gerecht op de hoogte gebracht’, verklaart Sven Adams, senior press relations officer bij Orange Belgium, als we hem vragen naar de getroffen maatregelen.
Verschillende incidenten, verschillende meldplichten
Deze twee voorbeelden illustreren om te beginnen perfect hoe data-inbreuken onderling kunnen verschillen. Waar Helan te maken had met een intern technisch probleem dat vooral de vertrouwelijkheid van persoonsgegevens aantastte, ging het bij Orange om een externe cyberaanval.
En de vereiste melding verschilt afhankelijk van de aard van de organisatie. Danny Zeegers, NIS2- en cybersecurity-expert bij Qfirst, legt uit dat organisaties rekening moeten houden met zowel de GDPR als de NIS2-wet, waar middelgrote en grote organisaties in essentiële en belangrijke sectoren onder vallen.
Beide regelgevingen hebben een ruim toepassingsgebied, maar interferentie is zeker mogelijk. “Elke organisatie die onder de NIS2-wet valt en persoonsgegevens verwerkt, is onderworpen aan beide kaders.”
GBA: bescherming van persoonsgegevens
Wanneer een incident persoonsgegevens raakt, moet dit gemeld worden aan de Gegevensbeschermingsautoriteit (GBA). “Dit geldt voor alle organisaties die persoonsgegevens verwerken, ongeacht hun sector”, benadrukt Zeegers.
De meldplicht bij de GBA vindt plaats binnen 72 uur na vaststelling van de inbreuk via het online portaal. Indien de inbreuk een hoog risico inhoudt voor de rechten van betrokkenen, moeten ook de getroffen personen onmiddellijk geïnformeerd worden.
CCB: kritieke infrastructuur en cyberveiligheid
Het Centrum voor Cybersecurity België (CCB) moet verwittigd worden wanneer organisaties die onder de NIS2-wet vallen getroffen worden door een significant incident. Het gaat hier met name over incidenten betreffende netwerk- en informatiesystemen.
De organisaties onder NIS2 betreffen vooral essentiële en belangrijke entiteiten in sectoren zoals gezondheidszorg, energie, transport en telecommunicatie. Voor NIS2-entiteiten geldt een getrapte meldplicht: een early warning binnen 24 uur, een gedetailleerd verslag binnen 72 uur en een volledig eindrapport binnen één maand.
Orange Belgium valt onder de NIS2-wetgeving, vandaar ook hun melding bij het CCB. Maar voor Helan is dat niet duidelijk. Ziekenfondsen staan namelijk niet expliciet vermeld op de lijst van het CCB die onder de NIS-richtlijn vallen.
Justitie: bij strafrechtelijke aspecten
Dan is er nog een derde partij. Wanneer een cyberincident mogelijk strafrechtelijke aspecten heeft, zoals bij een externe aanval, kan ook het gerecht verwittigd worden.
Dit gebeurt vooral bij cybercriminaliteit, waarbij organisaties aangifte doen bij de politie of het parket.
Concrete aanpak: het voorbeeld van een ziekenhuis
Een praktijkvoorbeeld verduidelijkt de complexiteit. Stel dat een Belgisch ziekenhuis slachtoffer wordt van een ransomware-aanval waarbij patiëntendossiers gehackt worden en kritieke systemen platliggen.
Dit ziekenhuis zou drie verschillende meldingen moeten doen, haalt Danny Zeegers aan. “Aan de GBA wegens het lek van gevoelige medische gegevens, aan het CCB omdat de continuïteit van essentiële zorgverlening verstoord is, en mogelijk aan justitie wegens de criminele aard van de aanval.” Net dezelfde partijen die Orange Belgium dus verwittigde.