Blog

Datalek bij Ticketmaster: op tijd gemeld?

Vorige week werd bekend dat er een datalek was bij de ticketverkoopwebsite Ticketmaster. Ticketmaster bracht op 27 juni naar buiten dat zij op 23 juni malware ontdekte in een klantenserviceprogramma dat in beheer was bij een door haar ingeschakelde derde partij. Het datalek zou e-mails betreffen met daarin verschillende klantgegevens, waaronder ook betaalgegevens. Het datalek zou met name Britse klanten treffen, maar mogelijk zijn ook Nederlandse klanten door het datalek getroffen.

Nu blijkt dat Ticketmaster mogelijk al eerder dan 23 juni op de hoogte was van het datalek, namelijk op 12 april. De vraag die rijst is in hoeverre het datalek op tijd bij de toezichthouder is gemeld.

Datalek

Een datalek, of een “inbreuk in verband met persoonsgegevens” zoals de Algemene verordening gegevensbescherming (AVG) deze noemt, is iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot een ongeoorloofde verwerking van die gegevens. Onder een ongeoorloofde verwerking wordt verstaan: vernietiging, verlies, wijziging, verstrekking, of het toegankelijk zijn van persoonsgegevens in strijd met de AVG.

Voor een datalek maakt het niet uit of de persoonsgegevens per ongeluk zijn gelekt, of dat deze met opzet onrechtmatig zijn verkregen.

Privacy, security, datalek

Melding van een datalek aan de AP

Onder de AVG dienen datalekken in beginsel uiterlijk 72 uur door de verwerkingsverantwoordelijke aan de toezichthouder te worden gemeld. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens (AP).

In zo een melding meldt de verwerkingsverantwoordelijke in elk geval de aard van het datalek, welke gegevens het betreft, de waarschijnlijke gevolgen en de maatregelen die worden genomen om die gevolgen te beperken.

Niet al deze informatie hoeft binnen 72 uur te worden vermeld. Als dit niet redelijkerwijs mogelijk is, dan is het voldoende om een beperkte melding binnen die 72 uur te maken. Bijvoorbeeld door alleen te melden dát er een datalek is geweest. De overige vereiste informatie kan later, zonder onredelijke vertraging, worden aan de toezichthouder worden verstrekt.

Een datalek hoeft niet te worden gemeld als het onwaarschijnlijk is dat het datalek een risico voor de betrokkenen vormt. In het geval van Ticketmaster lijkt mij echter evident dat wel sprake is van een risico voor de betrokkenen: het betreft immers veel gegevens, waaronder wachtwoorden en betaalgegevens.

Melding van een datalek aan de betrokkenen

In enkele gevallen dient ook aan de betrokkenen melding van het datalek te worden gemaakt. Namelijk indien het datalek waarschijnlijk een “hoog risico” inhoudt. Niet elk datalek dat aan de AP moet worden gemeld, dient dus ook aan de betrokkenen te worden gemeld. De verwerkingsverantwoordelijke dient hiervoor een nieuwe afweging te maken.

De melding aan de betrokkenen dient zo snel als redelijkerwijs mogelijk te worden gemaakt. Hiervoor geldt: hoe hoger het risico voor de betrokkenen, hoe sneller de melding moet worden gemaakt.

Datalek was al bekend

In het geval van Ticketmaster heeft de Britse online bank Monzo bekendgemaakt dat enkele klanten van haar op 6 april verschillende frauduleuze transacties hebben gemeld. Na onderzoek van de bank bleek dat de creditcards, waarmee de transacties plaatsvonden, tevens aan Ticketmaster waren gekoppeld. Op 12 april heeft de bank Ticketmaster daarvan op de hoogte gesteld.

Na een intern onderzoek zou Ticketmaster op 19 april tot de conclusie zijn gekomen dat geen sprake zou zijn van een datalek.

Is op tijd melding aan de AP gemaakt?

Echter, op 23 juni ontdekt Ticketmaster malware in een klantenserviceprogramma, en constateert zij dat dus toch sprake is van een datalek.

De vraag is of het datalek op tijd is gemeld. Hierbij merk ik op dat niet bekend is wanneer het datalek bij de toezichthouder is gemeld. De AP maakt hierover namelijk geen informatie bekend. Voor de beantwoording van de hiervoor gestelde vraag ga ik er gemakshalve van uit dat Ticketmaster de melding van het datalek aan de AP heeft gemaakt binnen 72 uur na het ontdekken van de malware. Dus tussen 23 juni en 26 juni.

Als de melding niet op tijd was, dan riskeert Ticketmaster op grond van artikel 83.4 van de AVG een boete van 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet.

Wanneer begint de termijn te lopen?

Om de vraag te beantwoorden of het datalek tijdig (binnen 72 uur) is gemeld, is het van belang vast te stellen wanneer die termijn gaat lopen. Namelijk op het moment dat Ticketmaster door Monzo van het mogelijke datalek op de hoogte is gesteld (12 april), of op het moment dat Ticketmaster de malware heeft ontdekt (23 juni).

Artikel 33 AVG bepaalt dat de 72 uur termijn gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek. Het Europese adviesorgaan met betrekking tot privacy – de Article 29 Working Party (WP29) – heeft hiervoor nadere richtlijnen opgesteld.

Volgens die richtlijnen heeft de verwerkingsverantwoordelijke kennisgenomen van het datalek, indien er een “redelijke mate van zekerheid” is dat sprake is van een datalek. Zoals vaak in het recht, is het afhankelijk van de “omstandigheden van het geval” of daarvan sprake is.

Om tot deze redelijke mate van zekerheid te komen, heeft de verwerkingsverantwoordelijke – na een melding van een potentieel datalek – een “korte periode van onderzoek” om te bepalen of daadwerkelijk sprake is van een datalek. In deze periode heeft de verwerkingsverantwoordelijke in elk geval nog geen kennis genomen van het datalek, en gaat de termijn dus nog niet lopen.

Was de melding aan AP op tijd?

Of de melding op tijd was, is afhankelijk van de verschillende factoren van het geval. Op 12 april is Ticketmaster door Monzo op de hoogte gesteld van het potentiële datalek. Vanaf die datum had Ticketmaster dus een korte periode van onderzoek om tot een redelijke mate van zekerheid te komen dat sprake was van een datalek.

Ticketmaster concludeert vervolgens – naar nu blijkt ten onrechte – op 19 april dat van een datalek geen sprake is. Relevant voor de vraag wanneer de termijn van 72 uur is gaan lopen, is of dit onderzoek deugdelijk is uitgevoerd, en of de conclusie die daaruit is getrokken juist was. Afhankelijk van onder meer die factoren, zal moet worden geoordeeld wanneer de termijn is gaan lopen en of de melding op tijd was.

Deze omstandigheden zijn vooralsnog echter onbekend. Zonder die te kennen kan simpelweg geen uitspraak worden gedaan over deze zaak. Wel verwacht ik dat Ticketmaster vragen van de AP kan verwachten omtrent dit incident, althans indien het datalek niet al eerder aan de AP is gemeld.

Gerelateerde berichten