Door een succesvolle cyberaanval is er een datalek bij het Zwitserse Ministerie van Onderwijs ontstaan. Vervelend, maar onverantwoord is dat het incident uit voorzichtigheid twee maanden verborgen is gehouden.
Een datalek betekent communiceren met de betroffen organisaties en personen, plus mogelijk een melding doen bij de toezichthouder. Dat is in Zwitserland niet anders dan in Nederland. Doel van dat eerste is misbruik van de gelekte data te voorkomen. Bedrijven en personen kunnen dan extra maatregelen treffen, zoals het veranderen van procedures en wachtwoorden.
Het is daarom op het eerste gezicht zeer vreemd dat het Ministerie van Onderwijs in Bazel pas twee maanden nadat een inbraak was geconstateerd heeft besloten 30.000 personen te waarschuwen. Er staat inmiddels een wachtwoorddatabase met 671 records op darknet dus de vraag is niet of, maar wanneer die data gaat worden misbruikt.
Gevoelige persoonsgegevens
Een verklaring voor deze vertraging lijkt te liggen in de aard van het bestand. In de Zwitserse pers wordt dat heel voorzichtig geformuleerd, maar het zou kunnen gaan om bovengemiddeld gevoelige persoonsgegevens van ook nog eens minderjarigen (link).
Door de aard van de gegevens heeft men het niet aangedurfd (!) de aanval en het darknetbestand grondig te analyseren. Daarom heeft de melding van het datalek zo lang op zich laten wachten. Daarbij heeft men er voor gekozen niet de 761 personen waarvan de data op het darknet staat te waarschuwen maar 30.000 personen. Een veel grotere groep dus en ook dat heeft te maken met voorzichtigheid. Omdat men het darknet bestand niet kan, wil of mag onderzoeken krijgt gewoon iedereen die in de onderwijsssystemen voorkomt opgeroepen de wachtwoorden te veranderen en extra alert te zijn.
Het is begrijpelijk dat de Zwitsers worstelden met deze case. Dat ze uiteindelijk een zinvolle beslissing hebben genomen is goed. Maar wat absoluut niet zou kunnen onder de AVG is een datalek twee maanden onder de pet houden zonder enige melding, de toezichthouder hier zal die voorzichtigheid nooit accepteren.
(bron)
