Een deel van het klantenbestand van het Franse bedrijf Ledger (een van werelds grootste fabrikanten van cryptocurrency hardware wallets) werd eind juli 2020 gehackt. Door deze hack zijn meer dan 1 miljoen persoonsgegevens van klanten van Ledger in handen van hackers terecht gekomen.
Hoewel een dergelijk hack voor elk bedrijf pijnlijk is, leidt de hack bij Leger tot extra gezichtsverlies. Klanten van Ledger zijn namelijk crypto-investeerders die extra waarde hechten aan veiligheid en privacy. Een zogenoemde hardware wallet (een USB-stick die fungeert als portemonnee voor cryptocurrencies) biedt namelijk de mogelijkheid om je cryptocurrencies veilig en anoniem op te slaan en te beheren. De vraag is hoe veilig de munten op een hardware wallet van Ledger nog zijn. In dit blog bespreek ik de gevolgen van de hack en ga ik in op de privacyregels die in verband hiermee van belang zijn.
Wat is er precies gebeurd?
Op 29 juli 2020 kwam het bericht naar buiten dat de databases van Ledger toegankelijk waren voor derden. Volgens Ledger wist de hacker door een verkeerd ingestelde Application Programming Interface (software waardoor verschillende programma’s met elkaar kunnen communiceren, ook wel API genoemd) toegang te verkrijgen tot een deel van de e-commerce en marketing databases. De lek kwam uiteindelijk aan het licht met behulp van onderzoek door een programmeur middels het bounty programma van Ledger. De constatering kwam helaas te laat. Op het moment dat de hacker toegang wist te verkrijgen via de open API-verbinding lukte het de hacker om niet alleen 1 miljoen e-mailadressen buit te maken, maar ook voor- en achternamen, adressen, telefoonnummers en bestelinformatie van bijna 10.000 klanten te stelen.
Zoals ik in de inleiding al aangaf is een hack van deze omvang voor elk bedrijf een nachtmerrie. Voor Legder komt de klap wellicht nog harder aan, aangezien het bedrijf wordt beschouwd als een van de toonaangevende producenten van hardware cryptocurrency wallets. Klanten kiezen nu juist voor een hardware wallet van Ledger vanwege de veiligheid en anonimiteit. Niemand weet welke cryptocurrencies je hebt en waar ze zijn opgeslagen. In tegenstelling tot zogenoemde software wallets worden bij hardware wallets de munten niet door derden (online) beheerd waardoor het risico op diefstal van de cryptocurrencies uit je wallet een stuk kleiner is. Nu de gegevens van veel klanten gestolen zijn, is het voor hackers inzichtelijk wie er een hardware wallet heeft besteld, waar deze klanten wonen en wat hun e-mailadres is. Het gevolg is dat deze klanten stuk voor stuk prooi zijn geworden voor scammers en hackers die cryptomunten van de investeerder proberen buit te maken.
Het verwerken van persoonsgegevens, hoe zit het ook al weer?
Elke keer als een organisatie persoonsgegevens verwerkt is dat een inbreuk op de privacy van de mensen over wie het gaat. Het verwerken van persoonsgegevens mag alleen als het echt niet anders kan, oftewel als zonder deze gegevens het doel niet kan worden bereikt. De Algemene verordening gegevensbescherming (AVG) geeft zes grondslagen waarop persoonsgegevens mogen worden verwerkt. De regels uit de AVG zijn van Europees recht en gelden dus voor alle lidstaten van de Europese Unie (en dus ook voor het Franse Ledger). De grondslagen zijn:
1. Er is toestemming van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat dit wettelijk verplicht is.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om een gerechtvaardigd belang te behartigen.
In onderhavig geval is de grondslag voor Ledger voor het verwerken van persoonsgegevens onder andere te baseren op het uitvoeren van een overeenkomst (Ledger moet immers de hardware wallets versturen naar haar klanten) en daarnaast op grond van een wettelijke plicht (Ledger moet onder andere voor de Franse belastingdienst haar verkoopfacturen bewaren).
Voor elke organisatie die persoonsgegevens verwerkt is van belang dat in een privacyverklaring wordt opgenomen welke persoonsgegevens worden verwerkt en waarom. Hiermee wordt voldaan aan de informatieplicht op grond van de AVG. Daarnaast is het van belang (en in veel gevallen verplicht) om in een verwerkingsregister (een overzicht van de persoonsgegevens die worden verwerkt bestemd voor intern gebruik) bij te houden.
Naast een geldige grondslag op grond van de AVG is er ook nog een gerechtvaardigd doel nodig voor de verwerking van persoonsgegevens. Persoonsgegevens mogen namelijk op basis van een van voornoemde grondslagen verwerkt worden, maar dit mag alleen voor een bepaald doel. De AVG noemt niet welke doelen dit zijn. Het doel moet echter wel gerechtvaardigd zijn. De doelen waarvoor persoonsgegevens worden verwerkt moeten eveneens in een privacyverklaring en het verwerkingsregister worden opgenomen.
Hoe lang mogen persoonsgegevens worden bewaard?
Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Op grond van de AVG is er geen concrete bewaartermijn voor persoonsgegevens. Het is dus aan de organisaties zelf om te bepalen hoe lang zij persoonsgegevens bewaren. Oneindig persoonsgegevens bewaren zonder grondslag is verboden. Op een gegeven moment moeten persoonsgegevens daarom worden vernietigd als bijvoorbeeld wettelijke bewaartermijnen zijn verlopen. Onduidelijk is of de persoonsgegevens die zijn gesloten mogelijk al vernietigd hadden moeten worden door Ledger.
Beveiliging van persoonsgegevens
Op grond van de AVG moeten organisaties die persoonsgegevens gebruiken deze beveiligen, om datalekken (zoals bij Ledger) zoveel mogelijk te voorkomen. Van belang is dat er passende en organisatorische maatregelen worden getroffen:
- Organisaties moeten moderne technieken gebruiken om persoonsgegevens te beveiligen;
- Organisaties moeten bekijken hoe zij interne met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens en is dat ook nodig?
De beveiliging was klaarblijkelijk niet op orde bij Ledger, wat heeft geleid tot een gigantisch datalek waardoor persoonsgegevens in handen van kwaadwillenden terecht zijn gekomen. Mogelijk is door Ledger in strijd met de (Franse) AVG gehandeld. Voor bedrijven geldt in het geval van datalek op grond van de AVG een meldplicht. Een datalek moet binnen 72 uur worden gemeld bij de bevoegde autoriteit, in Nederland de Autoriteit Persoonsgegevens, en soms ook aan de mensen van wie gegevens gelekt zijn.
Heeft u vragen over de wijze waarop u persoonsgegevens verwerkt of beveiligt? Of wilt u uw privacy statement laten opstellen of controleren? Neem dan gerust contact op met Valerie Lipman of Joost van Dongen. Wij helpen u graag verder.
Deze pagina is het laatst bijgewerkt op 8 augustus 2023.
