Datalekken voorkomen of hoge boetes betalen?

07/04/2015, Eric Bruseker, Solution Advisor Security

Dit jaar kunnen we nieuwe nationale en Europese wet- en regelgeving omtrent gegevensbescherming verwachten. Een meldplicht bij datalekken vormt daarbij de kern, maar wat komt er nu op ons af?

Op dit moment is het College Bescherming Persoonsgegevens (CBP) belast met de handhaving op de Wet Bescherming Persoonsgegeven (WBP). Het handhavingskader is echter zeer beperkt. Het CBP kan een bestuurlijke boete van € 4.500 opleggen voor een administratieve overtreding. Bijvoorbeeld wanneer een organisatie verzuimt ‘een, al dan niet geautomatiseerde, verwerking van persoonsgegevens’ te melden. Zoals u zich kunt voorstellen is het CBP daarmee een tandeloze tijger geweest. Ik zeg hier bewust ‘geweest’. Er gaat namelijk het een en ander veranderen.

Macro-economische belangen

De overheid zelf is ook niet altijd gevrijwaard gebleven van datalekken. Denk bijvoorbeeld aan de troonrede die voor Prinsjesdag al online te vinden was. Nu is besloten om een aantal regels in te stellen, die het lekken van data moeten voorkomen. Ik kan mij voorstellen dat dit komt vanuit de primaire rol die de overheid heeft om burgers te beschermen. Maar ik kan mij ook indenken dat het te maken heeft met macro-economische belangen. Want wat gebeurt er met de concurrentiepositie van Nederland als de blauwdrukken van kennis, processen of technologie van verschillende bedrijven lekt naar buitenlandse bedrijven?

Twee initiatieven

Op korte termijn zijn er op dit gebied twee aanstaande initiatieven van belang:

  1. Een Europees voorstel voor regelgeving omtrent gegevensbescherming (lees: privacy). 
  2. Een nationaal voorstel om datalekken aan te pakken.

Beide initiatieven zijn van toepassing op organisaties die persoonsgegevens van bijvoorbeeld personeel, klanten of patiënten bewaren en verwerken. Feitelijk dus iedere organisatie,  inclusief de overheid zelf! Maar wat wordt er nu verstaan onder een datalek? Voorbeelden zijn diefstal van computerbestanden met klantgegevens, patiëntgegevens of personeelsgegevens. Maar denkt u hierbij niet alleen aan elektronische datalekken. Ook de ontvreemding van papieren documenten met persoonsgegevens worden gerekend tot datalekken.

€ 450.000 boete

Op nationaal niveau verwacht ik dat het initiatief nog voor de zomer wordt aangenomen en dan ook direct van kracht gaat. Het wordt ingevoegd in de bestaande WBP. De uitvoerende instantie blijft het CBP. Het grote verschil met hiervoor is dat het CBP organisaties die een datalek niet binnen 24 uur melden een boete mag opleggen van maximaal € 450.000,-. Tevens gaat het hier niet meer om een puur administratieve kwestie, maar dient de organisatie echt aan te tonen dat er alles aan is gedaan om het lekken van de data te voorkomen. Bovenop dit voorstel is inmiddels een nieuwe wijziging ingediend door voormalig staatssecretaris Fred Teeven. Deze wijziging omvat een verhoging van het boetebedrag te verhogen naar maar liefst € 810.000,-.

Europese AVG

Op Europees niveau gaat de Europese Algemene Verordening Gegevensbescherming (AVG) dit jaar nog in. Dit gebeurt na definitieve goedkeuring door het Europese Parlement. Zodra dit het geval is zal de AVG de WBP geheel vervangen, met uitzondering van de hiervoor genoemde boetes. De belangrijkste aspecten van de nieuwe wetgeving zijn de volgende:

  • Het recht om als persoon vergeten te worden

Nu al veel in het nieuws door Google, waarmee deze partij zich alvast conformeert aan de aanstaande regelgeving. Maar denkt u zich eens in hoe het voor uw organisatie moet zijn, wanneer een klant/patiënt vergeten wilt worden. Hoe gaat u dit technisch inregelen?

  • Functionaris Gegevensbescherming of Privacy Officer

Voor organisaties met meer dan 250 werknemers wordt het verplicht om een Functionaris Gegevensbescherming of Privacy Officer aan te stellen. Diegene moet aan het CBP kunnen tonen hoe de persoonsgegevens worden verwerkt. Daarnaast is deze medewerker binnen de organisatie verantwoordelijk voor het adviseren omtrent het privacybeleid aan de bestuurders. Deze persoon ziet tevens toe op de uitvoering van het privacybeleid.

  • Het bewaren van persoonsgegevens

Dit mag niet langer en met niet meer gegevens dan voor het doel strikt noodzakelijk is. Indien onverhoopt toch gebruik is gemaakt van persoonsgegevens zonder toestemming, zal dit met terugwerkende kracht gevraagd moeten worden.

  • Meldplicht bij datalekken

Deze meldplicht is in lijn met het nationale voorstel meldplicht datalekken.

  • Aantoonbaar evidence based compliant

Er komen strakke regels omtrent wat bestuurders van een organisatie moeten doen om ‘aantoonbaar evidence based compliant’ te worden met de AVG. De AVG richt zich op de verschuiving van ‘Trust me’  - een risico gebaseerde aanpak - naar ‘Show me’ - een evidence gebaseerde aanpak. Bewijs en borging van gegevens wordt dus nog belangrijker.


 

4 facetten van een goed securitybeleid

Security is vanuit historisch oogpunt terecht gekomen bij de IT-afdeling. Maar met de nieuwe wetsvoorstellen draagt de bestuurder de verantwoordelijkheid. Daarmee is security niet uitsluitend iets dat u technisch kunt afdichten, maar heeft het gevolgen voor de hele organisatie. Denkt u alvast eens na over de volgende facetten:

Beleid; Het opstellen van een securityplan waarbij u in eerste instantie uw doel bepaalt. Nog te vaak wordt er een probleem gesignaleerd en daarna pas een technologische oplossing geplaatst. Beter is het om vanuit een doel te werken, te kijken naar de huidige en gewenste situatie en van daaruit verder te werken.

Mensen: Kijkt u eens wat er op bureaus van uw medewerkers ligt. Vaak zien we wachtwoorden of andere gevoelige documenten rondslingeren. Ook dit valt onder het risico op datalekken. Sterker nog, de meeste lekken worden onbewust veroorzaakt vanuit de interne medewerkers. U kunt zaken technologisch nog zo goed dichtzetten. Als het personeel niet bewust is van de potentiële risico’s, dan hebben de genomen maatregelen weinig nut. Maak uw medewerkers dus bewust van het feit dat ook zij soms een risicofactor vormen.
 
Technologie: Dit is geen doel op zich, maar is voornamelijk faciliterend. Technologie moet in staat zijn vast te stellen of er kwaadaardige malware op de systemen aanwezig is. Ook dient het te voorkomen dat gevoelige data de organisatie verlaat via mail, web of op andere manieren.

Organiseren: De bestuurder moet ervoor zorgen dat alles, waarvoor hij verantwoordelijk is, gedocumenteerd en bijgehouden wordt. Deze documentatie omvat tenminste een inzicht in de verbonden partijen, zoals dochtermaatschappijen en deelnemingen. Maar ook alle derde partijen waarmee hij contractuele afspraken heeft dienen goed gedocumenteerd te worden. De bestuurder is straks namelijk verantwoordelijk voor alles wat er in de keten van dienstverleners voor of namens hem wordt uitgevoerd.

Risicoanalyse

In mijn ogen is dit een goed moment voor bestuurders om een risicoanalyse uit te voeren om de bedrijfscontinuïteit te waarborgen. Daarbij zijn de volgende vragen essentieel: ‘Hoe groot is de kans op datalekken in mijn organisatie? En wat wordt er gedaan om dit te voorkomen?’

Meer weten over dit onderwerp?

Wilt u meer weten over de nieuwe wetgeving? Neem dan contact met mij op.

Neem contact op

Eric Bruseker

Eric Bruseker

Solution Specialist

Deel deze pagina