Home Security Meldplicht datalekken: praktische tips

Meldplicht datalekken: praktische tips

67

De aanstaande wet ‘meldplicht datalekken’ doet veel stof opwaaien in ICT-land. Dat sluit aan bij de groeiende aandacht voor privacy, in deze tijd van internet en social media. De gevolgen van de nieuwe wet kunnen ingrijpend zijn, mede door de hoge boetes die in het vooruitzicht worden gesteld als de meldplicht onvoldoende wordt nageleefd.
Wat houdt die meldplicht datalekken nu precies in? En belangrijker nog: wat zijn de praktische gevolgen voor de ICT-middelen van bedrijven en instellingen? Met andere woorden, wat moeten we nu precies doen?
Wat al snel duidelijk wordt, is dat alleen een integrale visie op IT-security werkt als het gaat om de nieuwe wet. Die integrale visie gaat verder dan alleen de firewalls, virusscanners en security appliances. Ook, of misschien wel vooral, de niet-technische aspecten zijn belangrijk. In dit blog zijn de belangrijkste aspecten van de meldplicht datalekken kort toegelicht. Daarbij wordt ingegaan op praktische maatregelen die we kunnen nemen om de kans op problemen zo veel mogelijk te verkleinen.

Iets nieuws onder de zon?
De laatste tijd is er veel rumoer omtrent de bescherming van persoonsgegevens, oftewel onze privacy. Je zou bijna denken dat dit iets nieuws is. In werkelijkheid is in Nederland de verwerking van persoonsgegevens al sinds 1 september 2001 geregeld in de Wet bescherming persoonsgegevens (Wbp). Wat dat betreft is er dus niets nieuws onder de zon.
Wel nieuw is het voornemen om een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe te voegen aan de (bestaande) Wbp. Waarschijnlijk zal deze zogenaamde meldplicht datalekken op 1 januari 2016 ingaan.
Op basis van de meldplicht datalekken moet de verantwoordelijke bij een datalek niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook bij de betrokkene (de persoon of personen waarvan gegevens zijn gelekt). Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector.
De nieuwe meldplicht datalekken kan een flinke impact hebben op de manier waarop bedrijven en instellingen omgaan met IT-security. Dat komt mede doordat op het niet naleven van de meldplicht aanzienlijke boetes staan: maximaal 810.000 euro of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon!

Wat zijn de praktische uitdagingen?
In de nieuwe wet geldt een meldingsplicht voor ‘inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’. Dat is voor interpretatie vatbaar. Het is daardoor onduidelijk hoe we de nieuwe wet moeten interpreteren, terwijl deze wél actief wordt.
De meldplicht datalekken geldt bijvoorbeeld ook voor een kwijtgeraakte USB-stick of de verzending van e-mail waarin alle geadresseerden zichtbaar zijn. In een gemiddelde organisatie kunnen zomaar een paar honderd memory-sticks in gebruik zijn. Hoe hou je gedetailleerd bij waar die allemaal blijven? En hoe controleer je of er misschien iemand per ongeluk een ‘cc’ in een e-mail heeft gebruikt in plaats van een ‘bcc’? Dit is een flinke uitdaging en is praktisch erg lastig uitvoerbaar.
Als laatste veranderen de verantwoordelijkheden van ICT-partijen onder de nieuwe wet. Ook de zogenaamde ‘bewerker’, ofwel de partij die data voor de eigenaar (de verantwoordelijke) bewerkt of verwerkt, heeft verantwoordelijkheden. Denk hierbij ook aan SaaS-providers die de data van klanten op hun systemen hebben. Wie van de partijen gaat de meldingen coördineren? En wie is dan waar verantwoordelijk voor? Er dient tussen de opdrachtgever en de bewerker een bewerkersovereenkomst te zijn waarin dit soort zaken zijn vastgelegd.
De nieuwe meldplicht datalekken vraagt dus om meer administratie en vooral om een veel betere controle op het gebruik van ICT-middelen in een bedrijf of organisatie. Het Cbp kan naar aanleiding van een melding een audit doen of er ‘passende technische en organisatorische beveiligingsmaatregelen’ zijn genomen. Wat precies ‘passend’ is, wordt door het Cbp bepaald. Het is daardoor lastig om hierop goed voorbereid te zijn.
Daar komt nog bij dat er een nieuwe Europese verordening in aantocht is die ook bepalingen over een meldplicht voor datalekken kent. Het kan dus zo zijn dat de meldplicht inhoudelijk over een paar jaar weer verandert.
Wat dienen we praktisch te doen? Het is van belang om de volgende aspecten van IT-security te belichten:

  • Is er IT-security beleid gedefinieerd?
    • Een IT-security beleid dient gebaseerd te zijn op de specifieke kwetsbaarheden van een omgeving en geldende normeringen voor de branche. Algemeen gedefinieerd beleid biedt te weinig raakvlakken met de praktijk.
  • Is het beleid vertaald naar de juiste maatregelen?
    • Zijn technische en organisatorische maatregelen gebaseerd op het beleid? Dit zorgt dat maatregelen worden genomen die specifieke kwetsbaarheden adresseren en voorkomt de implementatie van ‘techniek om de techniek’.
  • Is, naast technische maatregelen, voldoende aandacht besteed aan organisatorische maatregelen?
    • Technische maatregelen zijn heel belangrijk, maar lossen tegelijkertijd maar 50 procent van de problematiek op. Technische maatregelen behoeven een geoliede organisatie die zorgt voor adequaat beheer. Als dat achterwege blijft, verliezen de technische maatregelen geleidelijk hun effectiviteit.
  • Is voldoende aandacht besteed aan de menskant van IT-security?
    • Minimaal 50 procent van IT-security bestaat uit menselijke en organisatorische aspecten. Menselijke fouten zorgen veelal voor de grootste rampen op security-gebied, daarvan zijn voldoende voorbeelden. Security-bewustwording en digivaardigheid zijn enorm belangrijk.

Ik ben ervan overtuigd dat het alleen mogelijk is om te voldoen aan de nieuwe meldplicht datalekken en de eisen op het gebied van beveiliging van persoonsgegevens als de gehele breedte van IT-security in de aandacht is. Een keten is immers zo sterk als de zwakste schakel! Vergeet één schakel en de gehele keten is zwak, met alle gevolgen van dien!
Daarom is het van belang een beveiligingsscan uit te voeren op alle relevante fysieke en organisatorische aspecten. Daar horen zeker ook de verschillende aspecten van de meldplicht datalekken bij. Zo wordt inzichtelijk op welke gebieden nog actie nodig is.

René Voortwist, Adviseur De Ictivity Groep

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in