11 januari 2016

Meldplicht Datalekken: wat je écht moet weten

Tjarko Kwee – Internedservices – Business partner

openstaande kluis beeld datalek uit

Op 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) in werking getreden. Je hebt als organisatie de plicht om bij een datalek melding te maken bij de toezichthouder en in sommige gevallen ook bij jouw klant. Lekt er data en houd jij je niet netjes aan de wet? Dan riskeer je een boete die kan oplopen tot € 820.000 of 10% van de jaaromzet – per overtreding.

Voordat je nu in blinde paniek de stekkers uit systemen trekt, is het verstandig verder te lezen. In dit artikel wordt uitgelegd wat een datalek precies is, de actie die je moet ondernemen bij een datalek en belangrijker: wat jouw organisatie kan doen om datalekken te voorkomen.

Wat is een datalek?

De definitie van een datalek is breed. De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.

Je bent wettelijk verplicht om maatregelen te treffen die verlies of onrechtmatige verwerking voorkomen, op technisch en organisatorisch gebied. Nu is dit niets nieuws, de verplichting om netjes om te gaan met persoonsgegevens bestond al. De bevoegdheid van de toezichthouder – per 1 januari heet het College Bescherming Persoonsgegevens (CBP) de Autoriteit Persoonsgegevens (AP) – om boetes uit te schrijven is de voornaamste wetswijziging.

De gevolgen wanneer er geen actie ondernomen wordt zijn een stuk groter geworden en gaan nu dus verder dan enkel reputatieschade. Voorbeelden van een datalek zijn:

  • Een hacker die zich toegang verschaft tot uw systemen en hierbij persoonsgegevens in handen krijgt;
  • Het versturen van een mailing waarbij per ongeluk alle adressen in het CC-veld zijn geplaatst in plaats van het BCC-veld;
  • Een USB-stick of laptop met gevoelige informatie een laptop die gestolen wordt.
Ook verlies van gegevens valt onder de meldplicht datalekken, of dit door een menselijke fout komt of door een datacenter dat afbrandt maakt niet uit. Bekijk deze beslisboom van ICTRecht voor het melden van datalekken voor wanneer je een datalek hebt.

Beslisboom meldplicht datalekken

Beslisboom meldplicht datalekken. Tekstversie bereikbaar via link onder afbeelding.

Bekijk de tekstversie van de beslisboom meldplicht datalekken.

Maar voorkomen van een datalek is natuurlijk veel beter.

Datalekken tegengaan

Alle organisaties zijn verplicht maatregelen te nemen om de beveiliging op orde te krijgen en datalekken te voorkomen. Dat kan een uitdaging zijn wanneer binnen jouw organisatie de IT-kennis niet up-to-date is of als er simpelweg onvoldoende tijd is of resources beschikbaar zijn. Onderstaande acties helpen om goed voorbereid te zijn op de meldplicht datalekken:

Risicoanalyse:

Met een audit van jouw IT-omgeving krijg je inzichten die nodig zijn voor eventuele vervolgacties. Het brengt de risico’s in kaart en geeft zicht op informatiestromen. Je wil weten waar persoonsgegevens worden gebruikt zodat je hier een overzicht van kunt maken. Een risicoanalyse geeft een goed zicht op de huidige staat van beveiliging van persoonsgegevens en laat zien waar je nog maatregelen moet nemen.

Het CBP geeft richtlijnen (PDF) over de beveiliging van persoonsgegevens.

Techniek op orde:

Je moet passende technische beschermingsmaatregelen nemen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Het onbegrijpelijk maken van deze gegevens kan door encryptie toe te passen.

Gebruik op jouw website bijvoorbeeld een SSL-certificaat wanneer om gegevens van gebruikers wordt gevraagd. Zorg dat de wachtwoorden maar ook andere gegevens versleuteld opgeslagen worden in de database. Bij verlies of diefstal van deze gegevens kunnen onbevoegden geen toegang krijgen tot de oorspronkelijke data.

Zorg er ook in ieder geval voor dat alle beschikbare updates voor besturingssystemen, CMS’en en webstacks doorgevoerd worden. Hackers zitten niet stil en nieuwe bedreigingen steken continu de kop op. Softwaremakers komen daarom constant met nieuwe patches om softwarelekken te dichten. Het is zeer belangrijk om deze snel door te voeren.

De beveiliging van een online platform kan worden verbeterd door de veiligheidsrisico’s te beperken. Denk hierbij aan het verwijderen of uitschakelen van onnodige software, het invoeren van een wachtwoordbeleid op het systeem of het beperken van informatie op openstaande poorten. Dit proces wordt ‘hardening’ genoemd en jouw hosting- of cloudprovider kan je hier meestal meer over vertellen.

De organisatie:

Binnen jouw organisatie moet een protocol opgesteld zijn dat taken en verantwoordelijkheden duidelijk maakt bij een datalek. Hoe groot is het datalek en wat is de impact ervan? Wanneer moet de toezichthouder ingelicht worden? Dienen ook de getroffen personen een melding te krijgen van het incident? Verwerk dit waar mogelijk in jouw bestaande procedures.

Maak de nieuwe datalekmeldplicht bekend binnen jouw organisatie. Je wil niet dat datalekken onder de pet worden gehouden, uit angst voor een waarschuwing van de leidinggevende of om anderszins gezichtsverlies te voorkomen.

Bewerkingsovereenkomst

Een bewerkingsovereenkomst is een wettelijk verplichte overeenkomst wanneer een organisatie het verwerken van persoonsgegevens bij een andere partij belegt. Er worden afspraken in vastgelegd over het gebruik en de verwerking van gegevens en welke beveiligingsmaatregelen moeten worden genomen.

Let op: de eindverantwoordelijke voor persoonlijke data is ook verantwoordelijk voor de beveiliging daarvan. De schuldvraag ligt dus niet meer bij de partij die jouw systemen beveiligt of het datacenter waar jouw servers draaien. Het is daarom nog belangrijker om heldere afspraken te maken over verantwoordelijkheden rond het bewerken van persoonsgegevens.

De DHPA, de branchevereniging voor Nederlandse hosting- en cloudproviders, biedt haar leden een standaard bewerkersovereenkomst die de rechten en plichten van beide partijen waarborgt. Vraag jouw cloudprovider om zo’n bewerkersovereenkomst en ga direct na welke maatregelen nog meer getroffen zijn.

Voorkomen is beter dan genezen

Bovenstaande stappen helpen je om te kunnen voldoen aan de nieuwe wetgeving. Met een veilig platform creëer je een solide fundament voor jouw online dienstverlening. Tip: wacht niet met opvolging. Neem bij twijfel over de juiste te nemen stappen contact op met een specialist die jouw beveiliging kritisch kan beoordelen. Wij zitten in ieder geval voor je klaar.

Wil je weten hoe je jouw webshop veilig houdt?

Kom langs bij Internetservices op stand T32 op de Webwinkel Vakdagen. Meld je gratis aan voor de Webwinkel Vakdagen en doe mee aan de Business Partner Bingo beursactie om mooie aanbiedingen te krijgen en kans te maken op een gratis certificering t.w.v. 390,-!

Tjarko Kwee - Internedservices Auteur: Tjarko Kwee, Sales Director bij Internedservices

Thuiswinkel.org business partner
Internedservices 
Wielingenstraat 8
1441 ZR Purmerend

www.is.nl
Geef uw mening