De Europese Commissie werkt aan nieuwe databeschermingsregels die dit jaar al van kracht moeten worden. Die Europese Privacy Verordening heeft verregaande consequenties voor bedrijven. Zij worden verplicht om hun data optimaal te beschermen. Falen ze daarin, dan kunnen ze boetes tot honderd miljoen euro of tot 5 procent van de jaarlijkse, wereldwijde omzet tegemoet zien.
Het verbaast Pieter Lacroix, managing director bij securityleverancier Sophos, dan ook dat zo weinig bedrijven zich bewust zijn van de veranderende wetgeving en de impact die dat gaat hebben. ‘Ik vroeg op de InfoSecurity eind vorig jaar aan een zaal van ongeveer honderd mensen wie de Europese General Data Protection Regulation kende. Slechts drie mensen staken hun hand op.’ Lacroix schudt zijn hoofd. ‘De oude Europese databeschermingswetgeving dateert van 1995, in twintig jaar is er niets aan de wet- en regelgeving veranderd, terwijl de wereld om ons heen niet sneller had kunnen veranderen.’ Hij doelt op de smartphones die vrijwel iedereen nu op zak heeft, op de kantoormuren die virtueel vrijwel niet meer bestaan en op alle data die overal verzameld, opgeslagen en gedeeld wordt.
Vanuit Europa is er dan ook veel druk om de nieuwe wetgeving snel in te laten gaan. ‘Wanneer dat precies zal zijn, is nog niet duidelijk, maar men verwacht dit jaar nog. In een stemming van het Europese Parlement heeft 95 procent vóór de nieuwe databeschermingsregels gestemd. Kun je je dat voorstellen? Dat geeft aan dat die wet er hoe dan ook komt.’ Met grote gevolgen voor Nederlandse bedrijven dus.
Encryptie bewijzen
De wet schrijft straks voor dat ieder bedrijf de data van klanten en medewerkers moet beschermen. Alle informatie die een individu kan identificeren valt onder die nieuwe regels. ‘Bedrijven moeten ‘passende’ beveiligingsmaatregelen nemen om hun privacygevoelige data te beschermen. Dat is natuurlijk vrij vaag woordgebruik, maar dat komt doordat de komende wet ook weer een aantal jaren mee moet. Wat vandaag de dag passend is, hoeft dat volgend jaar of over tien jaar niet meer te zijn’, legt Lacroix uit.
In onze steeds digitaler wordende maatschappij is data het nieuwe goud geworden. Niet alleen wordt er veel informatie verzameld, er wordt ook veel gedeeld, opgeslagen in de cloud, meegenomen op mobiele devices. ‘Allemaal mogelijke risico’s’, stelt Lacroix. ‘Als je een bedrijf hebt waar duizend medewerkers met een laptop rondlopen, dan is het geen kwestie van of, maar van wanneer er eentje kwijt raakt.’ En onder de nieuwe wetgeving is dan de organisatie aansprakelijk. Daar ligt ook de bewijslast om aan te tonen dat de beveiliging van de laptop op het moment van verlies of diefstal wel degelijk in orde was. ‘Dat vergeten veel bedrijven. Ze maken wel gebruik van bijvoorbeeld encryptie, maar hebben geen reporting tools waarmee ze kunnen aantonen wat er precies versleuteld is. Doordat de bewijslast straks bij de organisatie komt te liggen, zijn die rapportagetools onmisbaar.’
Bescherming zorgwekkend laag
Veel organisaties hebben nog een lange weg te gaan voordat ze kunnen voldoen aan de ophanden zijnde wetgeving. Uit eigen onderzoek van Sophos blijkt dat iets minder dan de helft (49 procent) van de vijftienhonderd ondervraagden niet op de hoogte is van het databeschermingsbeleid van hun organisatie. Dat is een sleutelelement van de nieuwe wetgeving. Ook blijkt slechts 51 procent van de bedrijfslaptops te zijn versleuteld.
‘Gestolen of verloren laptops zijn de meest voorkomende bron van datalekken. Dit is dus een zeer zorgwekkend percentage’, constateert Lacroix. Maar het meest zorgwekkend vindt hij de conclusie dat slechts 23 procent van de ondervraagden hun klant- en personeelsdata beschermt. ‘Die bescherming geldt niet alleen voor inzage van buitenaf, maar ook vanuit de interne organisatie. Organisaties moeten goed nadenken over wie, welke data mag zien. Bij negen van de tien bedrijven kan de systeembeheerder bijvoorbeeld overal bij. Dat klinkt idioot, maar is wel de realiteit bij veel organisaties. En hoe zit dat als bedrijfsonderdelen zijn geoutsourcet? Wie heeft er allemaal toegang tot de informatie op de servers? En wie is er verantwoordelijk als er in dat geval iets mis gaat en privacygevoelige data op straat komt te liggen? Daar zijn heel veel bedrijven zich volslagen onbewust van.’
Functionaris gegevensbescherming
Grote organisaties zijn zich veelal wel bewust van de op handen zijnde wijzigingen. De grote onwetendheid ligt bij de kleinere en middelgrote bedrijven. ‘Een bakker of een fietsenmaker die een laptop heeft waarop adresgegevens van klanten staan en die hij ook privé gebruikt, valt straks onder dezelfde regels. Als hij zijn laptop op vakantie kwijt raakt, dan kan ook hij hoge boetes tegemoet zien.’ Niet alleen Europa, ook de Nederlandse overheid heeft privacy en security hoog in het vaandel staan.
Er ligt op dit moment een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (Wbp) bij de Eerste Kamer. Deze wetswijziging behelst enerzijds de meldplicht datalekken die stelt dat als een bedrijf privacygevoelige informatie verliest, ze dat direct moet melden bij zowel de toezichthouder als de betrokkene wier data is gelekt. Anderzijds bevat het wetsvoorstel de toekenning van een boetebevoegdheid aan de toezichthouder (het College bescherming persoonsgegevens) voor alle mogelijke schendingen van de Wbp. Het gaat dan om boetes tot 810.000 euro of 10 procent van de jaarlijkse omzet.
Een andere maatregel die grote impact gaat hebben op het midden- en kleinbedrijf is de vereiste dat iedere organisatie een functionaris aanstelt die verantwoordelijk is voor gegevensbescherming. Dat geldt voor alle bedrijven die van meer dan vijfduizend Europese burgers informatie hebben. ‘Een kleine organisatie die van tienduizend mensen maandelijks een paar cent ontvangt, valt al onder deze regeling. Dat kan dus ook een zzp’er zijn die een succesvolle app heeft gebouwd, bijvoorbeeld’, waarschuwt Lacroix.
Tooling en awareness
Sophos is momenteel bezig om de markt wakker te schudden en organisaties zich bewust te laten worden van de aanstaande wetgeving en de impact van die regels. ‘Organisaties moeten zorgen voor passende maatregelen in combinatie met een duidelijk databeschermingsbeleid.’ In de praktijk ziet hij dat veel bedrijven zich verschuilen achter – vaak verouderde – gedragscodes. ‘Maar die zijn lastig te handhaven in deze mobiele en digitale economie. Je kunt wel tegen medewerkers zeggen dat ze niets in de cloud mogen opslaan, niets aan zichzelf mogen mailen of geen klantgegevens op een usb-stick mogen zetten, maar in de praktijk blijkt dat als dat efficiënt werkt voor de medewerker, ze dat toch gewoon doen. Gedragscode of niet.’
Hij pleit voor tooling die naast automatische encryptie ook rapportagemogelijkheden biedt en adviseert organisaties te werken aan awareness binnen hun bedrijf. ‘Dat doe je door te blijven hameren op het belang van goede wachtwoorden, het locken van de pc als een medewerker zijn werkplek verlaat en consequent te laten zien wat je verwacht van je mensen. Iemand die tien jaar geleden bij zijn indiensttreding een code of conduct heeft getekend, weet vandaag de dag echt niet meer wat daarin stond. Herhaling is essentieel voor awareness. Alleen door de combinatie van tooling en awareness kan een bedrijf zijn data optimaal beschermen.’
Gratis check en template
Om bewustwording te kweken heeft Sophos een online check ontwikkeld waarmee bedrijven gratis en snel kunnen nagaan hoeveel risico ze lopen als de Europese Privacy Verordening van kracht wordt. Daarnaast worden er tips en adviezen gegeven hoe data beveiligd kan worden en hoe datalekken voorkomen kunnen worden. Voor bedrijven die nog geen of een verouderde gedragscode hebben, kan er op de site ook een voorbeeld van een databeschermingsbeleid worden gedownload.
Ik moet het nog zien, in de USA pleiten de grote jongens als Google en Apple om de voorgestelde wetgeving om verplicht achterdeurtjes in de software in te moeten bouwen niet aan te nemen. Voormalig minister Opstelten kopieerde deze wetgevingsvoorstellen direct, dus onze VVD coalitiepartner zal encryptie niet toejuichen. Dat wordt nog een harde noot om te kraken.
De burger moet al helemaal opletten., alles wat op zijn computer staat of NAS is onderhand publiek geheim, de beveiliging is zo lek als een mandje. Dat bleek al toen de ingebouwde camera al stiekem kon worden bespioneerd. Andere data is dus evenmin veilig voor deskundige hackers of inlichtingendiensten.
Wat ik nou telkens zo mis op de werkvloer, is de perceptie die men op en over dit onderwerp heeft. Beveiliging is best belangrijk natuurlijk maar…..
Je ziet nog steeds data onbeveiligd over het internet vliegen zonder dat daar echt over word nagedacht. Even mijn eigen email gebruiken omdat ik nog niet helemaal voorzien ben bij mijn nieuwe werkgever. Als je de professional er op aanspreekt krijg je verwonderlijke blikken. ‘Gaat dit ergens over….?’ Maak je niet zo druk. Het is maar een email hoor.
Ook hogerop in de managements keten zie je het maar summier leven. Databeveiliging is immers een verantwoordelijkheid van de IT SD of de IT professional, niet van…. Als je ze uit legt dat het wel degelijk een perceptie verantwoordelijkheid is van een ieder die gebruik maakt van die IT dan zie je werkelijk dat dit onderwerp vrij vaak maar heel summier leeft.
Persoonlijk en professioneel heb ik dit onderwerp altijd altijd als een sec en standaard IT verantwoordelijkheid gezien maar daar wel aan gekoppeld dezelfde verantwoordelijkheid gebruiker en manager hiervan deelgenoot en medeverantwoordelijk te maken. Immers, beveiligen van data is een strategische noodzaak van een ieder in en met IT.
Beste mevrouw Loohuis,
Ik ben benieuwd wat u te zeggen heeft over de wet DataLekken die op 20 februari 2015 Door de tweede kamer is aangenomen te lezen op: https://zoek.officielebekendmakingen.nl/dossier/33662
Het moet dan nog door de eerste kamer waar ik de status niet van weet, maar wat is het verschil voor Nederland als de wet in Nederland en daarnaast in Europa wordt aangenomen?
De gevolgen van een DataLek lijken mij dezelfde als ik het zo lees.
Nederland is toch niet bepalend voor hoe de wet in Europa wordt gevormd?
Heeft Nederland hier het voortouw in genomen? Maar belangrijker vind ik de status van de Nederlandse wet DataLekken. Is deze al door de eerste kamer aangenomen?
Graag uw reactie.
Hoogachtend
Martijn Kamminga
Hallo Kim, een goede oproep om privacy serieus te nemen! Dat moest natuurlijk al onder de Wbp, maar de impact van de komende Europese verordening is inderdaad groot. Saillant detail bijvoorbeeld is dat de door jou genoemde boete per incident geldt!
Tooling en Awareness zijn goede stappen, maar zoals je aangeeft is ook een goed databeschermingsbeleid van belang. Het is wijs de verordening te vertalen naar beleid voor de eigen organisatie. Daarin staat, behalve uitgangspunten, beschreven hoe de organisatie met privacy omgaat, voor de grotere ondernemingen de taken en werkwijzen van de privacy-officer en niet in de laatste plaats de verantwoordelijkheden rondom privacy en wie deze dragen. Voor de implementatie en uitvoering zijn er gelukkig al veel hulpmiddelen voor handen, zoals Triages, Privacy Impact Assesments (PIA’s) voor systemen en handreikingen om bij de systeemontwikkeling van het begin Privacy by Design toe te passen. Daarmee kun je dus preventief zaken regelen.
Maar niet onbelangrijk zijn ook de PIA’s voor processen. Want uiteindelijk gaat het ook hier er weer om wat het personeel met de data doet. Vandaar dat veel organisaties flink investeren in privacy-bewustwording en –training, maar dat is niet genoeg. Processen moet zodanig ingericht worden, dat persoonsgegevens alleen door geautoriseerden mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en als een rechtmatige grondslag voor is.
Daarnaast moeten er allerlei procedures ontwikkeld en ingericht worden, waaronder voor het melden en afhandelen van datalekken, voor de inzage, aanpassing en verwijdering van persoonsgegevens etc.
Verlies van hardware (laptops, usb-sticks e.d.) is erg, maar de scope is breder. Veelal hebben de ongestructureerde data in bijvoorbeeld de kantoortoepassingen te weinig aandacht, terwijl zij ook vallen onder de wetgeving. En dan hebben we het nog niet eens over de persoonsgegevens die ook nog eens in fysieke vorm –lees op papier- overal aanwezig kunnen zijn.
Tot slot wil ik nog wijzen op de persoonsgegevens van het eigen personeel. Bij de meeste organisaties verdient dit –naast de klantgegevens- veel meer aandacht. En daarbij gaat het niet alleen over de data in de systemen van de personeelsadministratie, maar ook hier weer over de ongestructureerde data bij medewerkers zelf, bij de secretariaten en de managers. Denk bijvoorbeeld aan de CV’s “in portefeuille” die de manager nog op zijn schijf heeft staan of in zijn bureaula heeft liggen.
Kortom, veel werk aan de winkel, dat eerlijkheidshalve al onder de Wbp, gedaan had moeten worden, maar bij het nalaten ervan nu tot extreme boetes en daarmee tot de discontinuïteit van de organisatie kan leiden.
Walter Annink, Privacy Personeel deskundige
Beste mevrouw Loohuis,
De kogel is door de kerk. Het wetsvoorstel DataLekken voor Nederland is gisteren door de eerste kamer aangenomen.
Voor meer informatie zie de volgende link:
http://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en
En wie gaat die nieuwe wetgeving controleren op naleving ? Oke, er is een wet dat ik een datalek moet melden. Maar als ik het niet meld, en niemand komt er achter dat IK data heb gelekt, dan krijg ik ook geen boete.
Is hetzelfde als zeggen dat je na middernacht ook niet harder mag dan 120KM op de snelweg, maar dat iedereen weet dat de politie tussen 24.00 en 06:00 uur niet werkt, en de camera’s uit staan. Wie bewijst dan dat ik harder heb gereden ?
Er moet een beter toezicht beleid op deze informatie komen. Niet alleen maar zeggen dat je aan regels moet voldoen, en bij geconstateerde overtreding een boete uitdelen, maar ook actief controleren of de regels nageleefd worden.
Maar ja, dan denk ik dat de overheid als eerste aan zichzelf enorme boetes moet gaan uitdelen. Toch frappant dat veel overheidsorganen geen gebruik maken van certificaten van PKI Overheid ?
Beste Martijn,
Inmiddels is de wijziging van de Wbp ook door de Eerste Kamer aangenomen. Dit onderwerp staat zo hoog op de agenda’s van nationale en internationale overheden, dat men overal snel beleid wil formuleren. In Nederland is dat nu gedaan. Verwacht wordt dat de EU ook haast gaat maken met de Europese Privacy Verordening (die de Wbp kan vervangen). Waarschijnlijk gaan we daar deze maand al meer over horen.
met vriendelijke groeten,
Kim Loohuis
Hallo Walter,
Dank voor je waardevolle toevoeging!
Inderdaad hoor ik in de markt vaak dat er over klantendata wordt gesproken, maar dat data van medewerkers veelal niet dezelfde bescherming krijgen. Opvallend. En zeker iets om organisaties zich bewust van te laten worden.
Beste Erwin,
Helemaal gelijk. Uit onderzoek blijkt dat 71 procent van de beveiligingsincidenten niet eens wordt opgemerkt (waarbij je je ook weer kunt afvragen hoe de onderzoekers aan dat percentage komen als de incidenten niet worden opgemerkt, maar dat even terzijde). De bevoegdheid van het College bescherming persoonsgegevens wordt uitgebreid. Zij zijn de toezichthouder. Maar ik begrijp dat je je afvraagt hoe ze dat gaan doen. We houden dat kritisch in de gaten.