De meldplicht datalekken wordt op 1 januari 2016 van kracht. Wat betekent dat? Moeten bedrijven en instanties de komende maanden vol aan de bak om allerlei extra voorzieningen te regelen? Dat lijkt niet nodig. Wel is het raadzaam om voor het einde van het jaar met de directie de beveiligingsrisico’s door te lopen en afspraken te maken wie melding maakt aan het CBP mocht er een ernstig datalek optreden.
De Eerste Kamer heeft op 26 mei 2015 een wetsvoorstel aangenomen dat een meldplicht voor datalekken regelt. De meldplicht geldt in Nederland vanaf 1 januari 2016. De plicht houdt in dat bedrijven en overheden direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) – vanaf 2016 Autoriteit Persoonsgegevens – zodra zij een ernstig datalek hebben. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het wetsvoorstel is bedoeld als aanscherping van de Wet bescherming persoonsgegevens (Wbp), met oog op de toenemende cybercriminaliteit en privacy-inbreuken.
In sommige gevallen moeten ook de betrokkenen worden geïnformeerd over het datalek, maar alleen als zo’n lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Als een medewerker bijvoorbeeld zijn mobiel met inlogbeveiliging heeft verloren, waarop een aantal telefoonnummers staan van mensen uit zijn netwerk, dan niet. Als een hacker inbreekt in een databestand of er wordt bij een Officier van Justitie ingebroken en zijn usb-stick met gevoelige informatie over een lopende rechtszaak is gestolen, dan wel. Een zegsvrouw van het CBP vertelt dat er nog wordt gewerkt aan richtlijnen die aangeven wanneer er sprake is van ernstige nadelige gevolgen. Een concept ervan verschijnt nog op de website van het CBP – iedereen mag er dan op schieten – om in het najaar definitief te worden vastgesteld.
Dreiging
De dreiging van het ten onrechte niet melden van een datalek is groot. Komt het CBP erachter, dan volgt er een boete, variërend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste (zesde) categorie. Mogelijk geldt per 1 januari 2016 zelfs een hoger bedrag. De boete valt hoger uit als er sprake is van nalatigheid en slecht geregelde ict-beveiliging.
Maar wat betekent de nieuwe wetgeving voor organisaties en hun it-afdelingen? Moeten er nog veel maatregelen worden getroffen om vanaf 1 januari 2016 ‘meldplicht-bestendig’ te zijn? Volgens Alf Moens, vice-voorzitter van het Platform voor Informatiebeveiliging (PViB), is het niet nodig fors te investeren in nieuwe ict, als de huidige voorzieningen voldoen. Hij wijst er op dat in het kader van de Wbp bedrijven en organisaties sowieso moeten zorgen voor passende technische en organisatorische maatregelen om datalekken te voorkomen.
Een van de eisen in de wet is bijvoorbeeld het werken met ‘goede software’. Moens: ‘Wat goede software is, wordt niet echt duidelijk. Wel lees je tussen de regels door dat het om de laatste stand van de techniek gaat, dus de laatste versies van softwarepakketten. Verouderde besturingsystemen die niet worden geüpdatet, vallen hier dus niet onder. Ook moet het regelen van ict-beveiliging proportioneel zijn. Een klein bedrijf met maar weinig gevoelige gegevens hoeft bij wijze van spreken geen miljoenen uit te geven aan een state-of-the-art-infrastructuur.’
Beperkte werkzaamheden
Voor veel ict-afdelingen zullen de technische werkzaamheden beperkt zijn. Al kan het geen kwaad om de ict-beveiliging nog eens onder de loep te laten nemen middels een scan of bijvoorbeeld monitoringsoftware die afwijkende patronen in het ict-verkeer kan opsporen. ‘Maar’, stelt Moens, ‘men moet de meldplicht niet zwaarder maken dat het is. Er is geen reden voor paniek’.
Hij beveelt organisaties aan om eens goed na te gaan om waar er wordt gewerkt met persoonsgegevens en in hoeverre die erg vertrouwelijk zijn. ‘Bij een zorginstelling speelt dit veel meer dan bij een stratenmaker. Instellingen met patiënten, kinderen of studenten zullen een hoger niveau van beveiliging moeten hebben dan zakelijke dienstverleners. Dan is het overigens wel raadzaam encryptie te gebruiken bij mobiele apparatuur. Die technologie is tegenwoordig zo laagdrempelig geworden. Zorg dan ook wel voor een goede back-upvoorziening.’
Verder adviseert hij om afspraken te maken over de afhandeling van een incident. Wie beoordeelt bijvoorbeeld in de organisatie een datalek en wie meldt dit bij het CBP, hoe is de ict-ondersteuning geregeld, op wat voor manier worden betrokkenen geïnformeerd bij een datalek en hoe moet er worden omgegaan met signalen uit de buitenwereld over mogelijke datalekken? ‘Het regelen van je incidentenbeheer, daar komt het eigenlijk op neer. Kijk, niet elke organisatie hoeft in het kader van de eerder genoemde proportionaliteit een incidentmanagementsysteem aan te schaffen. Afspraken kunnen ook in een Excel- of Word-bestand worden genoteerd, of zelfs in een schriftje. Als je het maar aantoonbaar hebt geregeld.’
Moens erkent dat het voor it-afdelingen lastig kan zijn om het onderwerp op de agenda te krijgen bij de directies, vooral bij midden- en kleinbedrijven. Die zitten niet te wachten op weer ‘een nieuwe wet’ en zijn niet bijster geïnteresseerd in een thema als informatiebeveiliging. Toch raadt hij it-managers aan het voortouw te nemen en met de directie om de tafel te gaan zitten. ‘Breng dan samen in kaart met wat voor soort klanten en relaties in de organisatie wordt omgegaan en hoe gegevens worden bewaard. Ook een klein bedrijf kan met gevoelige persoonsinformatie te maken hebben. Uiteindelijk blijft de directeur verantwoordelijk, mocht er een datalek optreden.’
De PVIB-bestuurder wijst er tevens op dat in het geval van uitbesteding van het it-beheer of de klantenadministratie de opdrachtgever ook eindverantwoordelijk blijft. ‘Vindt extern een datalek plaats, dan moet de opdrachtgever het zelf melden aan het CBP-loket. Dat moet je wel in de gaten hebben.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 7, september 2015.
Praktische informatie
Wie meer praktische informatie zoekt over de meldplicht datalekken kan vaak al terecht bij brancheverenigingen of sectororganisaties.
Handige voorlichtingssites zijn:
– beschermjebedrijf.nl (Nederland ICT)
– veiliginternetten.nl (Stichting ECP-EPN)
– veiligzakelijkinternetten.nl (MKB Nederland)
Loket
Sommige sectoren hebben nu al een meldplicht. Denk aan telecombedrijven die datalekken moeten melden op grond van de Telecommunicatiewet bij de Autoriteit Consument en Markt (ACM). Ook overheden, zorginstellingen en banken moeten datalekken melden. Deze meldplicht blijft bestaan. Alleen moeten datalekken na inwerkingtreding van de wet gemeld worden bij het CBP.