Het zal niemand ontgaan zijn dat per 1 januari 2016 de meldplicht datalekken van kracht wordt. Vanaf deze datum is het verplicht een ‘inbreuk op de beveiliging die tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens leidt’ binnen 72 uur te melden aan de Autoriteit Persoonsgegevens.
In bepaalde gevallen moet een datalek bovendien gemeld worden aan de personen wiens gegevens zijn getroffen door het datalek. Op niet-naleving van deze verplichting staan zeer forse boetes (tot 820.000 euro per overtreding).
Hoe organisaties zich moeten voorbereiden op deze nieuwe wettelijke plicht is uitgebreid besproken. Kortgezegd komt het er op neer dat de diverse gegevensverwerkingen in kaart moeten worden gebracht, de beveiliging op orde moet zijn, intern beleid moet worden opgesteld en afspraken moeten worden gemaakt met bewerkers. In de praktijk lijkt de focus vooral op het tweede, derde en vierde asperct te liggen. En niet geheel onterecht, want mocht de toezichthouder ooit de compliance controleren, dan zullen dit ongetwijfeld de punten zijn waarop de controle zich toespitst. Het te gemakkelijk denken over de eerste stap brengt echter een aantal serieuze risico’s met zich mee.
Overal opgeslagen
Het valt mij op dat de inventarisatie van de diverse gegevensverwerkingen te vaak is gericht op de ‘usual suspects’. Hierbij wordt vergeten dat de verwerking van persoonsgegevens niet beperkt is tot de klant-, debiteuren-, personeels- en salarisadministratie. Persoonsgegevens kunnen overal opgeslagen staan, niet in de minste plaats in de e-mailboxes van medewerkers, uiteraard vaak mede bereikbaar via ‘eigen apparatuur’ van de betreffende medewerker. Wie houdt toezicht op (de beveiliging van) deze apparatuur? En wie trekt aan de bel als via deze weg gegevens op straat belanden?
Voorgaande geldt niet alleen voor de problematiek die samenhangt met bring your own device (byod). Een vergelijkbaar probleem doet zich voor door de toenemende aanwezigheid van ‘schaduw it’. Het gemiddelde bedrijf zal ongetwijfeld een goed overzicht hebben van welke (it-)dienstverleners en softwarepakketten het bedrijf gebruik maakt. Met deze partijen worden geheel volgens de regels bewerkersovereenkomsten gesloten, waarin onder meer specifieke afspraken worden gemaakt over de melding van datalekken. Maar hoe zit het met de software die bepaalde afdelingen of individuele werknemers uit eigen initiatief gebruiken? Hoe zit het met Dropbox, Whatsapp of Googledocs? Heeft iemand binnen de organisatie enig idee welke software door werknemers wordt gebruikt? En is bekend in hoeverre hiermee persoonsgegevens worden verwerkt? Hoe zit het met de beveiliging van deze applicaties? En vooral ook: hoe wordt een eventueel datalek tijdig geconstateerd?
Dergelijke vragen zijn uiteraard niet nieuw, maar de consequenties van het onbeantwoord laten van deze vragen wordt per 1 januari aanstaande aanzienlijk groter. De invoering van de meldplicht datalekken is dan ook een goed moment om (weer eens) aandacht te besteden aan deze issues. Een groot deel van it-beveiliging is immers ‘bewustwording’. Van het management, maar ook van de werknemers.
