De Meldplicht Datalekken is inmiddels ruim een half jaar van kracht. Diverse security-experts verzamelden zich in de arena van het Beatrixgebouw in Utrecht en spraken over de resultaten van de wet, wat er nog moet gebeuren en hoe de meldplicht van invloed is op de aankomende Europese wetgeving.
Stel: een medewerker van uw organisatie heeft een bedrijfslaptop waarop duizenden persoonsgegevens staan. Deze laptop is niet versleuteld en ook de data zijn vrij toegankelijk. Vervolgens raakt de medeweker deze laptop kwijt. Dat is een datalek dat sinds 1 januari 2016 gemeld moet worden aan de Autoriteit Persoonsgegevens (AP). Dit in het kader van de Meldplicht Datalekken (zie kader onderaan).
Motivatie
Erwin Schürmann, manager systems engineering bij securityleverancier Fortinet, ziet dat de meldplicht bijdraagt aan bewustwording in het hogere segment. ‘De overheid wil dat bedrijven niet alleen gaan nadenken over databeveiliging maar er ook actie op ondernemen. Een lek kan nooit 100 procent voorkomen worden, maar bedrijven moeten aantonen dat ze cybersecurity serieus nemen en proberen een lek te voorkomen.’ Een andere doelstelling is om het consumentenvertrouwen weer terug te winnen, meent Kevin Jonkers, manager Forensics & Incident Response bij beveiligingsbedrijf Fox-IT. Hij vindt dat de meldplicht nog weinig concreets heeft opgeleverd. ‘Bedrijven zijn op de hoogte van de meldplicht en denken na over de beste manier om met deze verplichting om te gaan. Maar het verandert niets aan de cybersecurityproblematiek, er vinden nog steeds dezelfde beveiligingsincidenten plaats’.
(On)duidelijk
Ook Jacco Branderhorst, technisch directeur bij outsourcingsbedrijf VPO, ziet nog weinig resultaat. Zijn bedrijf richt zich op het mkb. Hij noemt de meldplicht een mislukte wake-up call. ‘Bedrijven zien ineens een potentiële boete voorbij komen en schieten in de stress dat er nu echt wat moet gebeuren. Ze realiseren zich dat ze de afgelopen jaren vergeten zijn om aan gelijksoortige wetgeving te voldoen. De nieuwe regels van de meldplicht zijn dat bedrijven nu een melding van een datalek moeten maken. Daarnaast is de potentiële boete verhoogd.’ Niels Pluijmen, verkoopmanager bij de Zweedse firewall-leverancier Clavister, voegt toe dat de motivatie van bedrijven voornamelijk komt uit de mogelijke beboeting. ‘Ze zijn bang financiële schade op te lopen bij een datalek. Daarbij vergeten ze dat er ook nog andere vormen van schade bestaan, zoals reputatieschade. Dat is niet te uiten in financieel verlies, maar bedrijven kunnen ook hiervan over de kop gaan.’
Deze afwachtende houding van bedrijven kan volgens Ed Muylkens, managing partner bij it-leverancier EMCS IT Services, deels worden toegeschreven aan het feit dat de wet niet exact is gedefinieerd. ‘De AP kan boetes uitdelen wanneer een bedrijf geen ‘passende maatregelen’ heeft genomen om een datalek te voorkomen en er daadwerkelijk data zijn gelekt, die leiden tot schade voor betrokkenen. Het punt is dat zeker voor mkb’ers niet duidelijk is wanneer maatregelen passend zijn. Een corporatie kan aan hogere eisen voldoen dan een mkb’er.’ Hij stelt dat sommige (zorg)instellingen al een slag kunnen maken door de basis van cybersecurity op orde te brengen, met virusscanners of firewalls. Branderhorst vraagt zich daarom af of de opgestelde regels voor elke organisatie gelden. ‘Kleine bedrijven met slechts enkele medewerkers (of zzp’ers) zijn in mindere mate met deze materie bezig. Sterker nog: waarschijnlijk hebben ze hier helemaal geen kennis van.’ Ook Pluijmen stelt dat de wet nog vraagtekens oproept. Dit vanwege de weinig beschikbare jurisprudentie.
Anne Spoelstra, corporate information security officer bij energiemaatschappij Eneco, is het niet eens met de heren; hij vindt juist dat er nu een heldere definitie van een datalek is. ‘Bedrijven moeten een melding maken wanneer ‘vervelende data’, zoals persoonsgegevens, door onbevoegden wordt bekeken’, legt hij uit. ‘Dit betekent dat niet elk lek gemeld wordt. Daar moeten organisaties een afweging in maken. Bij Eneco hebben we hier een interne stuurgroep voor aangesteld.’
Het draait om medewerkers
In het afgelopen half jaar heeft Eneco al diverse meldingen bij de AP gedaan. Volgens Spoelstra kwamen die lekken vaak tot stand door een procesfaal of een fout van een medewerker. De grootste uitdaging van de meldplicht ligt volgens de heren dan ook niet geheel in de techniek, maar juist bij de medewerkers. ‘Zij moeten weten dat zij een datalek kunnen veroorzaken en bovenal inzien wat dit voor gevolgen kan hebben’, zegt Jonkers. ‘Nu is dat kennisniveau bij veel medewerkers nog te laag. Organisaties moeten hier op sturen door een beleid op te stellen waarin staat wat wel en niet mag.’
Ook securityleverancier Clavister ziet dat bewustwording bij eindgebruikers steeds belangrijker wordt. Pluijmen: ‘Klanten worden opgeleid en worden getriggerd om alert blijven. Dit is deels de taak van de it-manager. Hij moet invulling geven aan dit leertraject. Dergelijke opleidingstrajecten zijn belangrijk om eindgebruikers intrinsiek te motiveren en bieden ruimte om over hun verantwoordelijkheden na te denken. Technologieën zoals multi-factor authenticatie faciliteren de eindgebruiker en bieden een nuttige ondersteuning voor hen in dit bewustwordingsproces en bieden uiteraard ook additionele beveiliging.’
Naast de bewustwording van bedrijven moet er ook bewustwording bij de burgers komen. De wet is namelijk ingesteld om de privacy van burgers te versterken en het consumentenvertrouwen te laten toenemen. ‘Vaak zijn consumenten de dupe van een datalek’, vertelt Schürmann. ‘Zij moeten er maar op vertrouwen dat een bedrijf een goed werkende cybersecurity-oplossing inzet. Hopelijk denken burgers na of zij nog wel zaken willen doen met bedrijven die niet goed omgaan met persoonsgegevens.’ Helaas is dat niet altijd even eenvoudig, meent Muylkens: ‘Neem overheidsinstanties of zorginstellingen. Als zij een datalek hebben waarbij je persoonsgegevens op straat liggen kun je niet makkelijk kiezen om geen zaken met ze te doen. In dat geval raken de instellingen hun klanten dus niet kwijt.’
Spoelstra merkt wel dat burgers op de hoogte zijn van hun rechten. ‘Als onderdeel van de wet moeten bedrijven inzichtelijk maken over welke (persoons)gegevens zij beschikken. Bovendien hebben consumenten het recht om vergeten te worden. Bij Eneco krijgen wij veel van dit soort verzoeken binnen.’
EU-wetgeving 2018
In 2018 gaat de Europese Verordening van kracht. Vanaf dan geldt één privacywet in de hele Europese Unie, in plaats van 28 verschillende nationale wetten. De privacyautoriteiten kunnen dan twee soorten boetes geven, waarbij de hoogste variant kan oplopen tot een bedrag van twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. ‘Nederland is, net achter Duitsland, een van de beste jongens uit de klas in Europa op gebied van deze wetgeving. Er is echter nog veel te winnen voor deze Europese wetgeving ingaat’, meent Branderhorst. De heren denken dat Nederlandse organisaties ongeveer dezelfde stappen moeten maken als bij het in werking treden van de Nederlandse meldplicht. Het voordeel is dat de wet nu in meer landen geldt en autoriteiten op EU-niveau samenwerken. Dit kan sneller tot jurisprudentie leiden, wat concrete voorbeelden en maatregelen oplevert.
Privacy officier
Een nieuw aspect aan de Europese wetgeving is de privacy officier. Iets waar momenteel weinig bedrijven over beschikken, omdat deze nog niet verplicht is. Spoelstra pleit voor een it’er met juridische kennis. Jonkers ziet deze rol juist weggelegd voor een jurist en denkt dat het meer een nevenfunctie wordt voor iemand op de legal-afdeling. ‘Waarschijnlijk worden er eisen gesteld aan de output van die functie. Ik gok dat iemand daar een halve of hele dag per week mee bezig is.’
Schürmann voegt hier aan toe dat de rol van een privacy officier anders is bij een it-leverancier. ‘Leveranciers kunnen de privacy officer op tactisch/strategisch niveau helpen om bijvoorbeeld bepaalde beveiligingsfeatures aan producten toe te voegen.’ Hij stelt dat de functies van de privacy officer complementair zijn aan de huidige security officer.
Meldplicht is er, wat nu?
‘De meldplicht staat of valt met een helder beleid waar maatregelen uit volgen’, concludeert Schürmann. ‘Vervolgens worden er technische en organisatorische regels opgesteld. Het is de taak van de it-afdeling om de business in te lichten over het belang van bepaalde technische maatregelen.’ Spoelstra is het met hem eens: ‘De it-afdeling moet de business overtuigen dat nieuwe activiteiten alleen mogen worden uitgevoerd als de beveiliging goed is’, besluit hij.
Dit artikel is verschenen in Computable Magazine, jaargang 49, nummer 7, september 2016.
Meldplicht Datalekken
Meldplicht Datalekken is sinds 1 januari 2016 van kracht. Het verplicht organisaties, zowel bedrijven als overheden, om een ernstig datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AO), voorheen het College bescherming persoonsgegevens (CBP). Van ernstig is sprake wanneer er kans is op verlies of bij onrechtmatige verwerking van persoonsgegevens. Bij overtreding kan de AP een boete opleggen van maximaal 820.000 euro. De wet moet de privacy van burgers versterken in een tijd waarin cybercriminelen het steeds vaker gemunt hebben op identiteitsgegevens. Het is een uitbreiding op de wet Bescherming Persoonsgegevens (wbp), die sinds 2001 bestaat. Dit verplicht bedrijven zorgvuldig met persoonsgegevens om te gaan en moet gegevenswerking aan de autoriteit en de betreffende personen melden.
Deelnemers
Ed Muylkens is managing partner bij EMCS IT Services. Dat bedrijf maakt de it-privacy- en securityrisico’s beheersbaar en richt zich op het mkb.
Erwin Schürmann heeft ruim twintig jaar ervaring in cybersecurity en werkt als manager systems engineering bij securityleverancier Fortinet.
Kevin Jonkers is werkzaam als manager Forensics & Incident Response bij beveiligingsbedrijf Fox-IT. Hij helpt klanten wanneer zij data kwijt zijn en begeleidt hen bij de melding bij AP.
Anne Spoelstra is corporate information security officer bij Eneco. Die energiemaatschappij is een eindgebruiker van Fox-IT.
Niels Pluijmen verkoopt netwerk- en security-producten aan telco’s, cloud service providers en het mkb. Dit doet hij bij it-leverancier Clavister.
Jacco Branderhorst werkt als technisch directeur bij outsourcingspartij VPO (online werrkplekken), een eindgebruiker van de firewalls van Clavister.
Is de meldplicht ook van toepassing voor non-profit organisaties, zoals bijvoorbeeld een EHBO Vereniging?
Interessant verhaal met een vreemde conclusie dat de it manager de business moet overtuigen. De verantwoordelijkheid ligt bij de verantwoordelijke: degene die het doel en de middelen van de verwerking bepaalt. Dat is meestal toch echt de business zelf!
Wat het management van veel bedrijven nog niet begrijpt is dat de gevolgen van de nieuwe (Nederlandse én Europese!) privacywetgeving géén “ICT-ding” is. Wij horen met grote regelmaat de reactie: “Meldplicht Datalekken? … dat moet de IT afdeling maar oppakken”. Niets is echter minder waar. De privacywetgeving heeft grote gevolgen voor de (bestuurlijke!) aansprakelijkheid van een organisatie. Bewerkersovereenkomsten (waren al sinds 2001 wettelijk verplicht!) moeten aangepast worden om te voldoen aan de nieuwe eisen en te beschermen tegen de gevolgen van de keten-aansprakelijkheid. En dan de accountability: accountants gaan straks vragen om de privacy-administratie, die een verplicht onderdeel gaat worden van je bedrijfsvoering. Een accountant mag geen jaarrekening goedkeuren bij een bedrijf met onacceptabele risico’s. De boetes zijn afschrikwekkend, maar worden door de Autoriteit Persoonsgegevens (AP) echt niet zomaar uitgedeeld. Eerst “bindende aanwijzingen”. Meldingen over berispingen aan bedrijven door de AP zijn al te vinden op hun website. Je reputatie staat dan op het spel. Dat wil je toch niet? Bedrijven kunnen nu laten zien dat de privacy van hun gegevens bij hen in goede handen is. Bedrijven met de houding “Zolang er geen boetes worden uitgedeeld doen we maar niks” komen straks van een koude kermis thuis. Ik had graag bij deze round-table aanwezig geweest ! 🙂