De meldplicht datalekken, in het verlengde van de Wet bescherming persoonsgegevens, veroorzaakt een bepaalde onrust en onzekerheid in de media, terwijl het aantal meldingen volgens de Autoriteit Persoonsgegevens achterblijft. Er zou een tekort aan deskundigen zijn en de discussie richt zich al snel op het fenomeen ‘boetes’ maar dat is nu net niet de bedoeling van de meldplicht.
Advocaat Aldo Verbrugge (Jones Day) heeft onlangs geadviseerd in het FD om geen melding te doen van een datalek. Echter, concrete oplossingen blijven vaak achterwege. De kunst is juist om de informatiebeveiliging te verbeteren met de juiste focus en prioriteit. Het is van belang te leren van opgetreden datalekken. Daarom is het dringend gewenst dat de Autoriteit Persoonsgegevens met statistieken en daarop gebaseerde leerpunten komt.
Door deze meldplicht datalekken zijn bedrijven, overheden en andere organisaties, die werken met persoonsgegevens, nog nadrukkelijker verplicht hun beveiliging eens goed onder de loep te nemen. Doel: het beperken van inbreuken op de persoonlijke levenssfeer als gevolg van datalekken van persoonsgegevens. Juist door deze meldplicht te negeren, is het risico van reputatieschade voor de onderneming en/of inbreuk op de belangen van betrokkenen groot. Om die reden al is melden van een datalek noodzakelijk. De wet moet daarom worden gezien als een wake-up call voor een aantoonbare beheersing van privacy en security. Bijna dagelijks is er berichtgeving over toename van cybercrime, met negatieve impact op de beveiliging van persoonsgegevens.
Het is niet verstandig om privacy als een op zichzelf staand onderwerp te benaderen. Privacy is weliswaar gekoppeld aan specifieke wet- en regelgeving maar kan beter worden beschouwd in samenhang met informatiemanagement en -beveiliging.
Samenwerking privacy- en securityfuncties een must
Afdelingen kunnen het best met elkaar samenwerken om het privacybeleid en de uitvoering van dat beleid te implementeren of te verbeteren. Een datalek kan in iedere laag van de organisatie ontstaan door het onbedoeld verstrekken van gegevens, bijvoorbeeld e-mails met persoonsgegevens naar verkeerde adressen sturen, het verlies van een usb-stick, zwervende documenten, een zoekgeraakte smartphone of een gehackte server. Het naleven van duidelijke (beveiligings)regels is niet uitsluitend de verantwoordelijkheid van ict-managers, maar van iedereen binnen het bedrijf. De bewustwording vraagt extra inspanningen en investeringen en een andere benadering van privacy en security. Voor veel bedrijven en organisaties zijn dat nog los van elkaar opererende verantwoordelijkheden terwijl een integrale benadering effectiever zou zijn omdat daardoor langs elkaar heen werken kan worden voorkomen.
Door de invoering van de meldplicht datalekken hebben organisaties de kans om risicomanagement, privacy en security op een slimme manier bij elkaar te brengen.
Behandel persoonsgegevens als kroonjuwelen
Allereerst is het van belang dat een organisatie zijn ‘kroonjuwelen’ (assets) bepaalt. Omdat persoonsgegevens hier juist ook vaak onderdeel van uitmaken, vormt een risicoanalyse en een privacy impact assessment (pia) daarvoor een goed uitgangspunt.
Kijk eens anders aan tegen persoonsgegevensmanagement. Beschouw de verschillende bewerkingen van persoonsgegevens als een ketenverschijnsel. Gebruik de inzichten die worden toegepast voor privacy by design en laat je inspireren door ontwerpprocessen die gangbaar zijn in de techniek. Het gehele eindproduct wordt dan vanaf de tekentafel ontworpen, waarbij privacy- en securityaspecten in elke fase van het ontwerpproces worden meegenomen.
De komst van de GDPR (General Data Protection Regulation) als de Europese Privacy Richtlijn per 25 mei 2018 –moet als een volgende impuls worden opgevat ter verbetering van de privacybescherming. De GDPR geeft in dit kader richting door het verplicht stellen van Privacy By Design en het uitvoeren van Privacy Impact Assessments (PIA)’s.
Norea-voorzitter Jeroen Biekart stelt: ‘Een geïntegreerde aanpak is eigenlijk een ‘must’ en bedrijven doen er verstandig aan op tijd te beginnen. Laat je door de meldplicht niet afschrikken en zie het als een kans om de onderneming te profileren ten opzichte van de concurrentie en de informatiebeveiliging op orde te krijgen. De voorgestelde werkwijze geeft prima handvatten om enerzijds te voldoen aan de meldplicht en anderzijds klaar te zijn voor de GDPR.’
Jan de Heer, stafmedewerker Vaktechniek bij Norea
Volledig mee eens.
Maar laten we ook niet de ogen sluiten voor de attitude t.o.v. persoonsgegevens aan de top.
Zolang er of badinerend wordt neergekeken op mensen die ‘moeilijk doen’ en ‘niks te vrezen hebben’ of doelbewust ‘gebruik’ wordt gemaakt van alles wat men bij elkaar geharkt kan krijgen over de potentiële doelgroep is elke technische voorziening bij voorbaat kansloos.
Correct omgaan met persoonsgegevens is 80% attitude en 20% techniek.
Een passende technische inrichting is een voorwaarde, maar zeker geen garantie voor succes.
Een correcte omgang met persoonsgegevens vereist dus een totaalaanpak die het beste ondersteund kan worden door een geïntegreerd governance en management systeem waarbij alle facetten die van belang zijn kunnen worden gemonitord en waar nodig worden bijgestuurd.
Het doen van een melding bij de AP is daarbij een vanzelfsprekend onderdeel.
Helemaal eens! Het omgaan met de vertrouwelijke gegevens van klanten hoort bij de kern van ondernemerschap en bedrijfsvoering.
Helaas is wetgeving nodig om dit nadrukkelijker af te dwingen. Een integrale benadering vanuit risico management, privacy wetgeving, continuïteit aspecten en informatie beveiliging lijkt mij de enige weg voorwaarts