De Meldplicht datalekken, onderdeel van de Wet bescherming persoonsgegevens die sinds januari 2016 van kracht is, moet ervoor zorgen dat u bewuster omgaat met de opslag van persoonsgegevens en de beveiliging ervan. Sterker nog, indien u persoonsgegevens bewaart binnen uw hostingomgeving bent u sinds dit jaar verplicht om een bewerkersovereenkomst af te sluiten met uw hostingprovider waarin afspraken worden gemaakt over aanvullende beschermingsmaatregelen voor uw omgeving.
Deze overeenkomst zorgt ervoor dat uw hostingprovider beter op de hoogte is van de data die u verzamelt in uw hostingomgeving waardoor zij u eenvoudiger en sneller van dienst kan zijn in het geval er passende extra maatregelen omtrent beveiliging moeten worden genomen.
Naast het afsluiten van een bewerkersovereenkomst is men verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP) zodra er een ernstig datalek wordt waargenomen. Ook moeten betrokkenen worden ingelicht zodat zij passende maatregelen kunnen nemen (denk aan het wijzigen van een wachtwoord). Bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) kan een boete worden opgelegd van maximaal 820.000 euro is te lezen op de website van de Autoriteit Persoonsgegevens.
3400 meldingen
We zijn inmiddels negen maanden verder sinds de invoering van de meldplicht datalekken, hoog tijd om een tussentijdse balans op te maken. Houden organisaties zich aan de vernieuwde meldplicht en sluiten zij ook daadwerkelijk een bewerkersovereenkomst af?
Sinds de inwerkingtreding van de meldplicht datalekken, op 1 januari 2016, blijkt de Autoriteit Persoonsgegevens al 3400 meldingen van organisaties te hebben ontvangen. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens, bij BNR Nieuwsradio: ‘Wij gaan ervan uit dat er in Nederland 135.000 bedrijven, instanties, overheden en ziekenhuizen omgaan met persoonsgegevens en dus potentieel door een lek kunnen worden getroffen. Als wij het aantal meldingen van 3400 afzetten tegen dat aantal vinden wij het aantal meldingen nog niet overdonderend veel.’
Daarnaast geeft Tomesen aan dat er sinds de invoering van de meldplicht nog geen boetes zijn uitgedeeld. Een boete wordt enkel opgelegd indien een datalek niet (tijdig) wordt gecommuniceerd naar betrokkenen terwijl dat wel zou moeten in verband met de gevoeligheid van het datalek.
Gegevens op straat
Meldingen die worden gedaan bij de Autoriteit Persoonsgegevens worden in eerste instantie niet openbaar gemaakt. Betrokkenen worden alleen ingelicht indien een datalek ernstige gevolgen voor hen zou hebben. Toch zijn er de afgelopen maanden zaken in de openbaarheid gekomen doordat betrokkenen ontevreden waren over het tijdsbestek voordat zij werden ingelicht of door media die zich beroepen op de Wet openbaarheid van bestuur (Wob).
Zo blijkt de gemeentelijke database met persoonsgegevens van de gemeente Ede gehacked te zijn tussen januari 2015 en juli 2016. De bron van de hack is afkomstig uit Oost-Europa. Een persoon of organisatie heeft gedurende anderhalf jaar toegang gehad tot de opgeslagen persoonsgegevens van de gemeente Ede. Binnen de gemeente is er momenteel een discussie gaande of inwoners niet te laat zijn geïnformeerd over het datalek, ook wordt in twijfel getrokken of de gemeente Ede een instantie is waar burgers met vertrouwen gegevens aan kunnen toevertrouwen.
Gemeente Utrecht
Een andere gemeente waar zich een incident heeft voorgedaan in 2016 is de gemeente Utrecht. In totaal stonden 316 pagina’s met namen en bijbehorende burgerservicenummers op intranet. Het gaat om minimaal vijfduizend en maximaal 140.000 persoonsgegevens. De betrokkenen zijn in dit geval niet op de hoogte gesteld door de gemeente Utrecht, omdat zij van mening is dat misbruik van de gegevens onwaarschijnlijk lijkt te zijn. De gegevens waren namelijk alleen toegankelijk voor medewerkers van de gemeente Utrecht die toegang hadden tot het intranet. Bij de gemeente werken een kleine vierduizend personen.
Dit laatste incident is aan het licht gekomen doordat De Telegraaf een beroep heeft gedaan op de Wet openbaarheid van bestuur. Het datalek blijkt op 3 maart te zijn opgemerkt door een ambtenaar. Vervolgens is er melding van gemaakt bij de Autoriteit Persoonsgegevens. Vooralsnog hebben zij geen boete gekregen voor het niet inlichten van betrokkenen over dit incident.
Datalek in energiesector
Dat de beveiliging niet alleen bij gemeenten voor verbetering vatbaar is blijkt uit het datalek wat onlangs in de openbaarheid is gekomen uit de energiesector. Het gaat om de naw-gegevens van twee miljoen huishoudens met daarnaast informatie over het energieverbruik per jaar, het type aansluiting en de einddatum van het contract. De gegevens zouden door een oud-medewerker van een energieleverancier zijn gestolen uit een centraal register. Dit register is toegankelijk voor alle energieleveranciers in Nederland. Tot op heden is niet bekendgemaakt om welke energieleverancier het gaat. De energieleverancier zelf heeft op dit moment geen toegang meer tot het register. De Autoriteit Persoonsgegevens is momenteel nog bezig met het onderzoek naar dit datalek.
Europese wetgeving
Nederland is het eerste Europese land met wetgeving omtrent datalekken. Steeds meer Europese bedrijven worden echter geconfronteerd met cybercrime, waardoor de noodzaak voor een degelijk beleid ook meer en meer duidelijk wordt. De bewustwording omtrent security bij organisaties wordt vergroot door de invoering van de meldplicht. Naast dat betrokkenen sneller ingelicht moeten worden bij datalekken wordt de vrees voor reputatieschade ook steeds groter. Hierdoor investeren organisaties meer in de veiligheid van hun omgevingen en gaan zij bewuster om met persoonsgegevens.
Deze aanpak wordt vanuit Europa, maar specifiek vanuit België geprezen. De roep voor invoering van een soortgelijk meldplicht wordt steeds groter, blijkt uit diverse artikelen in de Belgische media. Nemen België, en mogelijk andere Europese landen, een voorbeeld aan Nederland en zien we binnen afzienbare tijd invoering van een dergelijke meldplicht ook in andere landen gebeuren? De toekomst zal het uitwijzen.
Bewerkersovereenkomst
Sven Visser, commercieel directeur van Cyso en voorzitter van de DHPA, is blij met de toenemende aandacht voor de problematiek rondom security door de komst van de meldplicht datalekken. Visser heeft zich vanuit de DHPA, als leider van de werkgroep, in 2015 beziggehouden met de ontwikkeling van de gestandaardiseerde bewerkersovereenkomst in samenwerking met ICTRecht. Visser: ‘Zowel vanuit Cyso als de DHPA merk ik dat het vraagstuk, rondom security en de meldplicht datalekken, bij bedrijven erg leeft. Wat ik echter ook merk, is dat organisaties de perceptie hebben dat een bewerkersovereenkomst alle risico’s afdekt, maar dit is slechts het begin. De overeenkomst bevordert de samenwerking omtrent veiligheid tussen de provider en de klant, maar dit is zeker niet het eindpunt.’