Vanaf 2016 gaat er veel veranderen binnen de in Nederland geldende privacywetgeving. In 2018 wordt de Wet Bescherming Persoonsgegevens (WBP) vervangen door de Europese Privacy Verordening. Maar al per 1 januari aanstaande wordt in de WBP een meldplicht bij datalekken opgenomen en worden ook de boetebevoegdheden van het CBP aanzienlijk uitgebreid.
Ik deel hier graag enkele dringende actiepunten om te voorkomen dat jouw organisatie in 2016 het slachtoffer wordt van een boete als gevolg van een datalek. Want een belangrijk onderdeel van de nieuwe Meldplicht Datalekken is dat bedrijven bij het lekken van persoonsgegevens fors bestraft kunnen worden. Zeker als er sprake is van niet-toereikende beveiligingsmaatregelen of grove nalatigheid. Onder de definitie van datalekken vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken.
Veel organisaties realiseren zich nog onvoldoende dat actie vereist is; de informatiebeveiliging moest immers twintig jaar geleden ook al op orde zijn. Het grote verschil met vroeger is echter dat het risicovol omgaan met persoonsgegevens eerder in de papieren zal gaan lopen. Daarnaast zijn veel zakelijke it-omgevingen sterk veranderd, onder andere door de omzet van al dan niet professionele cloud-oplossingen. Denk bijvoorbeeld aan je online boekhoudpakket, maar ook aan de Dropbox-account die een werknemer gebruikt om thuis aan de functioneringsverslagen te werken.
Ik ben van mening dat organisaties die op grote schaal met persoonsinformatie werken, zoals bijvoorbeeld zorginstanties, hun beveiliging in de basis meestal wel op orde hebben, maar op de gebieden waar specifieke aandacht nodig is voor gevoelige persoonsgegevens, zijn vaak nog aanvullende stappen noodzakelijk. Bij veel andere bedrijven en instellingen kan in meer of mindere mate de bewustwording nog verbeterd worden. Dat is hoog tijd overigens, want het College Bescherming Persoonsgegevens (CBP), dat in het vervolg de Autoriteit Persoonsgegevens gaat heten, zou in schrijnende gevallen zomaar eens een voorbeeld kunnen stellen door van zijn boetebevoegdheid gebruik te maken.
Organisatorische maatregelen
De risico’s van een datalek liggen zelden alleen in techniek. Een goed voorbeeld is een onderzoek van Cyber-Ark in de VS en Europa, dat aantoonde dat iets minder dan de helft van de werknemers gevoelige gegevens zou meenemen als ze ontslagen zouden worden. Data die dus in feite wordt gestolen door (ex-)werknemers, die daar legitiem toegang tot hebben. En dan hebben we het nog niet eens gehad over werknemers die na het verlaten van de organisatie gewoon toegang houden tot het bedrijfsnetwerk. Organisatorische maatregelen en procedures zijn daarom van groot belang om te voorkomen dat de beveiligingsketen zwakke schakels heeft.
Er zijn gelukkig standaarden op het gebied van security, zoals de bekende ISO 27001-certificering. Daarin staan enkele belangrijke maatregelen beschreven, maar het is een vrij algemene standaard die slechts gezien moet worden als een basiseis voor security. Organisaties kunnen dergelijke standaarden zelf implementeren en ook beschikken veel cloud- en datacenterleveranciers over deze certificering. Het laatste betekent echter niet dat je de verantwoordelijkheid voor de beveiliging van privacygevoelige data zomaar kunt afschuiven naar de dienstverlener. Als organisatie blijf je daar altijd zelf eindverantwoordelijk voor.
Met name in deze situaties is het essentieel om iets verder te kijken dan de ISO-certificering. Je moet echt in gesprek met dienstverleners om te bepalen welke data gevoelig/kwetsbaar is en hoe deze naar behoren kan worden beveiligd. De NEN 7510-certificering voor de zorgsector is wat dat betreft een stuk grondiger. Deze standaard gaat impliciet verder in het definiëren van de beveiligingseisen.
Een belangrijk onderdeel van het proces is bijvoorbeeld dat er een uitgebreide inventarisatie wordt gemaakt van de soorten persoonsgegevens die worden beheerd. Vervolgens moet de gevoeligheid ervan geclassificeerd worden, op basis waarvan vervolgens het beveiligingsniveau vastgesteld kan worden. Hieruit volgt een beveiligings- en bewaarbeleid, inclusief een social media-beleid en een communicatie- en calamiteitenplan. Zo is de organisatie volledig voorbereid op mogelijke datalekken.
Technische actiepunten
Privacygevoelige data dient uiteraard ook technisch goed beveiligd te zijn. Oplossingen voor encryptie, toegangscontrole en authenticatie dragen hier allemaal aan bij. Deze worden echter niet in detail voorgeschreven in de genoemde certificeringen. Ook in de privacywetgeving staat hiervoor geen volledig eisenpakket, maar slechts de beschrijving dat er ‘gepaste technische beschermingsmaatregelen’ getroffen moeten worden. Het komt er dus op neer dat organisaties zelf de verantwoordelijkheid moeten nemen om hun privacygevoelige informatie voldoende te beschermen.
De directe risico’s lijken misschien niet in eerste instantie zo groot, omdat de Autoriteit Persoonsgegevens in de meeste gevallen eerst een waarschuwing zal geven. Er wordt alleen direct een boete uitgedeeld als er sprake is van grove nalatigheid, dan wel opzet bij een datalek. Gezien de maatschappelijk en organisatorische implicaties van een datalek zie ik echter geen tijd voor uitstel van het evalueren van de binnen je bedrijfsvoering getroffen maatregelen.
Gelukkig zie ik ook dat steeds meer bedrijven investeren in oplossingen om hun it-incidenten beter te loggen en te documenteren. Dit is bijvoorbeeld mogelijk door hun oplossingen voor it-service management (itsm) daar specifiek voor in te richten.
Ik werk zelf voor een leverancier van cloud-services en krijg momenteel steeds meer verzoeken van klanten om de aan hen geleverde itsm-omgeving in te richten,conform de eisen van de Meldplicht datalekken. Als je dit binnen jouw organisatie goed inregelt, samen met gedegen organisatorische en technische beveiligingsmaatregelen, dan kunt je zonder zorgen aan 2016 beginnen. In elk geval, voor zover het deze wettelijke verplichting betreft.