Meldplicht datalekken: Informatiebeveiliging hoger op agenda

Gepost op: 5-1-2016 09:21:12 door Thomas van Donk
Tags: cbp, crisismanagement, meldplicht, security
Meldplicht datalekken: Informatiebeveiliging hoger op agenda
Een boete van maximaal €820.000 of 10% van de jaaromzet. De Autoriteit Persoonsgegevens - de opvolger van het College bescherming persoonsgegevens (CBP) - kan deze vanaf 1 januari opleggen. Op die datum is de meldplicht datalekken ingegaan. Dit is een aanvulling op de Wet bescherming persoonsgegevens (Wbp) en nu al berucht. Thomas van Donk is gespecialiseerd in risicomanagement op gebied van informatiebeveiliging en licht de essentie van deze wijziging op de Wbp toe en wat dit voor u en uw organisatie betekent.

Om te beginnen heeft de meldplicht datalekken alleen betrekking op persoonsgegevens. Een gegeven is een persoonsgegeven als het direct of indirect kan leiden tot de identificatie van een individu. De afbakening van de term persoonsgegevens is daarom zeer breed. Een adres is ook een persoonsgegeven. Betekent dit een fikse boete wanneer ik per ongeluk mijn adres naar de verkeerde persoon mail? Nou, nee.

Belangrijk zijn persoonsgegevens van 
gevoelige aard, bijvoorbeeld financiële- inlog- en identiteitsgegevens. Wanneer deze gegevens verloren gaan of ‘onrechtmatig verwerkt’ worden, dan is er sprake van een serieus datalek en moet er melding gedaan worden bij de Autoriteit Persoonsgegevens. Betekent dit een fikse boete van maar liefst €820.000?

Misschien. Dit ligt aan de inspanning die een organisatie heeft genomen om de gegevens te beveiligen en de manier waarop de meldplicht datalekken is nagekomen. Hierbij moet u ook denken aan het informeren van de betrokkene. Als organisaties laten zien dat ze alle mogelijke inspanningen hebben verricht om het lek te dichten, de toezichthouder en andere stakeholders te informeren, de betrokkenen te helpen en de beveiliging op te schroeven, dan is die corrigerende tik genaamd boete van maximaal €820.000 waarschijnlijk niet meer nodig en krijgt de organisatie een ‘bindende aanwijzing’. Het is dus echter wel belangrijk dat organisaties serieus aandacht gaan besteden aan informatiebeveiliging. Zo komen we ook uit op de essentie van de meldplicht datalekken.

De essentie is in ieder geval niet het opleggen van een boete. De boetebevoegdheid is een middel om een doel te bereiken. Het eerste doel van de meldplicht is informatiebeveiliging en beveiliging van persoonsgegevens naar een hoger niveau te tillen. Dit wordt gedaan door passende technische en organisatorische maatregelen te nemen op verschillende gebieden. Iets waar de meeste security-experts in kunnen adviseren.

Anderzijds wil de Autoriteit transparantie afdwingen wanneer het dan toch een keer mis gaat. Door transparant te zijn en de slachtoffers van het datalek te informeren, kunnen deze acties nemen om de schade voor hun persoonlijke levenssfeer te beperken. Ervaring leert dat organisaties soms moeite hebben om transparant te zijn in een crisissituatie, omdat dit vaak gepaard gaat met reputatieschade. Deze reputatieschade kan echter hoger oplopen wanneer een lek zich via een andere weg manifesteert.

Een datalek kan binnen organisaties dus onder incident- en crisismanagement vallen. Waarbij de Autoriteit Persoonsgegevens een extra stakeholder is om te informeren. De beleidsregels van de meldplicht datalekken bieden ondersteuning bij de afweging om een lek aan de betrokkenen te melden. In deze beleidsregels wordt ook beschreven wanneer iets nu precies een datalek is en of het überhaupt meldenswaardig is.

Samenvattend: datalekken zijn geen nieuw onderwerp voor organisaties. Het is altijd al belangrijk geweest om aandacht te besteden aan passende beveiligingsmaatregelen en incident- en crisismanagement. Met de nieuwe meldplicht datalekken hoopt de Autoriteit Persoonsgegevens dat deze zaken hoger op het prioriteitenlijstje komen te staan en organisaties meer moeite gaan steken in het beveiligen van persoonsgegevens. En dat is goed, want het is geen fijne gedachte dat persoonlijke identiteits-, inlog- en financiële gegevens niet altijd goed beveiligd worden. 

Thomas-van-Donk.jpgThomas van Donk | risicomanagement | informatiebeveiliging
Blog postsRSS