De bescherming van persoonsgegevens gaat een nieuwe fase in. Het wachten is op de Europese wet die de regels in alle EU-landen gelijk moet trekken. Maar vooruitlopend daarop gaat in Nederland op 1 januari 2016 de meldplicht datalekken in. Dat betekent strengere regels, meer eisen aan technische en organisatorische beveiliging en aanzienlijk hogere boetes. “Het is in ieder geval de hoogste tijd voor bedrijven en instellingen om in actie te komen”, aldus Pieter Lacroix van Sophos Nederland.
Met ingang van 2016 zijn bedrijven, instellingen en overheden in Nederland verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. De meldplicht datalekken als uitbreiding van de Wet bescherming persoonsgegevens (Wbp) gaat niet alleen over het bedoeld of onbedoeld vrijkomen van gegevens, maar ook over onrechtmatige verwerking van gegevens. Het College bescherming persoonsgegevens (Cbp) formuleert het als volgt: “We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.”
Boetes tot 10 procent van de jaaromzet
“Die meldplicht moeten we zeker serieus nemen”, zegt Pieter Lacroix, managing director van Sophos Nederland. “Allereerst om lekken en de impact daarvan zoveel mogelijk te beperken. Ten tweede zijn de sancties voor het niet melden of voor het slecht beveiligen of onzorgvuldig beheren en verwerken van persoonsgegevens niet misselijk. Met de invoering van de meldplicht is ook de bestuurlijke boetebevoegdheid van het Cbp uitgebreid. Het Cbp kan boetes opleggen tot 810.000 euro of 10 procent van de jaaromzet. Die boetebedragen zullen volgend jaar waarschijnlijk nog hoger zijn.”
Hoe wapen je je tegen datalekken en sancties?
Het voorkomen van datalekken is erg belangrijk, evenals het goed reageren als datalekken zich toch voordoen. Beide vragen om beleidsmatige en technologische maatregelen. Pieter Lacroix: “Als organisatie moet je in beleid en processen voorbereid zijn. Dat betekent in het geval van deze meldplicht dat je datalekken kunt signaleren, dat je daarop een incidentenbeleid inricht en een functionaris aanwijst die een eventueel lek beoordeelt, geluiden uit de buitenwereld signaleert, beslist of er een melding naar het Cbp gaat en zorgt dat indien nodig betrokkenen worden geïnformeerd. Maar het start met de goede beveiliging van persoonsgegevens.”
Kies (ook) voor encryptie
Sophos adviseert organisaties altijd om (ook) te kiezen voor encryptie. “Natuurlijk moet je zorgen voor adequate beveiligingssoftware en –hardware, voor de nieuwste versies en patches van software en voor een actuele en geüpdate firewall. Maar met versleuteling van data beveilig je gegevens zelfs ná een hack of datalek. Alleen de partijen met de juiste sleutel kunnen de gegevens weer decoderen. Zonder sleutel is de data waardeloos. Daarom is dit een goede manier om privacygevoelige informatie te versturen of op te slaan in de cloud. Mocht er een datalek optreden, dan is de informatie nog steeds veilig.”
Maak serieus werk van gegevensbeveiliging
“De invoering van de meldplicht datalekken op 1 januari 2016 is nogmaals een aansporing om serieus werk te maken van gegevensbeveiliging. Niet alleen bij directie en verantwoordelijken, maar in de hele organisatie. Iedereen moet weten hoe er met privacygevoelige gegevens hoort te worden omgegaan. Wat kan wel, wat mag nooit, wat doe je als je misbruik of fouten constateert? En maak van dat beleid geen lijvig document dat niemand leest, maar zorg dat het zorgvuldig omgaan met data bij alle medewerkers een automatisme wordt.”
Meldplicht nog maar het begin
Lacroix hamert zo op structurele maatregelen omdat de invoering van de meldplicht nog maar het begin is. Binnenkort wordt voor alle 28 lidstaten de nieuwe Europese privacywet ingevoerd. De General Data Protection Regulation (GDPR), de opvolger van de Europese privacyrichtlijn uit 1995, treedt naar verwachting in 2017 in werking. “De impact daarvan is nog een stukje groter en de mogelijke sancties zijn een stuk zwaarder. De GDPR regelt ook de meldplicht voor datalekken, maar geeft burgers ook het recht om volledig inzage te krijgen in alle informatie en het recht om ‘vergeten’ te worden. Verder moeten bedrijven kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de beveiliging te garanderen. De boetes kunnen variëren van 250.000 tot maar liefst 100 miljoen euro of een omzetgerelateerde boete van tussen de 0,5 en 5 procent.”
Zorg dat je ontwikkelingen voorblijft
“Tot nu toe was handhaving van de Wet bescherming persoonsgegevens relatief summier. De pakkans bij overtreding was klein en de sancties waren te overzien. Dat laatste gaat per 1 januari ingrijpend veranderen. Ik zou er niet op gokken dat de pakkans net zo klein als vroeger blijft. Bovendien gaat het om wezenlijke wet- en regelgeving die je als ondernemer of bestuurder zeer serieus moet nemen, ook als het risico op sancties klein is. Daarbij komt dat de ontwikkelingen verder gaan: regels zullen alleen maar strenger worden en de sancties zwaarder. Zorg er dus voor dat je meegaat in die ontwikkelingen en ze liefst voorblijft.”
