01-01-2016: Meldplicht datalekken. En nu?

Door Arthur Engel, technical director
23 december 2015 - 4457 x bekeken - Categorieën: Health, Retail, Kennis

Het onderwerp heeft misschien eerder al eens je aandacht getrokken; vanaf 1 januari 2016 gaat de meldplicht voor datalekken in. Dit is een wijziging op de bestaande ‘Wet Bescherming Persoonsgegevens (WBP)’. Deze wijziging houdt in dat organisaties, zoals die van jou en mij, een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra er een ernstig datalek heeft plaatsgevonden. En in sommige gevallen dient het datalek ook gemeld te worden bij de betrokkenen, mensen van wie de persoonsgegevens zijn gelekt. Wanneer dit niet wordt nageleefd, geldt er een boete van maximaal 810.000 euro of zelfs 10% van de omzet van de organisatie. Hiermee maakt de overheid een duidelijk statement dat informatie beveiliging een topic is dat serieus genomen moet worden door het bedrijfsleven.

Graag leg ik in dit artikel uit wat dit in de praktijk betekent voor ons als digitaal bureau maar ook voor jou als klant en/of gebruiker. Hiervoor moeten we goed kijken naar de definitie van deze meldplicht door het CBP. Dat is makkelijker gezegd dan gedaan want deze definitie is niet zo zwart-wit als je zou verwachten.

Wat is nu precies een datalek?

De definitie van een datalek is al meteen een lastige. Is dat wanneer door een menselijke fout een grote hoeveelheid klantdata op straat ligt? Of is dit al het geval wanneer er ergens in een systeem iets wordt gevonden waar ‘misschien wel eens misbruik van gemaakt zou kunnen zijn’?

Feitelijk zijn beiden datalekken. Sterker nog, het kwijt zijn van een USB stick met daarop persoonlijke gegevens van bijvoorbeeld een aantal van je medewerkers wordt al gezien als datalek. De definitie van het CBP is als volgt:

“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.” Dit komt dus vaker voor dan je in eerste instantie wellicht zou denken.

Wanneer ben ik verplicht een melding te maken?

Het CBP spreekt van een verplichting zodra het gaat om een ‘ernstig’ datalek. Ook dit is natuurlijk voor interpretatie vatbaar. Er wordt ook beschreven dat organisaties zelf een ‘beredeneerde afweging’ moeten maken of een geconstateerd datalek onder de wettelijke meldplicht valt. Dat is nogal wat. Om hen hiermee te helpen zijn er zogenaamde richtsnoeren opgesteld, welke recentelijk zijn vrijgegeven op de website van het CBP.

De uitleg en verduidelijkende flowcharts in het document geven zeker handvatten voor organisaties om te kunnen acteren naar wat er vanaf januari van hen gevraagd wordt. Maar we vinden het aannemelijk dat dit niet direct voor iedereen helemaal goed te bevatten is.

Een makkelijke maatstaf is om jezelf af te vragen wat jij als gedupeerde in die situatie zou willen. Wanneer een webwinkel een zwakke plek gevonden heeft in haar firewall, hoef je daar wellicht niet per se van op de hoogte te worden gesteld. Maar wanneer de HR-manager een externe harde schijf verloren is met daarop alle ingescande arbeidscontracten van het bedrijf, weer wel.

Hoe moet ik me hierop voorbereiden?

Naar ons idee is de beste voorbereiding op deze wetswijziging: zorg dat je, aantoonbaar, in control bent van je informatie beveiliging (zie ook mijn blogpost over ons ISO traject). Dit houdt in dat je maatregelen getroffen hebt met betrekking tot de Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie die in je organisatie omgaat. Het gaat hier in ons geval niet alleen om vertrouwelijkheid van digitale data van onze klanten, maar ook om bijvoorbeeld informatie op papier, contracten, personeelsgegevens, fysieke toegang tot het pand, rechten van gebruikers, thuiswerken, freelancers, mobiele apparatuur, aanwezigheid van back-ups enzovoort.

“Zorg ervoor dat je ‘in control’ bent van je informatie beveiliging."


Bij de ene organisatie komt hier meer bij kijken dan de andere. Wij hebben gemerkt dat het vastleggen van je procedures, maar vooral een stuk bewustwording, de belangrijkste maatregelen zijn die je kunt treffen. Misschien nog wel belangrijker dan technische maatregelen. In de praktijk blijft menselijk handelen namelijk altijd de zwakste schakel. Ook al timmer je technisch alle systemen en de architectuur zo goed mogelijk dicht. Als een gebruiker te simpele wachtwoorden gebruikt, of als een collega vertrouwelijke documenten laat rondslingeren, ben je alsnog een makkelijk doelwit.

Stel daarnaast een goede bewerkersovereenkomst op met de partij(en) waar je mee samenwerkt. Elke organisatie die onderdeel uitmaakt van de verwerking van gevoelige gegevens dient zo’n overeenkomst af te sluiten. In dit document bepaal je waar de verantwoordelijkheden liggen met betrekking tot die verwerking. Omdat wij dit als bureau dus erg belangrijk vinden, bekijken we nu per case wat er wenselijk is aan afspraken en ondernemen we zo nodig actie. Van belang om hierin mee te nemen is dat de eigenaar van de data de meldplicht heeft en niet de verwerker. Reden des te meer om hier goede afspraken over te maken. Zorg ervoor dat de bewerkers waar je mee samenwerkt informatie beveiliging serieus nemen. En bijvoorbeeld volgens bepaalde standaarden en normen uit de markt werken, zoals ISO270001 of NEN 7510.

Hoe gaat de overheid dit handhaven?

Dat is nog niet helemaal duidelijk. Duidelijk is dat het aandacht gaat krijgen. En duidelijk is wat de boetes zijn. Maar er zijn zoveel scenario’s te bedenken en er is eigenlijk nog geen jurisprudentie. Wanneer per 1 januari het gehele MKB zijn datalekken zou gaan melden zal het CBP overuren moeten gaan draaien. En niemand wil als eerste alle mogelijke tekortkomingen op tafel leggen, en daarmee het ‘braafste jongetje van de klas zijn’.

Wij verwachten dat de overheid de wet in de praktijk zeker gaat handhaven. Maar dan door voorbeelden te stellen bij grote, bekende, partijen die hun zaken echt niet op orde hebben. Dit om ervoor te zorgen dat andere partijen zich eens goed achter de oren gaan krabben.

Ons advies: wacht hier niet op. Zorg dat er aandacht gaat naar informatie beveiliging. Zorg voor een juiste ‘tone at the top’. Een bewustwording en naleving die ook, of juist, door directie en management wordt uitgedragen. Laat je adviseren. En gebeurt er toch iets? Bepaal dan de ernst en impact en wees open en eerlijk naar de betrokken partijen.

Op weg naar ISO 27001

Door Arthur Engel

Sinds we begin vorig jaar succesvol een DigiD audit hebben doorlopen voor één van onze klanten, zijn we ons nog serieuzer bezig gaan houden met… - Lees meer

Lees verder