Meldplicht datalekken. Is jouw data veilig?

De meldplicht datalekken geldt sinds 1 januari 2016. Is jouw data wel goed beveiligd? Hoe zit het met je klantgegevens? Je moet nu aan de slag met je databeveiliging.

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in sommige gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Meldt je een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kunnen zij je een boete geven. De maximale boete is op dit moment € 810.000.

DATALEKKEN

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden van datalekken zijn:

  • Een kwijtgeraakte USB-stick;
  • Een gestolen laptop;
  • Een inbraak door een hacker;
  • Verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
  • Een malware-besmetting;
  • Een calamiteit, zoals een brand in een datacentrum.

MAATREGELEN

Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen.

Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. Naast de technische maatregelen, is het ook belangrijk dat de organisatie een duidelijk beleid heeft over de omgang met persoonsgegevens. Denk hierbij aan de volgende aspecten:

  • Welke gegevens worden opgeslagen? Gebruik niet meer gegevens dan nodig.
  • Wie heeft er toegang tot de gegevens? Beperk dit zoveel mogelijk.
  • Wat zijn de richtlijnen met betrekking tot verwerking van de gegevens?
  • Informeer medewerkers, leg het vast in een huishoudelijk reglement en in functieomschrijvingen.
  • Wat zijn de gedragsregels voor het gebruik van middelen? Denk aan clean desk policy, wachtwoord beleid, gebruik van mobiele apparatuur etc.

Naast de bovengenoemde maatregelen is het ook belangrijk dat je zelf al hebt nagedacht wat er moet gebeuren in het geval van een datalek:

  • Maak een draaiboek voor het moment dat zich een datalek voordoet.
  • Bepaal wie verantwoordelijk is voor het besluit over het melden en de melding zelf van een mogelijk datalek.
  • Bedenk op welke wijze de organisatie betrokken personen gaat informeren over een datalek van diens persoonsgegevens.

WAT KUN JE ZELF DOEN?

Het is een open deur, maar het belangrijkste is dat je organisatie zo veilig mogelijk omgaat met wachtwoorden en de data. Zorg dus voor het volgende:

  • Maak alleen gebruik van sterke wachtwoorden. Gebruik een wachtwoord met voldoende karakters, tekens, cijfers en (hoofd)letters.
  • Sla je wachtwoord niet op en verander het wachtwoord regelmatig.
  • Zorg voor goede (up-to-date) antivirus software op PC’s, laptops, smartphones, etc.
  • Maak je gebruik van een smartphone of tablet? Beveilig deze ook met een wachtwoord, zodat bij diefstal of verlies niet gelijk alle data toegankelijk is.
  • En nog beter: maak gebruik van Mobile Device Management. Hiermee kun je zelf bepalen of apps geïnstalleerd mogen worden en bij verlies of diefstal het apparaat leeg maken.
  • Zorg voor een goed beveiligd netwerk. Denk hierbij aan de internetverbinding, draadloos netwerk, switches en firewall.
  • Probeer het lokaal opslaan van data op apparatuur zoals PC’s maar ook USB sticks zoveel mogelijk te vermijden. Houd de data centraal zodat er een goede back-up is en de kans op verlies wordt geminimaliseerd.
  • Zorg voor een goede beveiliging van gevoelige gegevens door versleuteling (encryptie). Daarmee wordt voorkomen dat gegevens na een lek te herleiden zijn tot een persoon.

Maakt je bedrijf gebruik van een eigen server-omgeving? Dan is het belangrijk dat je de juiste technische maatregelen hebt genomen om de beschikbaarheid en veiligheid van het systeem te garanderen. Zorg dan ook nog voor het volgende:

  • Zorg voor een goede, beveiligde back-up;
  • Zorg ervoor dat het besturingssysteem van uw server up-to-date is;
  • Zorg voor een goede virus/ malware bescherming;
  • Zorg dat applicaties up-to-date zijn;
  • Maak duidelijke afspraken over de toegang tot de omgeving (intern & extern);
  • Zet security hoog op de IT agenda.

ADVIES

Wil je weten wat voor jouw organisatie de risico’s en aandachtspunten zijn en wil je advies om de kans op datalekken zo klein mogelijk te maken? NEMESYS kan je hierin adviseren!