Het is je vast niet ontgaan dat op 1 januari de Meldplicht datalekken is ingegaan. Hiermee is iedere organisatie nu verplicht om het verlies van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens (voorheen CBP). Een ontwikkeling die er hopelijk toe leidt dat organisaties zorgvuldiger met onze gegevens omgaan. Je hoort in de praktijk immers nog te vaak dat dit niet het geval is. Het niet zorgvuldig omgaan met persoonsgegevens betekent nu dus naast het risico op reputatieschade en het verliezen van klanten ook een risico op een officiële waarschuwing of een forse boete. Een idee dat bij voorbaat misschien al voor slapeloze nachten zorgt. Maar hoe zorg je nu dat je deze risico’s minimaliseert?
Om te weten hoe het beter kan kun je deels kijken naar gevallen waarin het fout ging. Zo waren telecomproviders al langer verplicht datalekken te melden aan de ACM (voorheen OPTA). Deze organisatie deelde afgelopen jaar bijvoorbeeld een boete van 364.000 euro uit aan KPN voor de gebrekkige beveiliging die de monster-hack van 2012 mogelijk maakte. Een ruwe wake-up call, maar we kunnen ervan uitgaan dat het bewustzijn en de aandacht voor databeveiliging bij KPN fors is toegenomen.
Maatregelen op 3 gebieden
En daar begint het ook mee: om een waarschuwing of boete te voorkomen moet je kunnen aantonen dat je hebt nagedacht over de beveiliging van persoonsgegevens. Een lek is namelijk nooit 100% te voorkomen, maar als het zich toch voordoet is het essentieel te kunnen laten zien dat er wel passende maatregelen zijn genomen. Die maatregelen neem je op drie gebieden: juridisch,organisatorisch en technisch.
1. Juridisch
Aan de juridische kant is het verstandig om ervoor te zorgen dat je bewerkersovereenkomsten hebt met partijen waar je persoonsgegevens opslaat, zoals hosting providers. Hoewel veel bedrijven hier geen aandacht aan besteden, is het hebben van een bewerkersovereenkomst verplicht wanneer de verwerking van persoonsgegevens wordt uitbesteed.
2. Organisatorisch
Organisatorisch gezien is het belangrijk dat je kunt aantonen dat je nadenkt over databeveiliging en dat security een ingebed onderdeel is van je bedrijfsprocessen. De ISO27001-certificering is hier zeer geschikt voor, maar ook zonder die certificering te doorlopen kun je onderdelen van de ISO27001-standaard gebruiken om de veiligheid van persoonsgegevens te vergroten. Denk bijvoorbeeld aan het aanleggen van een ‘data asset catalog’ waarin de verschillende soorten data die in de organisatie aanwezig zijn, worden geclassificeerd naar gevoeligheid, en waarin eisen worden gesteld aan de omgang met de verschillende soorten data. Een goede hulpbron hiervoor is de handreiking van de IBD, de informatiebeveiligingsdienst van de VNG. Zo’n asset catalog kan de basis vormen voor risico-analyses bij specifieke applicaties of situaties. Verder kun je denken aan procedures voor uitdiensttreding, het bijhouden van wie welke toegang heeft, veilig vernietigen van datadragers et cetera.
3. Technisch
Tot slot moeten er technische maatregelen worden genomen. Je kunt je data natuurlijk netjes classificeren en eisen stellen aan de opslag en het transport van data, maar als er uiteindelijk geen technische maatregelen worden genomen om die eisen te borgen, is het een wassen neus. Zulke maatregelen beginnen bij het isoleren van systemen met gevoelige data van andere systemen, en juiste technische controles op autorisatie. Een effectief technisch middel om de kans op zowel datalekken als boetes bij een datalek te verminderen, is een kwetsbaarhedenonderzoek op systemen die gevoelige gegevens bevatten. In zo’n onderzoek wordt door een expert het systeem op detailniveau technisch onderzocht op mogelijke kwetsbaarheden die door kwaadwillenden gebruikt kunnen worden om bij je data te komen. Daarna worden aanbevelingen gedaan voor het oplossen van die kwetsbaarheden. Wanneer deze aanbevelingen van vervolgacties worden voorzien die ook uitgevoerd worden, is het bij een datalek eenvoudig aan te tonen bij de toezichthouder dat er serieuze aandacht is besteed aan het voorkomen van lekken. Dit zal de kans op een waarschuwing of boete drastisch verminderen.
Proactief
Door proactief de juiste maatregelen te treffen wordt de kans op schade voor jouw organisatie aanzienlijk kleiner. Dus schud de organisatie wakker en ga snel aan de slag!
