- Door
- Kelly Cambach (Cyso)
- geplaatst op
- 3 oktober 2016 13:01 uur
Sinds 1 januari 2016 is meldplicht datalekken van kracht. We zijn inmiddels 10 maanden verder sinds de invoering van de meldplicht datalekken, hoog tijd om een tussentijdse balans op te maken. Hoeveel meldingen zijn er geweest? Om welke organisaties gaat het zoal? Zijn er al boetes uitgedeeld? En wat kunt u doen om uw beveiliging op orde te hebben?
In oktober 2015 schreven we over meldplicht datalekken, een wet die sinds januari 2016 van kracht is en ervoor moet zorgen dat u bewuster omgaat met de opslag van persoonsgegevens en de beveiliging ervan. Sterker nog, indien u persoonsgegevens bewaart binnen uw hostingomgeving bent u sinds dit jaar verplicht om een bewerkersovereenkomst af te sluiten met uw hostingprovider waarin afspraken worden gemaakt over aanvullende beschermingsmaatregelen voor uw omgeving.
Deze overeenkomst zorgt ervoor dat uw hostingprovider beter op de hoogte is van de data die u verzamelt in uw hostingomgeving waardoor zij u eenvoudiger en sneller van dienst kan zijn in het geval er passende extra maatregelen omtrent beveiliging moeten worden genomen.
Boete
Naast het afsluiten van een bewerkersovereenkomst is men verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP) zodra er een ernstig datalek wordt waargenomen. Ook moeten betrokkenen worden ingelicht zodat zij passende maatregelen kunnen nemen (denk aan het wijzigen van een wachtwoord). Bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) kan een boete worden opgelegd van maximaal €820.000 is te lezen op de website van de Autoriteit Persoonsgegevens.
3.400 meldingen
We zijn inmiddels 10 maanden verder sinds de invoering van de meldplicht datalekken, hoog tijd om een tussentijdse balans op te maken. Houden organisaties zich aan de vernieuwde meldplicht en sluiten zij ook daadwerkelijk een bewerkersovereenkomst af?
Sinds de inwerkingtreding van de meldplicht datalekken, op 1 januari 2016, blijkt de Autoriteit Persoonsgegevens al 3.400 meldingen van organisaties te hebben ontvangen. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens, bij BNR Nieuwsradio: “Wij gaan ervan uit dat er in Nederland 135.000 bedrijven, instanties, overheden en ziekenhuizen omgaan met persoonsgegevens en dus potentieel door een lek kunnen worden getroffen. Als wij het aantal meldingen van 3.400 afzetten tegen dat aantal vinden wij het aantal meldingen nog niet overdonderend veel.”
Daarnaast geeft Tomesen aan dat er sinds de invoering van de meldplicht nog geen boetes zijn uitgedeeld. Een boete wordt enkel opgelegd indien een datalek niet (tijdig) wordt gecommuniceerd naar betrokkenen terwijl dat wel zou moeten in verband met de gevoeligheid van het datalek.
Gegevens op straat
Meldingen die worden gedaan bij de Autoriteit Persoonsgegevens worden in eerste instantie niet openbaar gemaakt. Betrokkenen worden alleen ingelicht indien een datalek dermate ernstig is voor hen. Toch zijn er de afgelopen maanden zaken in de openbaarheid gekomen doordat betrokkenen ontevreden waren over het tijdsbestek voordat zij werden ingelicht of door media die zich beroepen op de Wet openbaarheid van bestuur (Wob).
Zo blijkt de gemeentelijke database met persoonsgegevens van de gemeente Ede gehackt te zijn tussen januari 2015 en juli 2016. De bron van de hack is afkomstig uit Oost-Europa. Een persoon of organisatie heeft gedurende anderhalf jaar toegang gehad tot de opgeslagen persoonsgegevens van de gemeente Ede. Binnen de gemeente is er momenteel een discussie gaande of inwoners niet te laat zijn geïnformeerd over het datalek, ook wordt in twijfel getrokken of de gemeente Ede een instantie is waar burgers met vertrouwen gegevens aan kunnen toevertrouwen.
Een andere gemeente waar zich een incident heeft voorgedaan in 2016 is de gemeente Utrecht. In totaal stonden 316 pagina’s met namen en bijbehorende burgerservicenummers op intranet. Het gaat om minimaal 5.000 en maximaal 140.000 persoonsgegevens. De betrokkenen zijn in dit geval niet op de hoogte gesteld door de gemeente Utrecht omdat zij van mening is dat misbruik van de gegevens onwaarschijnlijk lijkt te zijn. De gegevens waren namelijk alleen toegankelijk voor medewerkers van de gemeente Utrecht die toegang hadden tot het intranet. Bij de gemeente werken een kleine 4.000 personen.
Dit laatste incident is aan het licht gekomen doordat De Telegraaf een beroep heeft gedaan op de Wet openbaarheid van bestuur. Het datalek blijkt op 3 maart te zijn opgemerkt door een ambtenaar, vervolgens is er melding van gemaakt bij de Autoriteit Persoonsgegevens. Vooralsnog hebben zij geen boete gekregen voor het niet inlichten van betrokkenen over dit incident.
Dat de beveiliging niet alleen bij gemeenten voor verbetering vatbaar is, blijkt uit het datalek wat onlangs in de openbaarheid is gekomen uit de energiesector. Het gaat om de NAW-gegevens van twee miljoen huishoudens met daarnaast informatie over het energieverbruik per jaar, het type aansluiting en de einddatum van het contract. De gegevens zouden door een oud-medewerker van een energieleverancier zijn gestolen uit een centraal register. Dit register is toegankelijk voor alle energieleveranciers in Nederland. Tot op heden is niet bekendgemaakt om welke energieleverancier het gaat. De energieleverancier zelf heeft op dit moment geen toegang meer tot het register. De Autoriteit Persoonsgegevens is momenteel nog bezig met het onderzoek naar dit datalek.
Wetgeving omtrent datalekken in Europa
Nederland is het eerste Europese land met wetgeving omtrent datalekken. Steeds meer Europese bedrijven worden echter geconfronteerd met cybercrime waardoor de noodzaak voor een degelijk beleid ook meer en meer duidelijk wordt. De bewustwording omtrent security bij organisaties wordt vergroot door de invoering van de meldplicht. Naast dat betrokkenen sneller ingelicht moeten worden bij datalekken wordt de vrees voor reputatieschade ook steeds groter. Hierdoor investeren organisaties meer in de veiligheid van hun omgevingen en gaan zij bewuster om met persoonsgegevens.
Deze aanpak wordt vanuit Europa, maar specifiek vanuit België geprezen. De roep voor invoering van een soortgelijk meldplicht wordt steeds groter, blijkt uit diverse artikelen in de Belgische media. Neemt België, en mogelijk andere Europese landen, een voorbeeld aan Nederland en zien we binnen afzienbare tijd invoering van een dergelijke meldplicht ook in andere landen gebeuren? De toekomst zal het uitwijzen.
Bewerkersovereenkomst is slechts het begin
Sven Visser, commercieel directeur van Cyso en voorzitter van de DHPA, is blij met de toenemende aandacht voor de problematiek rondom security door de komst van de meldplicht datalekken. Visser heeft zich vanuit de DHPA, als leider van de werkgroep, in 2015 beziggehouden met de ontwikkeling van de gestandaardiseerde bewerkersovereenkomst in samenwerking met ICTRecht. Visser: “Zowel vanuit Cyso als de DHPA merk ik dat het vraagstuk, rondom security en de meldplicht datalekken, bij bedrijven erg leeft. Wat ik echter ook merk is dat organisaties de perceptie hebben dat een bewerkersovereenkomst alle risico’s afdekt, maar dit is slechts het begin. De overeenkomst bevordert de samenwerking omtrent veiligheid tussen de provider en de klant, maar dit is zeker niet het eindpunt.”
Visser vervolgt: “Wij, Managed Services Provider Cyso, hebben aan onze kant alles op orde. Het is echter noodzakelijk dat klanten ook op applicatieniveau de juiste maatregelen nemen, denk hierbij aan het professioneel encrypten van persoonsgegevens. Maar ook op strategisch niveau moeten er stappen worden gezet. Heb je als organisatie bijvoorbeeld een draaiboek klaarliggen in het geval van een datalek? Hoe reageert de afdeling communicatie? Wij merken nog te vaak dat klanten hier niet voldoende over hebben nagedacht en ad hoc moeten schakelen in het geval van een mogelijk datalek.”
Waar Visser zich verder druk om maakt, zijn de toenemende signalen waaruit blijkt dat de Autoriteit Persoonsgegevens meer middelen nodig heeft voor het vergroten van haar slagkracht. Visser: “De Autoriteit Persoonsgegevens is op dit moment een tijger die haar tanden nog niet genoeg kan laten zien. Het is belangrijk om door te pakken en mogelijke belemmeringen voor handhaving van de meldplicht datalekken weg te nemen voor de Autoriteit Persoonsgegevens.”
Geschreven door Kelly Cambach (Cyso)
Dit ingezonden artikel is geschreven door Kelly Cambach van Cyso.
Lees ook de onderstaande artikelen van Cyso
Stuur ook uw blog, achtergrond artikel of andere bijdrage in!
Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via [email protected] of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.