Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest. Waar gaat het bij veel organisaties mis?
Beveiligingslek of datalek?
De meldingen die de AP in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen.
In lang niet in alle gevallen stelde de AP ook echt een datalek vast. Zo is er geen sprake van een datalek als er geen persoonsgegevens in het spel zijn. Evenmin als misbruik van de gelekte persoonsgegevens is uit te sluiten. Of in juridisch potjeslatijn: u moet redelijkerwijs kunnen uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt. Kunt u dat? Dan gaat het ‘slechts’ om een beveiligingslek en is een melding niet nodig.
5 voorzorgsmaatregelen
Organisaties kunnen zelf het nodige doen om ‘onrechtmatige verwerking’ uit te sluiten en een gang naar de AP te voorkomen:
1. Inventariseer waar persoonsgegevens zich bevinden
Weet u niet of er op die verloren smartphone of laptop persoonsgegevens staan? Dan kunt u misbruik van persoonsgegevens niet uitsluiten en zit er niets anders op dan contact opnemen met de AP.
2. Voorkom onnodige verzameling en verwerking van persoonsgegevens
De reden om terughoudend te zijn met het verzamelen van persoonsgegevens ligt voor de hand: wat u niet heeft, kunt u ook niet ‘lekken’. Toch kiezen steeds meer bedrijven ervoor om zo groot mogelijke dataverzamelingen aan te leggen om hier analyses op los te laten. Zij lopen hiermee wel een verhoogd risico.
3. Maak data onleesbaar maken met behulp van encryptie
Als u data met een goede encryptie ‘codeert’, heeft bijvoorbeeld een hacker niets aan buitgemaakte persoonsgegevens. Diefstal of verlies van goed versleutelde persoonsgegevens hoeft u dan ook niet te melden. Uit een onderzoek van Vanson Bourne blijkt helaas dat minder dan de helft van de organisaties ‘verregaand’ gebruikmaakt van encryptie.
Ook bij het verzenden van gevoelige gegevens gaat het vaak mis. Zo gebruikt slechts 44 procent van de websites van de Nederlandse overheid een veilige https-verbinding.
4. Zorg voor een goede back-up
Bij vernietiging van persoonsgegevens kan ook sprake zijn van een datalek. Met een goede back-up voorkomt u dat persoonsgegevens bijvoorbeeld bij een brand voorgoed verloren gaan en dat u een datalek moet melden. Uit diverse onderzoeken blijkt echter dat een kwart van de organisaties helemaal geen back-ups maakt. Wilt u uw gegevens en documenten wel veilig opslaan, bijvoorbeeld via een dubbele back-up in 2 Nederlandse datacenters? Wellicht is Back-up Online van KPN dan de juiste oplossing voor u.
5. Voorkom misbruik met technische en organisatorische maatregelen
Dit gaat verder dan het versleutelen van de gegevens. Denk hierbij aan monitoring om diefstal van inloggegevens snel op het spoor te zijn, logmanagement om na te gaan of de hacker klantdata heeft benaderd en een streng wachtwoordbeleid om met nieuwe wachtwoorden de toegang zo snel mogelijk te blokkeren.
Veel organisaties zijn in de praktijk nog niet zover. AP-voorzitter Aleid Wolfsen sprak zelfs over ‘naïviteit ten top’. Bijvoorbeeld op laptops met medische gegevens zijn vaak helemaal geen wachtwoorden ingesteld.
De nieuwe Europese richtlijnen straffen naïviteit af
Kortom, er zijn meerdere manieren om te voorkomen dat een beveiligingslek ontaardt in een datalek. Helaas verzuimen organisaties op grote schaal om de noodzakelijke voorzorgsmaatregelen te nemen.
Dit kan organisaties vanaf 25 mei 2018 nog duurder komen te staan. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze nationale Wet bescherming persoonsgegevens. De maximale boete voor het niet melden van een datalek stijgt dan van 820.000 euro naar 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Boetes die zelfs grote organisaties fataal kunnen zijn.