Per ongeluk een e-mail verkeerd geadresseerd? Dat kan de besten overkomen.
Maar wat als u in dat mailtje klanten met naam en toenaam noemt? De kans is dan groot dat er sprake is van een datalek. Het gevolg is dat u het incident op basis van de meldplicht datalekken per direct en binnen 72 uur moet melden bij in ieder geval de Autoriteit Persoonsgegevens. Maar zijn bedrijven en instellingen wel goed op de hoogte van deze wetgeving? Uit onderzoek van KPN Security Services blijkt van niet.
Veel vragen te beantwoorden
Het meldplicht datalekken verplicht bedrijven om een datalek te melden bij de Autoriteit Persoonsgegevens als de bescherming van persoonsgegevens (mogelijk) gevaar loopt. In de praktijk blijkt echter dat veel organisaties moeite hebben om de juiste informatie boven tafel te krijgen, zeker binnen de beoogde termijn van 72 uur.
Uit een enquête die KPN Security Services afnam onder business- en IT-managers over de meldplicht datalekken, bleek bovendien dat bedrijven worstelen met vragen als ‘Wanneer moet ik een datalek melden?’. Hierdoor verliezen zij kostbare tijd.
Slechts een kwart van de respondenten weet wanneer de Wet bescherming persoonsgegevens spreekt van een datalek. Daarnaast weet een fractie meer bij wie zij een lek in ieder geval moeten melden als deze een aanzienlijke kans heeft op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Ruimschoots drie kwart van de ondervraagden weet niet wie een datalek moeten melden als er een bewerker zoals een hostingprovider of SaaS-leverancier in het spel is.
7 tips
Duidelijk is dat organisaties nog niet ‘in control’ zijn als het gaat om de meldplicht datalekken. Dit is wel nodig om het melden van een lek goed te laten verlopen. Daarom 7 tips om in control te zijn:
- Zet technische maatregelen in om een incident zoals een datalek te detecteren. Denk dan aan monitoring van het uitgaande netwerkverkeer of aan het beheer van de mobiele apparaten die in gebruik zijn. Zonder dergelijke maatregelen blijft bijvoorbeeld communicatie van een besmette computer met een Command and Control-server van een hacker onopgemerkt.
- Zorg voor intern duidelijke procedures voor het melden van een datalek. Organisaties moeten voorkomen dat medewerkers bijvoorbeeld het kwijtraken van een USB-stick niet doorgeven. De aanwezigheid van een ‘helpdesk’ of vertrouwenspersoon die de meldingen in ontvangst neemt, kan de drempel verlagen.
- Maak helder wie de melding doorgeeft richting de Autoriteit Persoonsgegevens. Dit kan een afdelingsmanager zijn, een IT-medewerker die is belast met IT-Security, of iemand van de juridische afdeling die goed is ingevoerd in de privacyregelgeving. Misschien heeft u zelfs al een Data Protectie Officer in dienst? De aankomende Europese Privacyverordening stelt deze functie in sommige gevallen verplicht.
- Uit het onderzoek blijkt dat veel organisaties niet bekend zijn met de richtlijnen voor het melden. De beleidsregels meldplicht datalekken die de Autoriteit Persoonsgegevens heeft opgesteld, bieden een goede houvast.
- Zorg dat u weet hoe uw incident-responseproces is ingericht. Bij de melding wil de Autoriteit Persoonsgegevens weten welke maatregelen u heeft getroffen om verdere schade te voorkomen, zoals het patchen van kwetsbare systemen of het wijzigen van wachtwoorden.
- Bereid uw communicatie van tevoren goed voor als het gaat om incidenten. Zo moet u niet alleen de getroffenen informeren, maar bijvoorbeeld ook de pers.
- Twijfel over het wel of niet melden van een incident? Melden! De meldplicht voorziet niet in boetes voor onnodige meldingen, maar wel in boetes voor het niet melden van een datalek.
Voorkom boetes
Bovenstaande aandachtspunten dragen bij aan het sneller en correct melden van een datalek. En daarmee ook aan het voorkomen van een boete. Is er toch nog onzekerheid of onduidelijkheid over het wel of niet melden? Of zijn na 72 uur nog niet alle gegevens boven water? Dan kan het zeker geen kwaad om in ieder geval alvast een ‘voorlopige melding’ te doen op basis van de informatie die beschikbaar is.