-

De meldplicht datalekken; de stand van zaken

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Hoog tijd om de balans op te maken. Hoeveel meldingen zijn er tot dusver geweest? Om wat voor soort organisaties gaat het zoal? En zijn er al boetes uitgedeeld? Dit artikel geeft u meer inzicht in de huidige stand van zaken rondom de ingevoerde meldplicht.

Boete

Indien u persoonsgegevens bewaart binnen uw hostingomgeving bent u sinds dit jaar verplicht om een bewerkersovereenkomst af te sluiten met uw hostingprovider waarin afspraken worden gemaakt over aanvullende beschermingsmaatregelen voor uw omgeving. Deze overeenkomst zorgt ervoor dat uw hostingprovider beter op de hoogte is van de data die u verzamelt in uw hostingomgeving waardoor zij u eenvoudiger en sneller van dienst kan zijn in het geval er passende extra maatregelen omtrent beveiliging moeten worden genomen.

Naast het afsluiten van een bewerkersovereenkomst is men verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP) zodra er een ernstig datalek wordt waargenomen. Ook moeten betrokkenen worden ingelicht zodat zij passende maatregelen kunnen nemen (denk aan het wijzigen van een wachtwoord). Bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) kan een boete worden opgelegd van maximaal 820.000 euro is te lezen op de website van de Autoriteit Persoonsgegevens.

3.400 meldingen

We zijn inmiddels tien maanden verder sinds de invoering van de meldplicht datalekken, hoog tijd om een tussentijdse balans op te maken. Houden organisaties zich aan de vernieuwde meldplicht en sluiten zij ook daadwerkelijk een bewerkersovereenkomst af?

Sinds de inwerkingtreding van de meldplicht datalekken, op 1 januari 2016, blijkt de Autoriteit Persoonsgegevens al 3.400 meldingen van organisaties te hebben ontvangen. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens, bij BNR Nieuwsradio: “Wij gaan ervan uit dat er in Nederland 135.000 bedrijven, instanties, overheden en ziekenhuizen omgaan met persoonsgegevens en dus potentieel door een lek kunnen worden getroffen. Als wij het aantal meldingen van 3.400 afzetten tegen dat aantal vinden wij het aantal meldingen nog niet overdonderend veel.”

Daarnaast geeft Tomesen aan dat er sinds de invoering van de meldplicht nog geen boetes zijn uitgedeeld. Een boete wordt enkel opgelegd indien een datalek niet (tijdig) wordt gecommuniceerd naar betrokkenen terwijl dat wel zou moeten in verband met de gevoeligheid van het datalek.

Gegevens op straat

Meldingen die worden gedaan bij de Autoriteit Persoonsgegevens worden in eerste instantie niet openbaar gemaakt. Betrokkenen worden alleen ingelicht indien een datalek ernstig is voor hen. Toch zijn er de afgelopen maanden zaken in de openbaarheid gekomen doordat betrokkenen ontevreden waren over het tijdsbestek waarin zij werden ingelicht of door media die zich beroepen op de Wet openbaarheid van bestuur (Wob).

Zo blijkt de gemeentelijke database met persoonsgegevens van de gemeente Ede gehacked te zijn tussen januari 2015 en juli 2016. De bron van de hack is afkomstig uit Oost-Europa. Een persoon of organisatie heeft gedurende anderhalf jaar toegang gehad tot de opgeslagen persoonsgegevens van de gemeente Ede. Binnen de gemeente is er momenteel een discussie gaande of inwoners niet te laat zijn geïnformeerd over het datalek. Ook wordt in twijfel getrokken of de gemeente Ede een instantie is waar burgers met vertrouwen gegevens aan kunnen toevertrouwen.

Een andere gemeente waar zich een incident heeft voorgedaan in 2016 is de gemeente Utrecht. In totaal stonden 316 pagina’s met namen en bijbehorende burgerservicenummers op intranet. Het gaat om minimaal 5.000 en maximaal 140.000 persoonsgegevens. De betrokkenen zijn in dit geval niet op de hoogte gesteld door de gemeente Utrecht omdat zij van mening is dat misbruik van de gegevens onwaarschijnlijk lijkt te zijn. De gegevens waren namelijk alleen toegankelijk voor medewerkers van de gemeente Utrecht die toegang hadden tot het intranet. Bij de gemeente werken een kleine 4.000 personen.

Dit laatste incident is aan het licht gekomen doordat De Telegraaf een beroep heeft gedaan op de Wet openbaarheid van bestuur. Het datalek blijkt op 3 maart te zijn opgemerkt door een ambtenaar, vervolgens is er melding van gemaakt bij de Autoriteit Persoonsgegevens. Vooralsnog hebben zij geen boete gekregen voor het niet inlichten van betrokkenen over dit incident.

Dat de beveiliging niet alleen bij gemeenten voor verbetering vatbaar is blijkt uit het datalek wat onlangs in de openbaarheid is gekomen uit de energiesector. Het gaat om de NAW-gegevens van twee miljoen huishoudens met daarnaast informatie over het energieverbruik per jaar, het type aansluiting en de einddatum van het contract. De gegevens zouden door een oud-medewerker van een energieleverancier zijn gestolen uit een centraal register. Dit register is toegankelijk voor alle energieleveranciers in Nederland. Tot op heden is niet bekendgemaakt om welke energieleverancier het gaat. De energieleverancier zelf heeft op dit moment geen toegang meer tot het register. De Autoriteit Persoonsgegevens is momenteel nog bezig met het onderzoek naar dit datalek.

Wetgeving omtrent datalekken in Europa

Nederland is het eerste Europese land met wetgeving omtrent datalekken. Steeds meer Europese bedrijven worden echter geconfronteerd met cybercrime waardoor de noodzaak voor een degelijk beleid ook meer en meer duidelijk wordt. De bewustwording omtrent security bij organisaties wordt vergroot door de invoering van de meldplicht. Naast dat betrokkenen sneller ingelicht moeten worden bij datalekken wordt de vrees voor reputatieschade ook steeds groter. Hierdoor investeren organisaties meer in de veiligheid van hun omgevingen en gaan zij bewuster om met persoonsgegevens.

Deze aanpak wordt vanuit Europa, maar specifiek vanuit België geprezen. De roep voor invoering van een soortgelijke meldplicht wordt steeds groter, blijkt uit diverse artikelen in de Belgische media. Neemt België, en mogelijk andere Europese landen, een voorbeeld aan Nederland en zien we binnen aanzienbare tijd invoering van een dergelijke meldplicht ook in andere landen gebeuren? De toekomst zal het uitwijzen.

Bewerkersovereenkomst is slechts het begin

Sven Visser, voorzitter van de DHPA, is blij met de toenemende aandacht voor de problematiek rondom security door de komst van de meldplicht datalekken. Visser heeft zich vanuit de DHPA, als leider van de werkgroep, in 2015 beziggehouden met de ontwikkeling van de gestandaardiseerde bewerkersovereenkomst in samenwerking met ICTRecht.

Visser: “Als voorzitter van de DHPA merk ik dat het vraagstuk rondom security en de meldplicht datalekken bij bedrijven erg leeft. Wat ik echter ook merk is dat organisaties de perceptie hebben dat een bewerkersovereenkomst alle risico’s afdekt maar dit is slechts het begin. De overeenkomst bevordert de samenwerking omtrent veiligheid tussen de provider en de klant, maar dit is zeker niet het eindpunt.”

Visser vervolgt: “De hostingprovider kan aan zijn kant alles op orde hebben. Het is echter noodzakelijk dat klanten ook op applicatieniveau de juiste maatregelen nemen, denk hierbij aan het professioneel encrypten van persoonsgegevens. Maar ook op strategisch niveau moeten er stappen worden gezet. Heb je als organisatie bijvoorbeeld een draaiboek klaarliggen in het geval van een datalek? Hoe reageert de afdeling communicatie? Wij merken nog te vaak dat de eindklant hier niet voldoende over heeft nagedacht en ad hoc moet schakelen in het geval van een mogelijk datalek.”

Waar Visser zich verder druk om maakt zijn de toenemende signalen waaruit blijkt dat de Autoriteit Persoonsgegevens meer middelen nodig heeft voor het vergroten van haar slagkracht. Visser: “De Autoriteit Persoonsgegevens is op dit moment een tijger die haar tanden nog niet genoeg kan laten zien. Het is belangrijk om door te pakken en mogelijke belemmeringen voor handhaving van de meldplicht datalekken weg te nemen voor de Autoriteit Persoonsgegevens.”

*) Dit artikel is tevens gepubliceerd op de website van Cyso.

Deel dit bericht

2 Reacties

bert

Opvallend vind ik dat al die duizende micro-webshops nog steeds een account laten aanmaken. Ik zou daar met de nieuwe wet direct mee stoppen. Niks opslaan = niks te lekken.

Kelly Cambach

Zonder het aanmaken van een account zal er per order nog steeds persoonlijke data opgeslagen moeten worden om de order te kunnen verwerken. Er hangt alleen geen gebruikersnaam en wachtwoord aan.

Al in 2013 zijn onder andere Thuiswinkel.org en Centric bezig geweest met het concept E-identity. Eén centraal account in een goed beveiligde database waar je je als e-commerce organisatie op aan kunt sluiten. Geen idee wat de huidige status is. Meer info hier: http://www.logisticsresearch.nl/index.php/en/nieuwsarchief/152-interview-prof-dr-roodbergen-een-account-voor-alle-webshops

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond