Bangmakerij rond meldplicht datalekken wekt wrevel

001

Michiel Steltman, directeur Dutch Hosting Provider Association (DHPA), schreef in zijn artikel van juni 2015 over de angst bij vele organisaties omtrent de hoge boetes van het CBP. De verwerking van persoonsgegevens is al jaren een serieuze zaak en wordt niet anders na 1 januari 2016. De Wet Bescherming Persoonsgegevens (WBP), die 14 jaar geleden is ingevoerd krijgt door de uitbreiding meldplicht datalekken een extra dimensie.

Helaas lees ik in veel IT bladen de nodige onjuistheden over de wijzigingen rond de privacy wetgeving met als doel potentiele klanten kooplust aan te praten. Er wordt veel geschreven over de nieuwe Europese verordening, terwijl er op dit moment nog wordt onderhandeld tussen de 3 partijen (Europese Commissie, Raad van Europa en het Europese Parlement. Voor 2018 zal deze Data Protection verordening niet actief worden in Nederland. Het speculeren maakt organisaties bang en zet ze op het verkeerde been. Het is spijtig dat dit een negatief beeld oproept en organisaties onnodig bezorgd maakt.

Meldplicht Datalekken

Over de Meldplicht Datalekken lees ik relatief weinig. Alleen DHPA maakt zich er terecht druk over, omdat deze uitbreiding van de WBP ruim 220.000 organisaties gaat raken. Het aantal datalekken waar persoonsgegevens wordt gelekt wordt door het CBP geraamd op 62.000 per jaar. Naar mijn mening is dit slechts een topje van de ijsberg. Het CBP doet op dit moment bij 40 gemeenten onderzoek naar de verwerking van persoonsgegevens en dit heeft inmiddels de nodige aanwijzingen opgeleverd. Binnen een gemeentelijke organisatie worden persoonsgegevens door bijna iedere ambtenaar gebruikt en kan er op het gebied van bewustwording en beveiliging zeker het nodige verbeteren.

Wat is een datalek

Een datalek wordt in de WBP gedefinieerd als een inbreuk op de beveiliging. Bij een inbreuk zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene, waartegen de beveiligingsmaatregelen bescherming moesten bieden. Dit betreft alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken. Het is daarbij niet van belang of de ‘verantwoordelijke’ passende technische of organisatorische beschermingsmaatregelen had getroffen.

Bij een incident waar sprake kan zijn van een inbreuk, moet u bijvoorbeeld denken aan: een succesvolle data hack in een datacenter; kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; het inzien van persoonsgegevens door een onbevoegde in de organisatie en daarbuiten; het afvoeren van datadragers uit een datacenter zonder adequate gecontroleerde data vernietiging; een malware-besmetting; een calamiteit, zoals een brand in een datacentrum of datadragers etc.

Wat is een bewerking

Verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Hieronder valt in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 

Bewerkersovereenkomst

Als een organisatie zijn eigen server met data in een onafhankelijk datacenter heeft geplaatst, en er worden door de dienstverlener (eigenaar van datacenter) geen bewerkingen uitgevoerd, ligt de verantwoordelijkheid volledig bij de huurder van de ruimte. Een bewerkersovereenkomst is niet van toepassing. Indien een organisatie dataruimte huurt op een server van een onafhankelijke derden (datacenter), is er sprake van een bewerking en dient er een bewerkersovereenkomst te bestaan. In deze overeenkomst worden allerlei zaken geregeld op het gebied van het eigendom van de data, de uitwisseling, de bewerking, de beveiliging en de audits. De opdrachtgever dient deze overeenkomst aan te gaan met elke bewerker.

Ketenaansprakelijkheid

De vraag die bij vele organisaties bestaat is wie er straks een datalek gaat melden. Dat is in alle gevallen ‘de verantwoordelijke’ die middel en doel bepaald. Een bewerker zal dus bij voorkeur geen melding doen bij het CBP, hoogstens een vooraankondiging wat geen formele melding is. De melding moet binnen 2 dagen plaatsvinden nadat het datalek is geconstateerd. Een datacenter dient er wel rekening mee te houden dat zij een actief beleid moeten voeren indien er bij hun een datalek ontstaat die betrekking heeft op een inbreuk van persoonsgegevens. Zij moeten dit direct melden bij de opdrachtgever. Zodra het CBP een organisatie een boete oplegt voor een inbreuk die is ontstaan bij een bewerker, dan zal de organisatie deze boete zeker doorschuiven naar de bewerker. Maar ook kan het CBP een bewerker als medepleger aanmerken en hem een boete opleggen.

WBP security baseline

Michiel Steltman vraagt in zijn artikel van juni 2015 om een WBP security baseline die door de overheid wordt opgesteld. Dit zou een minimaal pakket van maatregelen zijn voor de bescherming van persoonsgegevens. Hier dient iedereen aan te voldoen, en als er dan toch een datalek ontstaat dan draagt niemand schuld en heeft de betrokkene pech. Deze oplossing lijkt sterk op het verschuiven van verantwoordelijkheden waarbij er van de overheid (CBP) veel wordt verwacht op het gebied van beveiligingskennis. De wetgever en publieke opinie wil juist hebben dat alle organisaties die persoonsgegevens verwerken deze beter gaan beschermen en voldoen aan een democratisch vastgestelde spelregels.

Het CBP heeft een specifieke richtsnoer gepubliceerd over de informatiebeveiliging van persoonsgegevens. Helaas is deze niet erg praktisch en zou het CBP een voorbeeld kunnen nemen aan de zuiderburen die wel een praktische publicatie hebben uitgebracht.

Ook de complexiteit van verwerking en opslag van persoonsgegevens binnen de verschillende sectoren vraagt om een gedifferentieerde aanpak op het gebied van beveiliging. Een simpele baseline is daarom moeilijk te verwezenlijken en zou tot meer datalekken leiden.

Vele datalekken ontstaan overigens niet digitaal, maar zijn fysieke datalekken van informatiedragers die in verkeerde handen komt. Ook hier moet een organisatie veel meer aandacht geven aan het beschermen ervan. Door goede voorlichting aan medewerkers, gedragsverandering, juiste procedures en maatregelen worden datalekken voorkomen. Organisaties die dit al jaren doen, hebben bewezen dat datalekken daar nauwelijks voorkomen. Het is juist een uitdaging voor organisaties om zich op een positieve manier te onderscheiden door transparant te zijn naar betrokkene. En als er dan toch een datalek plaatsvindt, laat een organisatie aan het CBP zien dat zij alle maatregelen hebben genomen en samen met haar partners er hard aan werkt om de inbreuk zo snel mogelijk te repareren. Een aanwijzing zal dan niet leiden tot een boete omdat de organisatie privacy en security serieus neemt. Indien een organisatie pas bij een datalek in actie komt, is het te laat. Hier bestaat een groot risico dat een aanwijzing van het CBP uitmondt in een boete en veel imagoschade.

Paul M.H. Korremans MM is Functionaris voor de Gegevensbescherming en vicevoorzitter van het NGFG