Wet meldplicht datalekken komt eraan - ken de kracht en risico's van uw data

Organisaties verwerken steeds meer data en dat neemt alleen maar toe. Toch heeft slechts een minderheid de door hen verwerkte data goed onder controle.

Door Ad Buckens

Toch zien we organisaties en overheidsinstanties niet op grote schaal maatregelen nemen om risico’s die gemoeid zijn met het verwerken van data te beheersen. 

Datalekken worden vaak nog niet opgemerkt. De wetgever probeert hierin bij te sturen: om organisaties bewuster om te laten gaan met data (in het specifiek persoonsgegevens) en de kans op verlies te minimaliseren zijn ze vanaf 1 januari 2016 verplicht om inbreuken op de beveiliging te melden indien die leiden tot onder andere diefstal, verlies of misbruik van persoonsgegevens. 

Aansluitend wordt ook de boetebevoegdheid van het College bescherming persoonsgegevens (Cbp) verruimd en kan het Cbp bestuurlijke boetes opleggen van maximaal 810.000 euro of 10 procent van de omzet. Meer en meer organisaties zien het belang en de waarde van data, maar het signaleren van een datalek en het rapporteren over een verlies van de ‘goudstaven’ is verre van eenvoudig.

Data is meer dan alleen financiële informatie of intellectueel eigendom. Het omvat ook de persoonsgegevens van individuen. In een wereld waarin alleen offline handelen niet meer bestaat en waarin de nu opgroeiende generaties het online delen van (zeer) persoonlijke gegevens als normaal beschouwen, wordt vaak verwacht dat voldoende maatregelen getroffen zijn om (persoonlijke) data van individuen te beschermen. Niets is minder waar. Nog te vaak komt in het nieuws dat wederom (persoonlijke) data ontvreemd, verloren of misbruikt is. En dat is dan alleen nog maar het deel dat in de openbaarheid komt.

Zie de Wet meldplicht datalekken als een kans
Organisaties ontkomen er niet aan: om reputatie- en materiële schade te voorkomen zullen ze aandacht moeten geven aan het zorgvuldig omgaan met persoonsgegevens. De Wet meldplicht datalekken biedt organisaties de uitgelezen kans om een zorgvuldige omgang met data breed te interpreteren, en naast persoonsgegevens ook andere typen data te identificeren en passende maatregelen te treffen. Vervolgens is de vraag in hoeverre een organisatie in staat is een datalek te ontdekken. Om dat te kunnen is bewustwording van en inzicht in de modus operandi van cybercriminelen van groot belang.

Verder is het belangrijk om te bekijken wat de Wet meldplicht datalekken concreet voor organisaties betekent. Data zit verweven door de gehele organisatie en verdient daarom ook een integrale organisatiebrede aanpak waarbij organisatie, processen en techniek centraal staan. Enerzijds moet de organisatie ervoor zorgen dat ze in staat is te reageren op een datalek, waarbij diverse afdelingen in de organisatie betrokken zijn en een plan beschikbaar moet zijn met belanghebbenden en communicatieprotocollen (cyber breach response). Anderzijds moet de organisatie technisch inzicht hebben in wat er binnen en buiten de organisatie plaatsvindt. Denk hierbij aan threat intelligence, maar ook beveiligingsmaatregelen in de vorm van detectie.

Organisaties moeten kennis hebben van de data die wordt verwerkt om zodoende vast te stellen welke data daarvan persoonsgegevens betreft. Voor persoonsgegevens betekent dit ook dat organisaties onder andere moeten weten voor welk doel deze persoonsgegevens worden verwerkt, waar in de organisatie de verwerking plaatsvindt (processen, systemen, back-ups, etc.), welke beveiligingsmaatregelen zijn getroffen om de persoonsgegevens adequaat te beschermen en in welke mate deze maatregelen effectief zijn. Zo’n organisatiebrede kijk op data geeft bovendien meer inzicht in de goudvoorraad.

8 tips ter voorbereiding op de Wet meldplicht datalekken
De Wet meldplicht datalekken heeft een directe werking. Dit betekent dat er geen overgangsperiode geldt en organisaties en overheidsinstanties vanaf 1 januari 2016 aan de wet moeten voldoen, zonder uitzonderingen.
 
Wij bieden acht tips waarmee uw organisatie zich adequaat kan voorbereiden op de Wet meldplicht datalekken:

1. Bewustwording: verzorg regelmatig bewustwordingssessies binnen uw organisatie (voorbeelden van incidenten en bedreigingen, hoe men privacy- en beveiligingsincidenten kan melden en wanneer dat nodig is).

2. Verkenning: verkrijg inzicht in de door uw organisatie verwerkte data.

3. Classificatie: classificeer uw data en stel vast welke data persoonsgegevens betreft.

4. Analyse: bepaal hoe u met de risico's om wilt gaan (vermijden, mitigeren, overdragen of accepteren) en stel vast welke maatregelen per keuze nodig zijn.

5. Beoordeling: onderzoek de effectiviteit van reeds getroffen organisatorische en technische maatregelen, bepaal het restrisico en stel vast of aanvullende maatregelen nodig zijn.

6. Ontwikkeling: intensiveer organisatorische en technische maatregelen om het restrisico verder te verminderen.

7. Compliance check: voer een compliance audit uit om vast te stellen in welke mate uw organisatie aan de Wet meldplicht datalekken voldoet.

8. Evaluatie: evalueer de resultaten en stel bij waar nodig, rekening houdend met interne en externe ontwikkelingen.

Ad Buckens, Director Information Security bij EY