Bescherm gevoelige data

informatie blogVanaf 1 januari 2016 gaat er een nieuwe wet in werking die gaat over het lekken van privacy-gevoelige data. In deze wet is geregeld wat de gevolgen zijn bij het lekken daarvan en wat een datalek is.

Je bent vast wel eens een USB-stick kwijtgeraakt. Of misschien is je laptop wel eens gestolen of je hebt wel eens malware opgelopen. Of je hebt een mail verstuurd waarbij je meerdere e-mail adressen in het aan- of cc-veld had gezet (dat doet iedereen namelijk wel eens). Als een van die dingen je wel eens is overkomen, heb je eigenlijk al data gelekt. Het ene is minder ernstig dan het andere, dus je hoeft je niet meteen zorgen te maken.

Als je als bedrijf gegevens bezit over particulieren, is het vanzelfsprekend dat je deze gegevens goed beveiligt en dat je ze alleen gebruikt voor de doeleinden waarvoor je ze vergaard hebt. Als je de gegevens niet goed beveiligt, is er sprake van een beveiligingslek. Dit hoeft nog niet te betekenen dat er daadwerkelijk gegevens zijn gelekt, maar het is dan in principe wel mogelijk dat het gebeurt. Je moet er dus voor zorgen dat onbevoegden niet bij de gegevens kunnen.

Gevoelige data
Als er dan ergens toch gegevens gelekt worden dan moet je dat mogelijk gaan melden bij de Autoriteit Persoonsgegevens, de nieuwe naam voor het College Bescherming Persoonsgegevens. Dat is van een aantal factoren afhankelijk. Belangrijke factoren zijn daarbij hoe gevoelig de data is en hoe groot de kans is dat het misbruikt kan worden. Data die gevoelig zijn, zijn onder andere adresgegevens, aankoopgeschiedenis, betaalgegevens. Maar de wet omschrijft het heel breed. Namelijk als élk gegeven dat – met of zonder enige moeite – te koppelen is aan een persoon.

Misbruik is natuurlijk een stuk aannemelijker wanneer je creditcardgegevens zijn gelekt, dan wanneer je telefoonnummer is gelekt of welke boeken je hebt gekocht bij een online winkel.

Verwerker
Ook is het van belang om te kijken of je verantwoordelijk was voor de verwerking van de data. Als jij bepaalt wat er met de data gebeurt, hoe het verzameld wordt, wat het doel van de dataverwerking is, dan ben je “verwerker” en daarmee dus verantwoordelijk voor de veiligheid van de data. Als verwerker ben je altijd eindverantwoordelijk voor de melding van het datalek. Maar, als jouw ICT-dienstverlener het vermoeden heeft dat er data gelekt is, moeten zij dat ook melden. Je kan dan altijd nog die melding aanpassen of intrekken maar het is zaak om het snel te melden.

Boete
Wat wordt er met die meldingen gedaan? Aan de ene kant wordt beoordeeld of het lek zo ernstig is dat er een boete uitgedeeld kan worden. Deze boetes zijn niet mild. Voorheen was het maximaal 800.000 euro, maar is nu niet meer aan een maximum gebonden. Aan de andere kant worden deze meldingen gebruikt voor opsporingsdoeleinden, waar het bijvoorbeeld aanvallen van hackers betreft. De overheid hoopt op deze manier veel meer inzicht te krijgen in wat er allemaal gebeurt om beter te kunnen rechercheren.

Elk land heeft zo zijn regels over het lekken van data. Als je op de een of andere manier internationaal werkt, verdiep je dan goed in wat voor jou de actuele regels zijn.

Bewerkersovereenkomst
Iets wat bijna elk bedrijf betreft, is dat je externe ICT-dienstverlener ook partij is in deze. Het kan zo maar zijn dat deze ook als verwerker wordt aangemerkt, omdat hij ergens bepaalt hoe data wordt verwerkt, opgeslagen of beschermd. Sluit hiervoor een bewerkersovereenkomst af met je ICT’er. Hierin kunnen veel zaken worden afgesproken, zoals instructies over de bewerking, geheimhouding, beveiligingsmaatregelen, het inschakelen van onderaannemers, locatie van de data, audits en aansprakelijkheid.

Het is niet alleen belangrijk om dat met je ICT’er te doen, maar ook wanneer je een externe salarisverwerker hebt of een ander extern bedrijf dat persoonlijke data van personeel of klanten van jou verwerkt, dan heb je zo’n bewerkersovereenkomst nodig. In de praktijk gebeurt dat niet heel vaak maar let er op dat je volgens de wet dit wel verplicht bent. Het is ook in het belang van alle partijen om dit goed op te stellen!

En BizQIT?
Klanten van BizQIT zullen begin volgend jaar benaderd worden om te bespreken of een dergelijk document nodig is, en zo ja, om er samen een op te stellen. Zorg jij ervoor dat je het met jouw klanten, leveranciers en andere relaties ook doet?

Een zeer interessant document is Richtsnoeren Meldplicht Datalekken. Dit document kan je vinden op https://cbpweb.nl/nl/melden/meldplicht-datalekken

,

No comments yet.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.