Op 1 januari j.l. is de Wet Meldplicht datalekken van kracht geworden. Hierdoor loopt een organisatie bij onzorgvuldige omgang met persoonsgegevens niet alleen het risico op reputatieschade en het verliezen van klanten, maar nu ook een officiële waarschuwing of forse boete. Hoe minimaliseert u deze risico’s?
Om te weten hoe het beter kan, kan deels gekeken worden naar gevallen waarin het fout ging. Zo waren telecomproviders al langer verplicht datalekken te melden aan de ACM (voorheen Opta). Deze organisatie deelde afgelopen jaar bijvoorbeeld een boete van 364.000 euro uit aan KPN voor de gebrekkige beveiliging die de monster-hack van 2012 mogelijk maakte. Een ruwe wake-up call, maar we kunnen ervan uitgaan dat het bewustzijn en de aandacht voor databeveiliging bij KPN fors is toegenomen.
Maatregelen op drie gebieden
En daar begint het ook mee: om een waarschuwing of boete te voorkomen moet u kunnen aantonen dat u hebt nagedacht over de beveiliging van persoonsgegevens. Een lek is namelijk nooit 100 procent te voorkomen, maar als het zich toch voordoet is het essentieel te kunnen laten zien dat er wel passende maatregelen zijn genomen. Die maatregelen kunnen op drie gebieden genomen worden: juridisch, organisatorisch en technisch.
1. Juridisch
Aan de juridische kant is het verstandig om ervoor te zorgen dat u bewerkersovereenkomsten heeft met partijen waar u persoonsgegevens opslaat, zoals hosting providers. Hoewel veel bedrijven hier geen aandacht aan besteden, is het hebben van een bewerkersovereenkomst verplicht wanneer de verwerking van persoonsgegevens wordt uitbesteed.
2. Organisatorisch
Organisatorisch gezien is het belangrijk dat u kunt aantonen dat u nadenkt over databeveiliging en dat security een ingebed onderdeel is van uw bedrijfsprocessen. De ISO27001-certificering is hier zeer geschikt voor, maar ook zonder die certificering te doorlopen kunt u onderdelen van de ISO27001-standaard gebruiken om de veiligheid van persoonsgegevens te vergroten. Denk bijvoorbeeld aan het aanleggen van een ‘data asset catalog’ waarin de verschillende soorten data die in de organisatie aanwezig zijn, worden geclassificeerd naar gevoeligheid en waarin eisen worden gesteld aan de omgang met de verschillende soorten data. Een goede hulpbron hiervoor is de handreiking van de IBD, de informatiebeveiligingsdienst van de VNG. Zo’n asset catalog kan de basis vormen voor risico-analyses bij specifieke applicaties of situaties. Verder kunt u denken aan procedures voor uitdiensttreding, het bijhouden van wie, welke toegang heeft, veilig vernietigen van datadragers et cetera.
3. Technisch
Tot slot moeten er technische maatregelen worden genomen. U kunt uw data natuurlijk netjes classificeren en eisen stellen aan de opslag en het transport van data, maar als er uiteindelijk geen technische maatregelen worden genomen om die eisen te borgen, is het een wassen neus. Zulke maatregelen beginnen bij het isoleren van systemen met gevoelige data van andere systemen, en juiste technische controles op autorisatie. Een effectief technisch middel om de kans op zowel datalekken als boetes bij een datalek te verminderen, is een kwetsbaarhedenonderzoek op systemen die gevoelige gegevens bevatten. In zo’n onderzoek wordt door een expert het systeem op detailniveau technisch onderzocht op mogelijke kwetsbaarheden die door kwaadwillenden gebruikt kunnen worden om bij uw data te komen. Daarna worden aanbevelingen gedaan voor het oplossen van die kwetsbaarheden. Wanneer deze aanbevelingen van vervolgacties worden voorzien die ook uitgevoerd worden, is het bij een datalek eenvoudig aan te tonen bij de toezichthouder dat er serieuze aandacht is besteed aan het voorkomen van lekken. Dit zal de kans op een waarschuwing of boete drastisch verminderen.
Proactief
Door proactief de juiste maatregelen te treffen wordt de kans op schade voor uw organisatie aanzienlijk kleiner. Dus schud de organisatie wakker en ga snel aan de slag!
Bekijk alle diensten van Backupned:
