Nieuws

Wij delen graag onze laatste ontwikkelingen met u

Meldplicht Datalekken: waar moet u aan denken?

22 januari 2016

Per 1 januari 2016 is de Meldplicht Datalekken ingegaan. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Als u geen melding maakt kan dit bestraft worden met een bestuurlijk boete. In dit artikel zetten we een aantal zaken op een rij waar u zeker rekening mee moet houden.

Wat is een datalek?
De Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) geeft de volgende omschrijving van een datalek: “Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.” Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Maar wat betekent dit nu voor uw organisatie?
Wat moet uw organisatie in ieder geval op orde hebben? Hieronder geven we een aantal voorbeelden:

•    Beleid is verplicht
Organisaties zijn verplicht een informatiebeveiligingsbeleid op te stellen. Daarin moet u beschrijven welke gegevens worden verwerkt, welke risico’s worden geïdentificeerd en welke maatregelen daartegen worden genomen. Bij het opstellen van een informatiebeveiligingsbeleid bieden de beleidsregels meldplicht datalekken houvast.

•    Een bewerkersovereenkomst met leveranciers
Telkens als een “verantwoordelijke” het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist. Besef dat er al gauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

•    Versleutelde communicatie
Er zijn meerdere voorbeelden waar de Autoriteit Persoonsgegevens haar pijlen richtte op organisaties die hun communicatie tussen apps en servers niet versleutelde. Ook verbindingen voor thuiswerken of email moeten versleuteld zijn.

•    Two factor-authenticatie
In een ander onderzoek heeft de Autoriteit Persoonsgegevens huisartsenposten op de vingers getikt omdat toegang tot medische dossiers zonder two factor-authenticatie was geïmplementeerd. Dit is op basis van de betreffende informatiebeveiligingsstandaard voor de medische sector wel verplicht. Ook voor de financiële sector gelden dergelijke verplichtingen.

•    Maatregelen tegen SQL-injecties en XSS-aanvallen
Websites en vooral invulformulieren van websites moeten tegen dit type aanvallen kunnen. Eerder zijn al hogescholen die geen maatregelen hadden genomen tegen deze aanvallen hierop aangesproken. Ook zijn webshops in het verleden veelvuldig slachtoffer geworden van dit soort aanvallen, waardoor privacy informatie en betaalgegevens op straat kwamen te liggen.

•    Juiste mix tussen implementeren maatregelen en accepteren risico’s
Is er een acute noodzaak tot investeren om de beveiliging te verbeteren? Hoe vindt u de juiste mix tussen het implementeren van maatregelen en het accepteren van risico’s? We helpen u graag bij deze afweging.

Opstellen van een richtlijn
Zelf hebben we ook een richtlijn in gebruik met betrekking tot de meldplicht datalekken. We kunnen u helpen met het opstellen van eenzelfde richtlijn voor uw organisatie. Hiervoor werken we samen met onder andere uw IT en juridische afdelingen. Voor een grondig resultaat voeren we samen met u een analyse uit op uw bestaande security-omgeving, dit zowel qua aanwezige/noodzakelijke beleidsdocumenten (organisatie) als technologische maatregelen. Dit alles in het licht van de richtlijnen die hiervoor gesteld worden in de Wet bescherming persoonsgegevens (Wbp) en de Autoriteit Persoonsgegevens.

De (risico-)analyse heeft onderstaande aspecten in scope en laat zien wat u dient te verbeteren:

  1. Beleidsdocument voor informatiebeveiliging

  2. Toewijzen van verantwoordelijkheden voor informatiebeveiliging

  3. Beveiligingsbewustzijn

  4. Opstellen bewerkersovereenkomst

  5. Fysieke beveiliging en beveiliging van apparatuur

  6. Toegangsbeveiliging

  7. Logging en controle

  8. Correcte verwerking toepassingssystemen

  9. Beheer van technische kwetsbaarheden

  10. Incidentenbeheer

  11. Afhandeling van datalekken en beveiligingsincidenten

  12. Continuïteitsbeheer”