Print:

Meldplicht Datalekken: zo blijft de schade tot een minimum beperkt

Arnoud Groot, Creative Connector

LinkedIn profiel

Sinds begin dit jaar moeten bedrijven en overheden ernstige datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Hoewel overtredingen (kunnen) worden bestraft met forse sancties, zijn veel organisaties nog niet goed ingesteld op de gevolgen van de Meldplicht Datalekken. Welke belangrijke maatregelen moeten in ieder geval worden genomen?

Geen security manager zal het nieuws hebben gemist. Vanaf 1 januari dit jaar bepaalt de Meldplicht Datalekken dat zowel bedrijven als overheden ernstige datalekken binnen 72 uur moeten melden bij de Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens (CBP). In sommige gevallen moeten ook de eigenaars van de data, bijvoorbeeld burgers of klanten van wie de persoonsgegevens zijn gelekt, worden geïnformeerd over het lekken van hun gegevens. Bij een ten onrechte niet gemeld datalek, kan Autoriteit Persoonsgegevens een maximale boete opleggen van 820.000 euro of tien procent van de jaaromzet.

Bij een datalek denken veel mensen direct aan de sterk groeiende groep professionele hackers, die gevonden datalekken en bestanden met privégegevens steeds vaker gebruiken voor afpersingsdoeleinden. Een minstens even groot risico komt voort uit onvoorzichtige medewerkers die telefoons, laptops of USB-sticks met gevoelige informatie laten slingeren. Voor veel organisaties is de nieuwe Meldplicht Datalekken dan ook aanleiding een bewustwordingscampagne te starten waarin de aard en omvang van deze risico’s duidelijk wordt gecommuniceerd.

Gebruikersovereenkomst

Een bewustwordingscampagne gaat vaak via de mail, maar in toenemende mate ook via bijeenkomsten of video tutorials. Daarin kan bijvoorbeeld de enorme groei van het fenomeen malware worden behandeld, of het gemak waarmee een open Wifi-verbinding kan worden misbruikt. Een dergelijke campagne kan tevens een slimme aanzet zijn tot het opstellen en ondertekenen van gebruikersovereenkomst, met gedragsregels waarvan de noodzaak dan inmiddels bij alle medewerkers helder op het netvlies staat. In deze gebruikersovereenkomst kan een organisatie precies aangeven hoe zij met hun (mobiele) devices en de informatie die zij hiermee verwerken moeten omgaan.

Dat betekent bijvoorbeeld ook dat medewerkers precies moeten weten welke stappen ze moeten nemen wanneer er een lek dreigt. Kunnen wachtwoorden opnieuw worden ingesteld, of moet eventuele gevoelige informatie op een verloren device op afstand worden verwijderd? Aangezien de devices soms eigendom zijn van de medewerkers, kleeft aan die laatste optie ook een juridische dimensie (? aspect, welke..) die vooraf goed moet worden uitgezocht en bindend vastgelegd. Aansluitend kan in een gebruikersovereenkomst ook direct een crisisteam met vaste aanspreekpunten wordt genoemd, dat in geval van een (dreigende) calamiteit de regie overneemt.

Verstopt in silo’s

Voor het samenstellen van een crisisteam is het noodzakelijk alle belangrijke medespelers binnen de organisatie bij elkaar te halen. Daarvoor moet allereerst worden bepaald  wie precies betrokken is bij het verzamelen, bewaren en bewerken van persoonlijke (klant)data. Gezien de vaak groter dan gedachte hoeveelheid data, die bovendien vaak is ‘verstopt’ in verschillende silo’s, is dat al een zeer nuttige activiteit. Vertegenwoordigers van alle betrokken afdelingen kunnen hierna van elk afzonderlijk databestand bepalen hoe schadelijk eventuele lekkage zou zijn.

Vervolgens kan in onderlinge samenspraak een taakverdeling binnen het crisisteam tot stand komen. Gezien de aard van veel datalekken is het logisch dat een leidinggevende IT-medewerker hierbij in de lead is. Dat geldt ook voor het eerste aanspreekpunt (of punten) dat direct door het personeel kan worden aangesproken bij de eerste constatering van het lek. En wie bepaalt of er klanten of instanties moeten worden gewaarschuwd? Wie contacteert leveranciers of experts die kunnen helpen bij het beheersen en verhelpen van de schade? Wie staat verontruste klanten te woord?

Transparantie

Door de antwoorden op deze vragen in een draaiboek vast te leggen kan in een vroeg stadium daadkrachtig  en schadebeperkend worden opgetreden. Een ander belangrijk punt in dit draaiboek is de wijze waarop er over een schadelijk datalek moet worden gecommuniceerd. De ervaring leert dat organisaties de sterke neiging hebben een datalek ‘onder de pet te houden’, of in ieder geval te bagatelliseren.

Dit gedrag maakt de uiteindelijke schade vaak echter alleen nog maar groter, met nu dus ook een forse boete van de Autoriteit Persoonsgegevens als ultieme consequentie. Transparantie is daarom een belangrijk steekwoord. Laat u echter niet verleiden om direct heel specifieke details te noemen, zoals de exacte omvang van het datalek of specifieke samenstelling van de gelekte data. Neem de verantwoordelijkheid, communiceer duidelijk wat er gebeurt om de schade te verhelpen en stel de getroffen doelgroep regelmatig van uw vorderingen op de hoogte.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten