De Tweede Kamer heeft onlangs ingestemd met de Meldplicht Datalekken. De Wet Bescherming Persoonsgegevens (WBP) wordt uitgebreid met een verplichting om incidenten te melden als er persoonsgegevens zijn uitgelekt, gestolen, gehackt of kwijtgeraakt. Met deze meldplicht wil de overheid de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Het wetvoorstel zal naar verwachting op 1 juli 2015 van kracht zijn.
Hoe vaak komt het niet voor dat emails of documenten naar de verkeerde persoon worden gemaild of gestuurd? Ook door publicatiefouten en het weggooien of opruimen van media en computers zonder die eerst te shredden of wissen, belanden er veel gegevens op straat. Zo’n fout is snel gemaakt. De regering streeft er daarom naar ons privacyniveau te verbeteren. Met de Meldplicht Datalekken wordt bij wet geregeld dat bedrijven en organisaties een datalek met kans op ernstige nadelige gevolgen, moeten melden bij de toezichthouder (het CBP, College Bescherming Persoonsgegevens) en in sommige situaties ook bij alle betrokkenen waarover de data is gelekt.
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. In de meeste gevallen gaat het om uitgelekte computerbestanden, maar het kan dus ook al gaan om een gestolen geprinte klantenlijst of een verloren werktelefoon of USB-stick. Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.
Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infrastructuur (zoals energiebedrijven), telecom-bedrijven en financiële instellingen. Met deze wetswijziging geldt de meldplicht dus voor iedereen, ook voor overheid, bedrijfsleven en MKB, zoals kleine webwinkels. Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen. De sanctie op niet-naleving van de meldplicht vormt ook een flinke stimulans. Als het CPB meent dat het datalek voorkomen had kunnen worden of veroorzaakt wordt door ernstig verwijtbaar handelen, kan het de organisatie een boete opleggen die kan oplopen tot 810.000 euro.
Zorg er dus voor dat uw informatiebeveiliging op orde is, zodat de kans klein is dat iemand inbreekt op uw systemen of dat een van uw medewerkers bewust of onbewust data lekt. Rob Koch van IT-beveiligingsbedrijf Sebyde: “Technisch gezien kun je veel doen aan IT-beveiliging, maar de mens en zijn gedrag blijft altijd de zwakke schakel in beveiliging. Werknemers moeten ‘security-aware’ worden en daar speelt HR een belangrijke rol in. Wat wij in de praktijk vaak zien is dat HR zegt: security, daarvoor moet je bij IT zijn. Vervolgens zeggen de computerjongens: ja maar wij zijn niet verantwoordelijk voor het gedrag van het personeel. Ze wijzen naar elkaar en vervolgens gebeurt er niets. En ondertussen zijn de medewerkers onbewust van de gevaren, klikken op phishing emails en gebruiken onveilige passwords. Hierdoor blijft de organisatie erg kwetsbaar voor cybercriminaliteit.”
Bron: PW De Gids