Datalekken en de Wet Bescherming Persoonsgegevens

Gepubliceerd op: 29 februari 2016Geschreven door:
blog-security-aware.jpg

Wat zijn datalekken en wat kun je er zelf tegen doen?

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of lekken van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook gegevens die onrechtmatig zijn verwerkt.

Er is sprake van een datalek als er inbreuk is gemaakt op de beveiliging van persoonsgegevens.

Voorbeelden van datalekken

De meest voor de hand liggende voorbeelden zijn verloren gegevensdrager met persoonsgegevens (USB-stick, harde schijf), een gestolen ‘mobile device’ (laptop, tablet of telefoon) of persoonsgegevens die door een hacker zijn gestolen. Ook het (per ongeluk) verwijderen van persoonsgegevens of verlies door brand (en er geen back-up beschikbaar is), worden aangemerkt als datalekken. Dit geldt ook voor data die is opgeslagen bij derden zoals Clouddiensten, hostingproviders en SaaS (Software as a Service) leveranciers. Ook derden worden gezien als bewerkers maar de eindverantwoordelijkheid van de verzamelde data ligt altijd bij de opdrachtgever. De nieuwe wetgeving komt zeker niet te vroeg: voorbeelden van ernstige vormen van datalekken liggen helaas voor het oprapen.

Onbewust

Medewerkers van bedrijven zullen ongetwijfeld niet bewust data lekken, maar ook het onbewust lekken van data kan ernstige gevolgen hebben. Ingevolge bovengenoemde wetgeving kan dit leiden tot een ‘Bestuurlijke boete’ met een minimum van €420,- (cat. I) tot maximaal € 820.000,- (categorie VI).

Clouddiensten en creatief gebruik van e-mail

Medewerkers zijn anno nu al aardig bekend met (gratis) clouddiensten zoals Dropbox, OneDrive, Google Drive, EverNote etc. Dat deze ‘Public Cloud Services’ voornamelijk in de Verenigde Staten van Amerika gesitueerd zijn en derhalve onderhevig zijn aan Amerikaanse wet- en regelgeving, zal menigeen zich niet realiseren. Neem daarbij dat het begrip ‘privacy’ in Amerika een andere lading heeft dan in Europa en de gevaren liggen op de loer. Daarnaast is de ‘creatieve’ werkwijze van het doorsturen van zakelijke e-mail naar het privé e-mailadres tegenwoordig meer regel dan uitzondering. Zodra privacygevoelige informatie wordt gelekt heeft de organisatie een probleem.

Neem maatregelen

Een organisatie kan uiteenlopende maatregelen nemen om de risico’s zo laag mogelijk te houden.

  • Privacygevoelige gegevens moeten goed worden beveiligd, bij voorkeur door middel van encryptie.
  • De bewerker en de organisatie die de data door de bewerker laat verwerken, zijn ingevolge de nieuwe wet verplicht om een bewerkersovereenkomst te sluiten. Hierin moet o.a. worden opgenomen welke partij welke verantwoordelijkheden draagt.
  • Medewerkers die met persoonsgegevens werken, zoals bijvoorbeeld bij een gemeente of bij het rijk, bij zorgverzekeraars en bij ziekenhuizen maar ook alle andere instellingen en bedrijven, dienen goed op de hoogte te zijn van de nieuwe wetgeving en zich bewust te zijn van de mogelijke gevolgen van een datalek.
  • Raadpleeg de informatiebladen die het CBP heeft opgesteld.

Wat kan ik zelf doen?

Vraag je bij het verwerken van persoonsgegevens het volgende af:

  • Ga jij altijd zorgvuldig om met gevoelige informatie?
  • Is het je duidelijk waar de gegevens waar je mee werkt voor gebruikt (moeten) worden?
  • Weet je met wie de gegevens worden gedeeld?
  • Weet je wie toegang heeft tot de informatie?
  • Weet je wat je moet doen als je toegang tot gegevens blijkt te hebben die niet bij jou thuishoren?

Wat kan je nog meer doen?

  • Sluit je computer af als je (even) weg gaat (doorgaans met de Windows + L toets of Ctrl+Alt+Del).
  • Plaats geen vertrouwelijke gegevens op openbare websites of in de Public Cloud.
  • Plaats geen vertrouwelijke gegevens op onbeveiligde datadragers (USB-sticks, etc.).
  • Mail geen vertrouwelijke gegevens naar je privé e-mailadres.
  • Beveilig zakelijke mobile devices (laptop, tablet en smartphone) altijd met een wachtwoord, pincode of voorzie deze van een biometrische beveiliging zoals vingerafdruk, irisscan of gezichtsherkenning.

Ondanks alle technische- en organisatorische maatregelen die de bescherming van persoonsgegevens moeten borgen, blijft het (onbewuste) gedrag van medewerkers de zwakste schakel in de keten. Een cursus of voorlichtingssessie voor de medewerkers om zowel de nieuwe wetgeving als bewustwording m.b.t. dit onderwerp onder de aandacht te brengen is daarmee beslist geen overbodige luxe.

100% veiligheid is een utopie maar met behulp van bovenstaande maatregelen is al heel veel leed te voorkomen. Een training Security Awareness kan een organisatie gericht ondersteunen bij het voorkomen van datalekken. Kijk voor meer informatie op www.avk.nl/securityawareness.

Voorkomen is beter dan genezen …