Terwijl ik dit schrijf is de wet meldplicht datalekken al ruim 1 jaar van kracht. Deze wet is per 1 januari 2016 actief. Toch merk ik dat veel bedrijven nog niet weten wat deze wet inhoudt. Daarom zal ik in dit artikel proberen een vertaling naar uw organisatie te maken.
Ontstaan van meldplicht datalekken
Enkele jaren geleden werden de certificaten van Diginotar gehackt. Dit bedrijf verzorgde de certificaten voor de overheid. Door deze hack konden de hackers zich voordoen alsof ze de overheid waren. U kunt zich voorstellen hoe groot de impact hiervan is geweest.
Daarbij kwam het verhaal dat alles lange tijd ontkend werd, totdat extern onderzoek uitwees dat de certificaten inderdaad gehackt waren. Met name het niet onder ogen willen zien van een mogelijke hack en het onder de pet houden, wil de overheid strenger gaan straffen.
Indien u nu data lekt en u houd u niet aan de wet, dan riskeert u een boete tot 10 procent van de jaaromzet per overtreding met een maximum van €820.000,-.
Wat is een datalek
De definitie van een datalek is nogal breed. Hierbij een aantal voorbeelden om duidelijk te maken wat onder een datalek kan vallen:
- Het verliezen van gegevensdragers, zoals een USB-stick waarop persoonsgegevens staan.
- Het per ongeluk sturen van een nieuwsbrief, waarbij de mailadressen niet afgeschermd zijn middels het BCC veld.
- Het sturen van een e-mail met persoonsgegevens naar een verkeerde afzender.
- Uw website wordt gehackt en op deze website staat een klantendatabase.
- Een virus op uw PC, dat data weg sluist.
- Verlies van gegevens door bijvoorbeeld brand, omdat de (externe) backup niet in orde is.
- Medewerkers hebben toegang tot te veel data. U kent misschien nog het voorbeeld van een medewerker bij de politie, die op de server bij veel meer gegevens kon komen dan de bedoeling was. Zo kon er door hem gevoelige informatie verstrekt worden aan criminelen.
Waar zit het grootste gevaar bij datalekken?
De mens is de zwakste schakel. Er zijn voorbeelden bekend waarbij het mis ging terwijl een bedrijf een zeer goed beveiligde omgeving had. Gebruikers wisten precies hoe ze met data om moesten gaan, maar deze regels uit gemakzucht een enkele keer overtraden.
Een stuk moest voor morgenochtend 8:00 klaar zijn. Jaap besluit het stuk die zelfde avond thuis af te maken, en mailt het naar zijn privé mailadres. Thuis slaat hij het bestand op en maakt het verder klaar. Tenslotte mailt hij het aangepaste document weer terug naar zijn werk en schoont het bestand netjes op van zijn privé pc. Jaap heeft niet door dat zijn pc het bestand geback-upt heeft naar zijn NAS. Enkele maanden later wordt er ingebroken op zijn NAS, waarbij alle gegevens ontvreemd worden.
Andere voorbeelden zijn:
- Te makkelijke wachtwoorden.
- Een moeilijk wachtwoord dat via een memo opgeplakt aan een monitor of aan de onderkant van het toetsenbord.
- Wachtwoorden worden aan collega’s verstrekt en niet aangepast bij het uit dienst gaan.
Wat bent u verplicht om te doen tegen datalekken?
Indien u persoonsgegevens hebt opgeslagen op uw netwerk, zijn er een aantal beschermingsmaatregelen aanbevolen of zelfs verplicht. Het CBP heeft uitgebreide richtlijnen opgesteld, die u hier kunt nalezen.
ICTzaak kan u op verschillende manieren helpen om u te beschermen tegen onbedoeld datalekken. Tot de mogelijkheden behoren diensten als back-up controle, virusscanners, onderhoudscontracten om uw systeem up- to-date te houden, veiligheidscertificaten, encryptie en versleuteltechnieken. Ook denken we graag mee op het gebied van beveiliging van uw mappenstructuur.
Neem gerust contact op met één van onze specialisten om u te laten adviseren betreffende de wet bescherming persoonsgegevens.
