Hoe zit het met:De wet meldplicht

datalekken

Robbert HoendervangerAccountmanager

Aces: Kennis, vertrouwen, servicegerichtheid en projectmatig werken als basis voor succes

De vraag is niet óf u een datalek krijgt, maar wanneer!

Sinds januari 2016 is er veel veranderd op het gebied van de privacy wetgeving. Dat heeft impact op uw organisatie. Sinds 1 januari 2016 bent u namelijk verplicht om een ‘onbedoeld’ datalek direct te melden bij Autoriteit Persoonsgegevens.

Wat is een ‘onbedoeld’ datalek?Een ‘onbedoeld’ datalek is volgens de wet: toegang, vernietiging, wijziging, vrijkomen van persoonsgegevens zonder dat dit de bedoeling is.Onder een datalek valt niet alleen het vrijkomen van gegevens, maar ook onrechtmatige verwerking van gegevens. Een ‘onbedoeld’ datalek is een erg ruim begrip. U heeft al met een datalek te maken bijvoorbeeld als:

• Er een USB stick is kwijtgeraakt;• Een laptop is gestolen; • Een mailbericht bij de verkeerde persoon is aangekomen; • Loslippige medewerkers; • Menselijke fouten; • Ongeautoriseerde toegang ( inbraak door hackers); • Een calamiteit zoals een brand in een datacentrum; • Een malware-besmetting;

Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals emailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller.

Kortom eem Datalek is:Het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een ondertrouwd publiek.

Maar ook (in de ogen van CBP): Het ontoegankelijk maken van Informatie.

Zijn de gegevens blootgesteld aan verlies of onrechtmatige verwerking?

Meldplicht en registratieU bent bij wet verplicht om alle incidenten direct te melden aan de Toezichthouder. Daarnaast bent u verplicht om alle incidenten te registreren. Er zijn veel aspecten die specifiek beschreven moeten worden.De incidenten waarbij Betrokkene (uw klanten of derden) privacy gevolgen aan kunnen overhouden moeten ook aan hen gemeld worden.

Inhoud van de melding aan CBP En aan betrokkenen:- Aard van de inbreuk- De instantie waar meer informatie over de inbreuk gekregen kan worden- De aanbevolen maatregelen om negatieve gevolgen van de inbreuk te beperken- De geconstateerde en de vermoedelijke gevolgen van de inbreuk- De maatregelen die zijn getroffen

Uitzonderingen:- Passende technische maatregelen waardoor gegevens onbegrijpelijk en ontoegankelijk zijn.

Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:

• inloggegevens;• financiële gegevens;• kopieën van identiteitsbewijzen;• school- of werkprestaties;• gegevens die betrekking hebben op levensovertuiging;• gegevens die betrekking hebben op gezondheid.

Wanneer moet je een datalek melden aan de getroffenpersonen?Indien het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dien je - naast de melding aan de toezichthouder - het lek tevens binnen twee werkdagen te melden aan de personen waarvan de gegevens zijn gelekt. Dit zullen in de meeste gevallen klanten zijn. Ongunstige gevolgen zijn bijvoorbeeld:

• identiteitsfraude;• discriminatie;• reputatieschade.

Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens

Wat kost een Datalek?Gekoppeld aan boete categorieën Wetboek van Strafrecht• Bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie WvS, per 1/1/2016 € 820.000 of 10% jaaromzet!• Bepalingen uit de Wbp hebben elk een boete categorie gekregen, per categorie is er een bandbreedte• Basisboete en mogelijke verhoging en verlaging. • Laagste boete is € 0,-

Relevante factoren: • Aard en omvang van de overtreding• Duur van de overtreding• Impact van de overtreding op betrokkenen en/of de maatschappij• Verwijtbaarheid: Opzet of verwijtbare nalatigheid• Omstandigheden waaronder overtreding is gepleegd• Financiële omstandigheden overtreder

Boete verhogend:- Reeds eerder onherroepelijk een zelfde of vergelijkbare overtreding begaan

+50%- Overtreder heeft onderzoek door Autoriteit Persoonsgevevens (AP/CBP) tegengewerkt- Niet nakomen bindende aanwijzing

Boete verlagend:- Overtreder werkt beter mee dan wettelijk verplicht- Overtreding uit eigen beweging beëindigd voor of bij eerste bekendwording met het onderzoek van AP- Overtreder heeft uit eigen beweging betrokkenen schadeloos gesteld

Voorbereiding(en) (zou onderdeel moeten zijn van configuratie- asset management)• Breng in kaart welke systemen persoonsgegevens bevatten, en van welke categorie deze zijn.• Breng in kaart wie betrokken zijn bij het beheer.• Maak met externe beheerpartijen (ook datacenters) afspraken over het melden van datalekken.• Uitgangspunt is dat de ‘verantwoordelijke’ meldt!

ChecklistOm u op weg te helpen hebben wij een checklist gemaakt. Het doel van deze checklist is bewustwording te creëren.

• Persoonsgegevens (welke persoonsgegevens verwerkt uw organisatie)• Dataclassificatie (wie mag waarbij)• Identity & access management (beperk wie waarbij mag komen)• Fysieke toegang tot ruimtes (sleutelplan, afspraken over ruimtes)• Mobiele toegang (wie mag vanuit huis werken, zijn alle smartphones beveiligd?)• Datavernietiging (bewaar niet eeuwig de persoonsgegevens)• Beleid (Werkplekken, Smartphones, Social Media, Communicatie)• Hardware afvoeren (oude PC’s, laptops etc.. veilig laten afvoeren)• Inventariseer of een cybersecurityverzekering gewenst is. • Contractuele afspraken (Ga met uw klanten en leveranciers in gesprek)• Infrastructuur (Welke systemen zijn in gebruik zoals servers, applicaties en

locaties).

Vervolg Checklist • Heeft u een duidelijk beeld hoe uw medewerkers omgaan met

wachtwoorden, toegang tot informatiesystemen en de verwerking van privacy gevoelige gegevens?

• Zijn er Clouddiensten voor het verwerken of opslaan van persoonsgegevens in gebruik?

• PIA (Laat een Privacy Impact Assessment uitvoeren).• Monitoring (Worden privacy incidenten nu aangekaart?).• Interne processen (Ga na of alle processen waar persoonsgegevens gebruikt

worden veilig uitgevoerd worden).• Opvoeding (Weten uw medewerkers alles over dit onderwerp? Hoe ze

meldingen moeten maken? • Weet u wat u moet doen als de Toezichthouder komt controleren?• Privacy Officer (Wie gaat er binnen de organisatie verantwoordelijke worden

voor al het voorgaande.• Stel een datalekprotocol op (stel een datalekteam samen)

Kortom: Is uw bedrijf in staat binnen 24/72 uur na een incident en/of datalek een volledige melding met rapportage door te voeren. En kunt u de juiste (aantoonbare) tegenmaatregelen te treffen?

Zoals al aangegeven: Indien het CBP bij een datalek of incident concludeert dat u aantoonbaar nalatig bent kan het een boete van 820.000 euro of 10% van de omzet opleggen.

Technische maatregelenBewustwording, Beleid en procedures zijn (de eerste) essentiële stappen die gezet moeten worden. Enkele technische maatregelen waar u aan kunt denken zijn:

• Content scanning Firewalls• Pas (beheersbare) encryptie toe (bestanden, mailverkeer, externe devices) • Fysieke beveiliging in orde maken• Disable opstarten vanaf CD, USB, Network, enz… )• Alle wachtwoorden regelmatig randomizen• Lokale admin accounts deactiveren• Voer MDM met remote wipe en device encryptie in• Gebruik 2-factor of Multi-Factor Authenticatie• Herstarten na inloggen als admin• Geen elevated service accounts gebruiken voor inventarisatie doeleinden en

remote admin taken

Zorg tevens voor:Controleer verkeer

Centrale firewall SSL scanning & IDSInternet (WAN) verkeer

LoggingSyslogRapportage

Pas voor zowel de procedure als technische aanpak het Plan-Do-check-Act cyclus van Deming toe!

Meer info? Bel Aces

Tel 040 - 264 53 00

www.aces-it.nl

Aces in het kort:

–Opgericht in 1996 – Trusted Advisor en ICT specialist–Actief bij 40+ gemeenten–Actief binnen de (food) Industrie–Opererend vanuit kantoor Eindhoven –Partner van alle toonaangevende vendoren–Open en informele bedrijfscultuur

–Kennis, vertrouwen, servicegerichtheid en onze aanpak als basis voor succes.

Waarom AcesHet succes van de oplossing ligt niet alleen in een perfect concept en de aangeboden hard- en software. Essentieel is de Aces ervaring met vergelijkbare projecten op IT infrastructuur gebied. Aces heeft meerdere gekwalificeerde specialisten in dienst zowel op gebied van ontwerp, installatie/configuratie als support/beheer. Aces streeft naar een optimaal resultaat door daarbij steeds de pragmatische kant te kiezen.

DISCLAIMER

Ondanks de constante zorg en aandacht die wij aan onze presentaties besteden, is het mogelijk dat informatie die is beschreven onvolledig of onjuist is.

Wij kunnen er niet voor instaan dat de informatie uit deze presentatie geschikt is voor het doel waarvoor deze door u wordt geraadpleegd. Alle informatie wordt aangeboden in de staat waarin deze zich feitelijk bevindt en zonder enige (impliciete) garantie of waarborg ten aanzien van haar deugdelijkheid en geschiktheid voor een bepaald doel of anderszins.

Wij sluiten alle aansprakelijkheid uit voor enigerlei directe of indirecte schade, van welke aard dan ook, die voortvloeit uit of in enig opzicht verband houdt met het gebruik van deze presentatie. Aces is niet aansprakelijk voor direct of indirecte schade die het gevolg is van het gebruik van informatie die door middel van deze presentatie is verkregen.