Datalekken en het beveiligen van persoonsgegevens

Datalekken: dit moet je weten
Sinds 1 januari dit jaar is het onderwerp datalekken actueler dan ooit, en heeft iedereen het erover. Er is namelijk een wijziging Wet Bescherming Persoonsgegevens vanaf 2016. Maar wat zijn datalekken, en belangrijker, wat kun je er tegen doen? Wij hebben de feiten voor je op een rijtje gezet om je op weg te helpen. Het is belangrijk dat elk bedrijf nadenkt over het voorkomen van datalekken.

Bijna iedereen gebruikt zakelijk een Smartphone en/of laptop en daar staat vaak gevoelige informatie op zoals persoonsgegevens. Je wilt niet dat deze gegevens op straat komen te liggen of in verkeerde handen komen. En toch is de kans voor iedereen heel reëel dat dit wel gebeurt als er geen maatregelen worden genomen. In een eerdere blogpost hebben we tips om zelf je telefoon te beveiligen gegeven.

Wat is een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Maar ook een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker kan tot de noemer ‘datalekken’ gerekend worden.

Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie mag dan wel kostbare informatie zijn, maar vallen niet onder de gangbare definitie van datalek, omdat het hier (normaliter) niet om persoonsgegevens gaat.

Voorbeelden van persoonsgegevens
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers of enkel postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Dit houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben ontdekt. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Boete
Sinds de Wet Meldplicht Datalekken in werking is getreden op 1 januari 2016 mag de privacy toezichthouder aanzienlijk hogere boetes opleggen: theoretisch tot € 820.000 euro (hoogste categorie) of, als dat niet passend is, 10% van de netto jaaromzet van de rechtspersoon. Bij een overtreding van de WBP wordt een bestuurlijke boete van de 2e categorie opgelegd (met een maximum van € 500.000 euro). De Autoriteit Persoonsgegevens heeft de beleidsregels met betrekking tot meldplicht datalekken gepubliceerd.

Mogelijke extra kosten na datalek
Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de brede meldplicht zullen fouten eerder bekend worden. Dat zal leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

Voorkomen
Enkele vragen die je kunt stellen om te bepalen of jouw bedrijf (extra) maatregelen moet nemen om datelekken te voorkomen zijn:

  • Op welke manier heb je toegang tot persoonsgegevens?
  • Waar en hoe worden die gegevens opgeslagen?
  • Wat gebeurt er bijvoorbeeld met data als een medewerker uit dienst gaat?
  • Wat doe je als er een smartphone, laptop of USB verloren raakt of wordt gestolen?

Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken volgens de Wet Bescherming Persoonsgegevens (WBP) beveiligen. De WBP geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne technieken moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. De beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Enterprise Mobility Management
Door gebruik te maken van een Enterprise Mobility Management (EMM) oplossing kunnen alle laptops, smartphones en tablets eenvoudig op afstand beheerd en beveiligd worden. Zakelijke data kan bijvoorbeeld gescheiden worden van privé d.m.v. een virtuele container die op het toestel geïnstalleerd wordt. Wanneer een toestel kwijt raakt of een iemand uit dienst gaat, kan de zakelijke informatie eenvoudig op afstand van het toestel gewist worden. Hierdoor kan de kans op datalekken beperkt of voorkomen worden.

Advies
PHC kan je adviseren over de mogelijkheden om EMM in jouw bedrijf in te zetten. Want je wilt natuurlijk geen boete, maar nog belangrijker: je wilt niet dat je organisatie bekend staat als een bedrijf waar data gelekt wordt. Wil je meer weten over EMM of MDM, dan staan we je graag te woord.