Reportages

Meldplicht datalekken op komst: wat betekent dat voor jou?

0

Stel: je mailt een lijst met NAW-gegevens van klanten aan de verkeerde collega. Of je verliest een USB-stick met daarop alle mailadressen van de leden van jouw club. Of je laat een tas met een medisch dossier van een patiënt in een restaurant slingeren. Wanneer moet je dit melden aan de privacy waakhond CBP? Wanneer moet je de mensen over wie het gaat op de hoogte stellen? En, wanneer moet je melden dat je gehackt bent en er mogelijk persoonsgegevens gelekt zijn? Op deze vragen probeert het wetsvoorstel Meldplicht datalekken antwoord te geven.

Als iets duidelijk werd op de Intermax-bijeenkomst over het wetsvoorstel Meldplicht datalekken op 3 juni, dan is het dat de antwoorden op deze vragen niet in steen gehouwen zijn. Alles is een kwestie van goed voorbereid zijn en van het maken van eigen afwegingen. Daarom moet je goed ingelicht te zijn. Dirk Rinsema (senior privacy advisor Deloitte) en Ludo Baauw (directeur strategie & innovatie Intermax) gaven een eerste inleiding op het wetsvoorstel.

Het wetsvoorstel

Het wetsvoorstel Meldplicht datalekken beoogt aan de huidige Wet bescherming persoonsgegevens (Wbp) een meldplicht voor ‘inbreuken op beveiligingsmaatregelen voor persoonsgegevens’ toe te voegen. Deze Wbp is de Nederlandse invulling van de Europese richtlijn 95/46/EG (de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens).

Het wetsvoorstel is onlangs aangenomen door de Eerste Kamer en zal waarschijnlijk per 1 januari 2016 in werking treden. In de eerste zes maanden van 2016 zal de nieuwe Wbp waarschijnlijk nog niet gehandhaafd worden – om zo iedereen dee kans te geven te benodigde wijzigingen in de eigen organisatie en de technologie door te voeren – maar vanaf 1 juli 2016 moeten wij allen voldoen aan de nieuwe bepalingen. De wet lijkt op de gewijzigde Telecomwet, die leidde tot een boete van 364.000 euro voor KPN wegens onvoldoende beveiliging van klantgegevens, zoals recentelijk naar buiten kwam. De maximale boete in het nieuwe wetsvoorstel voor niet op tijd melden is 810.000 euro.

Stap 1: melden aan het CBPlook through numbers on credit card by padlock

Het belangrijkste element binnen het nieuwe wetsvoorstel is een meldplicht voor iedereen die persoonsgegevens van derden opgeslagen heeft in het geval van een inbreuk op de data. Deze meldplicht is tweeledig: aan het College Bescherming Persoonsgegevens en in sommige gevallen ook aan alle betrokkenen. De meldplicht aan het CBP is breed en gaat niet alleen om hacks van kwaadwillende hackers. Inbreuken op de beveiliging van de persoonsgegevens moeten worden doorgegeven als deze een aanzienlijke kans hebben op nadelige gevolgen voor de privacy van personen. Voorbeelden hiervan zijn verlies van data (bijvoorbeeld een verloren USB-stick met persoonsgegevens) en data die in verkeerde handen vallen (bijvoorbeeld een per ongeluk verzonden email binnen de eigen organisatie met persoonsgegevens aan niet-geautoriseerde personen of het fysiek op straat komen te liggen van dossiers met persoonsgegevens).

Deze inbreuk moet bovendien ‘ernstig’ zijn – en wat ernstig is, is een eigen afweging. Men dient zichzelf af te vragen welke data is uitgelekt (bijvoorbeeld NAW-gegevens of patiënt-gegevens) en hoeveel data is uitgelekt. Een lek van 150 mailadressen van leden van de korfbalvereniging hoeft niet gemeld te worden. Een lek van creditcardgegevens van anderhalf miljoen mensen moet zeker doorgegeven worden.

Termijn: 24 uur

Over de termijn waarbinnen de melding aan het CBP plaats dient te vinden, is het wetsvoorstel onduidelijk: het moet ‘onverwijld’gebeuren. In de interpretatie van de gewijzigde Telecomwet wordt een termijn aangehouden van 24 uur.

De melding die binnen 24 uur gedaan moet worden, betreft niet alleen het verstrekken van zakelijke informatie over wat er gebeurd is. De instelling moet ook onmiddellijk klaar staan om vervolgvragen te beantwoorden en aanvullende informatie te verstrekken. Ook moet men kunnen aangeven welke maatregelen al genomen zijn om het lek te dichten en om de impact van het lek te verminderen. Tot slot moeten ook de gevolgen beschreven worden van het lek voor degenen van wie de gegevens gelekt zijn.

Altijd zelf verantwoordelijk

Hoewel veel bedrijven hun beveiliging uitbesteed hebben aan een zogenaamde ‘bewerker’ betekent dit niet dat ook de verantwoordelijkheid daarmee uitbesteed is. Ten alle tijden blijven de organisaties zelf aansprakelijk.

Bereid je voor

Dit betekent dat alle organisaties die over persoonsgegevens van derden beschikken, zich moeten voorbereiden op de gevolgen van het wetsvoorstel. Ze moeten een manier hebben om datalekken razendsnel te signaleren en te rapporteren – in ieder geval moet je melden om wat voor gegevens het gaat, om hoeveel gegevens het gaat en tot welke categorie mensen de betrokken behoren. Er moet een team klaar staan met daarin een ICT/security-specialist, een jurist en een communicatie-deskundige. De laatste is van belang om de onvermijdelijke reputatieschade die optreedt bij datalekken te beperken. Daarnaast moet er een logboek met datalekken bijgehouden worden.

De beste voorbereiding is altijd om maatregelen te treffen die persoonsgegevens ontoegankelijk dan wel onbegrijpelijk maken, bijvoorbeeld door de gegevens te encrypteren.

Stap 2: betrokkenen op de hoogte stellen

Als er als gevolg van het datalek waarschijnlijk ongunstige gevolgen zullen optreden voor de persoonlijke levenssfeer van de betrokkenen dienen zij ook op de hoogte te worden gesteld. Ook hier moet een afweging gemaakt worden. Gaat het in het datalek om mobiele nummers, dan zijn er over het algemeen niet veel ongunstige gevolgen te verwachten voor de betrokken. Maar als het gaat om  mobiele nummers van bekende Nederlanders, kunnen de gevolgen plotseling wel ongewenst zijn. Door het datalek kunnen dan stalkers en andere kwaadwillenden BN-ers lastig vallen. Indien er financiële schade kan optreden voor de betrokken of bepaalde vormen van immateriële schade, zoals het openbaar worden van patiëntgegevens, dan moeten de betrokken zeker op de hoogte gesteld worden. Zijn de persoonsgegevens die gelekt zijn versleuteld, dan hoeft het op de hoogte stellen weer niet.

Het bericht dat aan de betrokkenen verstuurd wordt moet in ieder geval vertellen wat er gebeurd is, waar men meer informatie kan krijgen en wat men zelf eraan kan doen om de gevolgen de verminderen, zoals het wijzigen van wachtwoorden als wachtwoorden uitgelekt zijn.

Het is belangrijk om in alle gevallen eerst het CBP in te lichten en pas daarna de betrokken. Het CBP kan dan een advies geven over het al dan niet moeten informeren van de betrokkenen.

Hogere boetes

In de huidige wet Wbp zijn de boetes voor overtredingen die gevolgen hebben voor de privacy van derden maximaal 4.500 euro. Bedrijven als Google en Apple lachen om zulke bedragen. In het nieuwe wetsvoorstel kunnen door het CBP boetes worden uitgedeeld van maximaal 810.000 euro of maximaal 10% van de omzet van de overtreder. Het is aan het CBP om te bepalen of een vast bedrag of een percentage van de omzet wordt gekozen als strafmaat.

Jura mit GeldHoe groot is de kans op boetes?

De kans dat het CBP daadwerkelijk veel boetes gaat uitdelen, lijkt echter niet zo groot. Om te beginnen wordt er in de regel niet meteen gestraft. Vaak volgt eerst een bindende aanwijzing hoe er onderdelen van de bedrijfsvoering veranderd moeten worden die niet voldoen aan de Wbp. Deze bindende aanwijzing moet binnen een redelijke termijn worden uitgevoerd, zo niet volgt er een boete. Overigens volgt wel onmiddellijk een boete als het niet voldoen aan de Wbp niet voorkomt uit onkunde maar uit een bewuste keuze om de wet niet na te volgen.

Ook is er een kleine pakkans. Bij het CPB werken ongeveer 80 mensen waardoor het onwaarschijnlijk is dat alle Nederlandse organisaties onder een vergrootglas komen te liggen.

Wat is het belang van het wetsvoorstel?

Het wetsvoorstel kent weinig harde aanknopingspunten. In het geval van datalekken dienen organisaties zelf een afweging te maken of het datalek gemeld moet worden aan het CBP en of zij, indien zij daartoe besluiten, ook de betrokkenen moeten inlichten. Het is maar zeer de vraag of er boetes daadwerkelijk opgelegd gaan worden of dat het CBP zich gaat beperken tot het uitdelen van gele kaarten. Daarbij is het niet duidelijk wat de houdbaarheidsdatum van de wet is. Zodra er nieuwe Europese regelgeving komt die de huidige richtlijn 95/46/EG vervangt, kan het wetsvoorstel weer de prullenbak in. Die nieuwe wetgeving wordt uiterlijk volgend jaar verwacht.

Een echte doorbraak?

Toch wordt het wetsvoorstel gezien als een doorbraak. Het is een pressiemiddel om bewustwording over datalekken en het belang van privacy af te dwingen bij organisaties. Waar nu ICT-specialisten vaak te horen krijgen dat het onderwerp niet van belang is omdat de boetes in geen verhouding staan tot de investeringen die nodig zijn om persoonsgegevens adequaat te beschermen, bestaat er nu een instrument om deze bescherming wel af te dwingen. Mogelijke boetes van 810.000 euro of 10% van de omzet zijn serieuze argumenten.

Het wetsvoorstel is daarbij een afspiegeling van het steeds grotere belang dat de brede bevolking hecht aan het voorkomen van datalekken. Het thema is mainstream geworden, zoals te zien is aan het steeds vaker opduiken van cybercrime in televisieprogramma’s – denk bijvoorbeeld aan CSI: Cyber. Het is daarom tijd ook zelf de bescherming van persoonsgegevens van derden zeer serieus te nemen. Als het nieuwe wetsvoorstel met bijbehorende boetes niet motiveert dan zou het risico op ernstige reputatieschade dat moeten doen. Hoe ga jij dit aanpakken?

Foto’s met dank aan Fotolia