013 8200254       Informatie MA-VR 8.30 uur - 17.00 UUR       Servicedesk MA-VR 7.30 uur - 18.00 UUR

Op 13 oktober jongstleden organiseerde CompX ICT & Telecom samen met MannaertsAppels Advocaten het seminar Meldplicht Datalekken.

Bewustwording

Björn de Beer, commercieel directeur bij CompX ICT & Telecom verwelkomt alle deelnemers van het seminar en benadrukt dat de middag in het teken staat van bewustwording en dat voorkomen beter is dan genezen.

Wanneer moet je een datalek melden?

Leonard Bijlsma, advocaat bij MannaertsAppels Advocaten vertelt meer over de Wet bescherming persoonsgegevens (Wbp). Ook vertelt hij dat het niet eenvoudig is vast te stellen wanneer je een melding moet maken van een datalek aan de Autoriteit Persoonsgegevens en/of aan de betrokkene. “In de wet staat dat melden van een inbreuk op de beveiliging aan de Autoriteit Persoonsgegevens verplicht is als die inbreuk leidt tot en ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’.” Bijlsma vervolgt: “De vraag is dan wat de Autoriteit Persoonsgegevens onder aanzienlijke kans en ernstig nadeel zal verstaan. Daarvoor zijn als hulpmiddel beleidsregels opgesteld, maar deze zijn lang niet overal even helder.” Bijlsma onderstreept allereerst het belang van eigen beleid op dit punt. “Het maakt uit of je kunt laten zien dat erover nagedacht is. Stel een protocol op voor het veilig omgaan met persoonsgegevens en leg ook een procedure vast voor als het fout gaat. Je moet “onverwijld” melden. Daarvoor moet je een aanpak in huis hebben.

Verder zijn er verschillende ‘gevoeligheden’ in het spel, legt Bijlsma uit. Een datalek van NAW-gegevens is over het algemeen minder gevoelig dan een datalek waarbij gegevens over iemands gezondheid, ras, politieke overtuiging of seksuele voorkeur bij betrokken zijn. Of bijvoorbeeld financiële gegevens, zoals iemands salaris. “Dus als je onbeveiligde laptop uit je auto wordt gestolen met daarop je complete financiële administratie, dan moet je dat vrijwel zeker melden.”
In de zaal leven nogal wat vragen over de rol van de externe bewerkers van gegevens. Bijlsma is hier heel duidelijk over: “Je kan uiteraard een bewerker opdracht geven persoonsgegeven voor je te verwerken, maar dat ontslaat je niet van je verantwoordelijkheid”. Gaat er bijvoorbeeld ergens in de cloud bij een dienstverlener iets mis met jouw persoonsgegevens, dan ben en blijf jij verantwoordelijk voor het melden van het datalek. “Zorg daarom ook voor een goede bewerkersovereenkomst”, is het advies van Bijlsma.
Seminar Meldplicht Datalekken groot succes - schema Wet bescherming persoonsgegevens

Vrijstellingsbesluit Wbp

Vanuit de zaal komen er ook meer vragen over wat wel en niet mag. Bijlsma wijst op het Vrijstellingsbesluit Wbp en voegt daar aan toe dat het een mooie, gezonde manier is om eens met de “privacybezem” door je bedrijf te gaan. Hij wijst de deelnemers in de zaal ook op de Handreiking Vrijstellingsbesluit Wbp die je helpt om te beoordelen of een verwerking van persoonsgegevens is vrijgesteld van de wettelijke meldingsplicht bij de Autoriteit Persoonsgegevens. Is je gegevensverwerking vrijgesteld? Dan hoef je niets te melden. “En er zijn nogal wat vrijstellingen.” Aldus Bijlsma.

Hoe voorkom je een datalek?

Vaak is een menselijke fout de oorzaak van een datalek. Probeer zo veel mogelijk deze menselijke fouten te voorkomen, bijvoorbeeld door een goed beheer van gebruikersrechten, stelt Bijlsma. “Zorg ervoor dat niet iedereen bij alle persoonsgegevens kan, maar alleen degene die er ook daadwerkelijk mee werken”. Maar denk daarbij ook aan het zo veel mogelijk voorkomen van misbruik van toegangsrechten. Bijvoorbeeld doordat een admin-password wordt achterhaald of omdat een medewerker in strijd met de regels zijn password aan een collega had gegeven.” Aldus Bijlsma.

Willem van de Wiel, security expert bij CompX ICT & Telecom vult aan: “Wij weten precies wie welke rechten heeft en wie, wat, waar en wanneer wat met die rechten doet.” Een andere, daarmee verbonden vraag is of iedereen nog wel de juiste rechten heeft. “Vaak zie je dat medewerkers na verloop van tijd veel meer rechten hebben dan ze voor hun actuele werk nodig hebben. Dat schept risico’s.”

Je kunt een datalek nooit helemaal uitsluiten, maar wel het risico daarop beperken. Alles staat of valt wat dit aangaat bij een goed overzicht van wat er op je netwerk gebeurt, benadrukt Van de Wiel. “Bij CompX monitoren wij 24/7 wat er op ons netwerk gebeurt. Daardoor weten wij al snel wanneer er een lek ontstaat en kunnen wij daar direct naar handelen.”

Wie is er verantwoordelijk voor data?

Er is nog nooit een hack geweest zonder dat een gebruiker ergens iets fout heeft gedaan. Daarom gelooft Van de Wiel niet in hacken. “Ik geloof in fouten van mensen. Je kunt niet zomaar, zonder enige menselijke tussenkomst, ergens binnenkomen.” Van de Wiel legt met deze statements direct de vinger op de zere plek. Die plek heet verantwoordelijkheid. “De vraag wie de grootste pijn heeft als het mis gaat. Dat is de verantwoordelijke. In veel organisaties is dat – tot dat moment – helemaal niet zo duidelijk.” Van de Wiel onderscheid vijf niveaus van mogelijke ‘eigendom’ dan wel eindverantwoordelijkheid:

  1. De organisatie als geheel, vertegenwoordigd door de CEO of Raad van Bestuur
  2. De proceseigenaar
  3. De eigenaar van de applicatie
  4. De IT-afdeling
  5. De eigenaar van de data

Hij wijst vervolgens op het belang om de datastromen van een organisatie beter in kaart te brengen, de mate van gevoeligheid daarvan te benoemen en vast te stellen wie voor welke data verantwoordelijkheid draagt. “Dat is dan ook degene die voor de beveiliging zorg dient te dragen.”

De Beer sloot de bijeenkomst af door te signaleren dat er nog veel vragen bestaan over de meldplicht. “Dit is ons eerste seminar over dit onderwerp. We hebben het naast de risico’s vooral gehad over de feitelijke aanpak. Het bleek dat er veel behoefte is aan verdiepende informatie over informatiebeveiliging. Wij zullen die ook in de toekomst blijven aanbieden aan onze klanten en relaties.”

Voordat we met z’n allen gaan genieten van een hapje en een drankje, wil De Beer de deelnemers van het seminar nog één boodschap meegeven in het teken van ‘bewustwording’. Bekijk hieronder het filmpje.

2 Responses
  1. […] Op 13 oktober 2016 organiseerde CompX ICT & Telecom samen met MannaertsAppels Advocaten het seminar Meldplicht Datalekken. Het seminar was een groot succes een stond volledig in het teken van ‘bewustwording’. Het verslag van dit seminar kunt u op onze website lezen: “Seminar Meldplicht Datalekken groot succes“. […]

Leave a Reply