Omgaan met datalekken
Geschreven door Ronald Kubbe op 07-07-2017

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) komt dan te vervallen. Met deze Algemene verordening verandert het volgende:

• versterking en uitbreiding van privacyrechten;
• meer verantwoordelijkheden voor organisaties;
• dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

De uitbreiding van de verantwoordelijkheid voor organisaties houdt in dat er meer nadruk gelegd wordt op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Hierbij is er een documentatieplicht ingesteld, Dit houdt in dat organisaties met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Organisatorische maatregelen
De organisatorische maatregelen die genomen kunnen preventieve, repressief en correctief van aard zijn. Preventieve maatregelen zijn alle activiteiten die genomen worden ter voorkoming van een datalek. Denk hierbij aan het geven van voorlichting om het bewustzijn in de organisatie te vergroten. Repressieve maatregelen zijn gericht op het controleren van de naleving van de afspraken met als doel ongewenste situaties op te sporen. Een voorbeeld hiervan kan het uitvoeren van audits zijn. Een correctieve maatregel wordt getroffen nadat een overtreding begaan wordt. Op dit moment dient het datalek gemeld te worden aan de Autoriteit Persoonsgegevens. Hiervoor dienen procedures ingericht te zijn zodat bekend is welke weg bewandeld dient te worden in de organisatie.

Een mooi voorbeeld dat ik tegengekomen is het volgende artikel in iBestuur - samenwerken beperkt datalekken. In dit artikel wordt er vanuit gegaan dat je datalekken niet kunt voorkomen maar wel beperken. Je moet je organiseren op het voorkomen van datalekken (preventie) maar wel vanuit het uitgangspunt dat het niet meer te voorkomen is. Je moet je dus ook organiseren op de situatie dat er een datalek is (correctief). Werk hierbij met scenario's, richt een crisisorganisatie in en oefen hiermee. De handreiking voor het afhandelen van datalekken en factsheet onderin het document zijn goede praktische voorbeelden van respectievelijk een correctieve maatregelen (wat moet je doen als er een datalek is) en preventieve maatregel (gericht op voorlichting).

Technische maatregelen
Naast de organisatorische maatregelen dien je ook technische maatregelen te nemen om aan de AVG te voldoen (en dit moet je kunnen aantonen). Deze maatregelen zijn gericht op

• Toegangsbeheer (toegang tot de applicaties)
• Autorisatiebeheer (welke medewerkers toegang tot welke data hebben)
• Logging (wie heeft welke gegevens op welk moment geraadpleegd)

Denk hierbij niet alleen tot directe toegang tot de informatie in de applicaties, maar ook aan (indirecte) toegang tot deze informatie via rapportage applicaties en datawarehouses. In dit kader kunnen extra technische maatregelen zoals pseudonimisering en anonimisering gebruikt worden. Met een van onze klanten zijn we bezig om een architectuur vorm te geven waarin deze maatregelen toegepast worden. Vanzelfsprekend worden de eerdere genoemde maatregelen ook bij deze informatiesystemen meegenomen.

Tijd om in actie te komen
25 mei 2018 lijkt ver weg maar met de uitbreiding van de verantwoordelijkheid is er werk aan de winkel. Het nemen van de juiste organisatorische en technische maatregelen, deze inbedden in de organisatie en documenteren zal de nodige tijd kosten.