Meldplicht datalekken: is de angst terecht?
Alsof flinke reputatieschade nog niet genoeg is, kunt u sinds de start van het nieuwe jaar ook een forse boete tegemoet zien als de gegevens van uw klanten op straat komen te liggen. Wie te maken krijgt met een datalek en niet kan aantonen dat daar voldoende beveiligingsmaatregelen voor getroffen waren, gaat aan de (financiële) schandpaal. Logisch dat veel organisaties bang zijn om in zo’n situatie terecht te komen. Maar is die angst wel terecht?
Het Sint Anna Ziekenhuis in Geldrop en het Canisius-Wilhelmina Ziekenhuis in Nijmegen hadden de twijfelachtige eer om als één van de eerste organisaties de aangescherpte Wet Bescherming Persoonsgegevens (Wbp) toe te moeten passen. De aanscherping staat in de volksmond bekend als de Meldplicht Datalekken en schrijft voor dat organisaties een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zich een datalek voordoet. Soms moet het datalek ook gemeld worden aan de betrokkenen wiens persoonsgegevens zijn gelekt. Een forse boete en flinke reputatieschade kunnen het gevolg zijn van de melding bij de autoriteiten.
Het beveiligingsincident bij de beide ziekenhuizen is één van de schaarse voorbeelden van de aangescherpte wet in de praktijk. Eigenlijk is nog maar nauwelijks duidelijk hoe ver de beleidskaders van de Meldplicht Datalekken reiken. Organisaties slaan de ontwikkelingen rondom deze wet daarom met angst gade, want in de steeds verder gedigitaliseerde samenleving wordt de kans op een beveiligingsincident steeds groter.
Toch is angst ook in dit geval een slechte raadgever. Er zijn talrijke mogelijke maatregelen om een organisatie te beschermen voor een datalek, maar dat vergt wel een integrale benadering. Encryptie wordt vaak gepresenteerd als de oplossing, maar alleen een technische versleuteling vormt niet de heilige graal. Encryptie is niet meer dan een repressieve maatregel, maar gaat voorbij aan de bronnen die een datalek kunnen veroorzaken.
Uiteindelijk is informatiebeveiliging meer dan alleen techniek, namelijk een complex geheel van beleidsmaatregelen, bewustwording en technische componenten. Het startpunt is integraal risicomanagement waarbij permanent aandacht moet zijn voor het naleven van het informatiebeveiligingsbeleid middels periodieke onafhankelijke toetsing. Daarnaast moet geïnvesteerd worden in bewustzijn in de hele organisatie. De aloude grap dat het probleem van een storing vaak tussen de rugleuning van de stoel en het toetsenbord zit, gaat ook in deze kwestie vaak op. Natuurlijk mogen de technische beveiligingsmaatregelen die de kans op datalekken beperken tenslotte niet ontbreken.
Wie binnen zijn organisaties voldoende aandacht schenkt aan integraal risicomanagement en zich laat adviseren door vakspecialisten, hoeft dus niet bang te zijn om geconfronteerd te worden met boetes of reputatieschade. Natuurlijk brengt de voortschrijdende technologie en digitalisering altijd nieuwe gevaren met zich mee, maar wie kan aantonen dat hij er alles aan heeft gedaan om een datalek te voorkomen, voldoet in de praktijk aan de wettelijke bepalingen.
Dennis van Hoof is Risk & Compliance Officer bij Unica Schutte ICT, een full-service dienstverlener op het gebied van ICT en telecom oplossingen. Half maart organiseert hij twee kennissessies met de Meldplicht Datalekken als thema. Voor meer informatie of inschrijven voor deze kennissessies kunt u terecht op www.unicaschutte-ict.nl/datalekken.