Cybercriminaliteit en de Meldplicht Datalekken

Sinds de komst van de smartphones en tablets is het heel normaal dat medewerkers hun eigen apparaten gebruiken binnen een organisatie (BYOD: bring your own device). Deze trend zorgt er voor dat er op steeds grotere schaal - via verschillende apparaten - data worden uitgewisseld. Deze groeiende connectiviteit tussen personen en bedrijven gaat onze maatschappij in de toekomst nog meer beïnvloeden.

ICT ondersteunt alle moderne bedrijfsprocessen en zorgt voor een gezonde infrastructuur. Het werken via internet, handel via webshops en internetbankieren zijn volledig geïntegreerd in onze huidige maatschappij. De digitale wereld brengt organisaties voordeel in de vorm van een tijdsbesparing in processen en dat leidt tot meer omzet.

Ook de ‘criminele wereld’ heeft ontdekt dat er in deze virtuele maatschappij geld te verdienen valt. Waar hackers voorheen nog alleen roem wilden behalen, zijn de motieven tegenwoordig steeds vaker gebaseerd op financieel gewin. Methoden van criminele hackers ontwikkelen sneller dan de techniek die hiertegen bescherming biedt. De zwakke plekken in de techniek bieden hackers mogelijkheden om persoonsgegevens (data zoals inlogcodes en wachtwoorden) ‘te lekken’. Daarnaast wordt een organisatie kwetsbaar als de processen en afspraken rondom het gebruik en verwerken van data niet duidelijk zijn. Zo is bijvoorbeeld de situatie waarin ontslagen werknemers - die nog beschikken over inloggevens - bij vertrouwelijke gegevens kunnen, niet wenselijk.

Een vals gevoel van veiligheid
Organisaties zijn vaak van mening dat de ICT-beveiliging voldoende is. Er is immers flink geïnvesteerd in technische middelen zoals firewalls, systemen om hackpogingen te voorkomen en het in kaart brengen van risico’s. Echter, de virtuele risico’s worden door ondernemers nog zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade. Denk hierbij aan verlies van bedrijfsinformatie of personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van mailcorrespondentie, schade aan het IT netwerk, aansprakelijkheid claims en reputatieschade. Het versleutelen van gegevens kan al een hoop ellende besparen. Daarnaast is het belangrijk het beleid binnen uw organisatie vast te leggen en maatregelen te nemen om datalekken te voorkomen en te herstellen.

Meldplicht Datalekken
Bewustwording van de financiële risico’s van een cyberincident is sinds het van kracht worden van nieuwe wettelijke regels nog urgenter geworden. Op 1 januari 2016 zijn aanpassingen van de huidige WbP (Wet bescherming persoonsgegevens) van kracht. Een onderdeel van deze aanpassingen is de nieuwe Meldplicht Datalekken. Organisaties moeten onverwijld melding doen als er een inbreuk plaatsvindt op de beveiliging die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het College Bescherming Persoonsgegevens (CBP) is een Autoriteit Persoonsgegevens geworden en krijgt net als bijvoorbeeld de Autoriteit Financiële Markten (AFM) een zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot een maximum van € 820.000. Ze kunnen echter niet zomaar overgaan tot het opleggen van een boete. Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, dan geeft de Autoriteit Persoonsgegevens een bindende aanwijzing. Pas als sprake is van opzet of ernstige verwijtbare nalatigheid kan er een boete worden opgelegd. Vervolgens wordt bij het bepalen van de hoogte van de boete rekening gehouden met de omstandigheden van het geval. Een relevante omstandigheid hierbij is bijvoorbeeld of de gegevens al dan niet daadwerkelijk door derden zijn ingezien.

De eerst logische reactie van een organisatie om het datalek intern te houden is niet meer mogelijk. Er moet zo snel als redelijkerwijs mogelijk een melding worden gedaan als er een aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het kan mogelijk zijn dat de organisatie eerst moet onderzoeken of daar sprake van is. Het is belangrijk om hier voortvarend in te werk te gaan. De kennisgeving moet worden gedaan aan de Autoriteit Persoonsgegevens, en soms aan de betrokkenen. Hierbij moet in ieder geval de aard van de inbreuk, de instanties waar meer informatie kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen te beperken worden vermeld.

Logboek
Het is belangrijk dat de onderneming in kaart brengt hoe binnen de organisatie, maar ook via welke externe bewerkers (ICT bedrijven/hosting/cloud/leveranciers), privacygevoelige informatie kan lekken. De organisatie moet nieuwe afspraken voor het signaleren en informeren van datalekken maken en hiervoor bestaande (service)contracten mogelijk openbreken. Naast kosten van ICT moet de ondernemer bij een incident vooral rekening houden met hoge kosten (juridische/advocaatkosten), kosten van crisismanagement en kosten voor het beperken van imagoschade.

De Meldplicht en verordeningen luiden een nieuw tijdperk in rond de bewustwording van cyberrisico’s. Organisaties zijn tot nu toe geneigd om bij ieder datalek vooral zo weinig mogelijk publiciteit hieraan te geven vanwege een reële reputatie/imagoschade. Door de meldplicht is dit onmogelijk geworden.

Cyber Risico Analyse
Het is de verantwoordelijkheid van iedere organisatie om persoonsgegevens te verwerken in overeenstemming met de bepalingen in de Wet Bescherming Persoonsgegevens (WbP). In de nieuwe wet Meldplicht Datalekken worden deze verantwoordelijkheden van bestuurders aangescherpt en dient het ook inzichtelijk te worden welke maatregelen er genomen zijn. Stap één is overzicht en inzicht in de juiste beveiliging van persoonsgegevens die de organisatie heeft genomen. Dit inzicht beperkt zich niet tot de interne processen, maar ook externe partijen die gegevens bewaren en bewerken (ICT leverancier, salarisverwerker) moeten hierin meegenomen worden. Voor deze gegevens blijft de verstrekker van de gegevens verantwoordelijk en daarmee aansprakelijk voor een datalek.

Meestal wordt het risico van een cyberincident vooral via de technische kant benaderd. Beter is om het cyberrisico te benaderen als een ondernemersvraagstuk: hoe kunnen we dit risico beheersbaar maken voor de onderneming? Wat staat ons te doen bij een cyberincident? Wat zijn de (nieuwe) wettelijke regels op het gebied van diefstal van privacy gevoelige gegevens? Hoe groot is mijn reputatieschade na een publicatie in de krant over een hack van mijn onderneming? Hebben mijn klanten en aandeelhouders nog het vertrouwen dat hun gegevens veilig zijn bij mijn organisatie?

Bewustzijn
In de praktijk blijkt dat technische maatregelen noodzakelijk zijn, maar dat deze slechts beperkt bescherming bieden tegen cybercriminelen. Technische oplossingen in het netwerk aanbrengen is niet voldoende, vooral niet als er wordt gewerkt met externe apparaten en dataopslag. Beveiligingsmaatregelen tegen cybercrime risico’s zijn zo sterk als de zwakste schakel. De mens is vaak de zwakste schakel. Het is daarom noodzakelijk voor een organisatie, mede door invoering van de Meldplicht Datalekken, om interne protocollen op te stellen en bewustzijn te creëren bij medewerkers.

En nu?
Helaas is er geen kant-en-klaar pakket dat u kunt aanschaffen waarmee alle risico’s afgedekt zijn. Belangrijk is om de risico’s in kaart te brengen en bewustzijn te creëren binnen uw organisatie. Laat u daarom adviseren en begeleiden. Het gaat tenslotte om de bescherming van de aan u toevertrouwde persoonsgegevens en daarmee uw betrouwbaarheid als organisatie.

Disclaimer
Deze brochure is gebaseerd op de (voorgestelde) regelgeving zoals die in de op 21 februari 2016 bekend was. Deze nieuwsvoorziening is met grote zorg samengesteld. Voor eventuele onvolkomenheden kunnen wij geen aansprakelijkheid aanvaarden. Druk- en zetfouten voorbehouden.