Wijziging Wet Bescherming Persoonsgegevens
Iedereen die werkt met persoonsgegevens krijgt te maken met de aanpassing van de Wet bescherming persoonsgegevens (Wbp). Vanaf 1 januari van dit jaar is het verplicht om een datalek of als de kans bestaat dat persoonlijke gegevens worden vrijgegeven, binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP), voorheen College bescherming persoonsgegevens (CBP). In de eerste tien weken dat deze wet van kracht is, zijn er al 700 datalekken gemeld, waarvan er 450 serieus nader onderzocht moesten worden. Daarnaast is nu ook de verwerker van persoonsgegevens aansprakelijk voor deze gegevens. Dit geldt ook als uw klant inlogt bij uw leverancier via bijvoorbeeld een portal. U blijft medeverantwoordelijk. Wordt de Wbp overschreden, dan kan de AP een boete opleggen van 10% van de jaaromzet indien passend, tot maximaal € 820.000. Bij het opleggen van de boete wordt rekening gehouden met de maatregelen die uzelf genomen had om de veiligheid te waarborgen. Daarnaast wordt er gekeken of er sprake is van een incident of van een herhaling. Vanaf 2018 zullen de sancties vele malen hoger worden doordat de Europese Unie er meer bij betrokken wordt. Dan is het mogelijk om een boete opgelegd te krijgen tussen de € 10 miljoen tot € 20 miljoen.
Gevoelige informatie
Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Hoe gevoeliger de informatie, hoe hoger het niveau van bescherming moet zijn. De wet is nog niet geheel sluitend over wat precies allemaal onder ‘gevoelige’ informatie valt, maar de wet geeft al wel een richting. Belangrijk om te weten is dat losstaande gegevens niet veel zeggen over een persoon en dan niet als ‘gevoelig’ worden aangemerkt. Zodra er meer zaken van een persoon naar buiten komen, waardoor een persoon dus identificeerbaar wordt, kan er profiling plaatsvinden en zijn de gegevens gevoelig. De wet heeft een aantal categorieën persoonsgegevens aangemerkt als gevoelig: ras, gezondheid, godsdienst, levensovertuiging of politieke gezindheid. Daarnaast spreekt het voor zich dat gegevens als: NAW, telefoonnummers, e-mailadres, leeftijd, CV en financiële gegevens ook gevoelig zijn .
Verschil datalek of beveiligingslek
Dan is er nog het verschil tussen een datalek en een beveiligingslek. Het verschil is belangrijk omdat een beveiligingslek niet verplicht gemeld hoeft te worden, terwijl het melden van een datalek wel verplicht is. We spreken van een datalek als er toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Voorbeelden hiervan zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Er is een toename aan criminaliteit binnen het stelen van informatie, omdat dit veel oplevert. Maar een datalek kan ook al ontstaan door gevoelige informatie naar de verkeerde persoon te e-mailen of door de naïviteit van onszelf door bijvoorbeeld te makkelijke wachtwoorden te gebruiken. 123456 staat al jaren stipt op nummer één als meest gebruikte wachtwoord. Dit zijn allemaal voorbeelden van datalekken. Maar, als er alleen sprake is van een zwakke plek in de beveiliging, dan spreken we van een beveiligingslek en niet van een datalek. Een beveiligingslek hoeft dus niet verplicht gemeld te worden.
Betrokkene, verantwoordelijke of bewerker
Wie wordt er allemaal verantwoordelijk gehouden bij een datalek? Met de wetswijziging is uw bedrijf, met alle medewerkers er in, ook verantwoordelijk voor de beveiliging van de persoonsgegevens van uw klant. Niet meer alleen uw IT-leverancier. De wet beschrijft van verschillende actoren hun rechten en plichten met betrekking tot de omgang met persoonsgegevens:
- Betrokkene: dit is de natuurlijke persoon van wie de persoonsgegevens verwerkt worden.
- Verantwoordelijke: hij is degene die de gegevens verwerkt (de verwerker) of dat onder zijn zeggenschap laat doen.
- Bewerker: dit is de persoon die ten behoeve van de verantwoordelijke het verwerkingsproces uitvoert. De bewerker is een externe partij waaraan de verantwoordelijke zijn werk heeft uitbesteed.
Aansprakelijkheid
Zowel u, als cloudafnemer (in de wet verantwoordelijke genoemd), als de bewerker (cloudprovider) zijn met deze wetswijziging verantwoordelijk en aansprakelijk voor de persoonsgegevens. Het alleen contractueel vastleggen is dus niet meer genoeg. Er moeten duidelijke afspraken gemaakt worden hoe de bewerker de data bewerkt. Hiervoor moet er een bewerkersovereenkomst worden opgesteld tussen de verantwoordelijke en de bewerker. Het valt onder de verantwoordelijkheid van de ‘verantwoordelijke’ dat dit ook gebeurt. Over het algemeen zijn de volgende onderwerpen in de meeste bewerkersovereenkomsten terug te vinden: bewerking in overeenstemming met instructies verantwoordelijke, geheimhouding, beveiligingsmaatregelen, inschakelen van derden en onderaannemers, locatie van de data, audits en aansprakelijkheid. Het is wel aan te raden om er een jurist bij te halen bij het opstellen van de bewerkersovereenkomst.
Succesvolle strategie
Om als onderneming aan de nieuwe regelgeving te voldoen, geeft Factor50 vijf bouwstenen om een succesvolle strategie op te stellen. Factor50 helpt organisaties om de veiligheid van hun informatie op het juiste niveau te brengen en te behouden.
De vijf bouwstenen:
- De mens als sterkste schakel. Als we het hebben over het beveiligen van informatie, denken de meesten aan het verbeteren van techniek. Echter, 30% van de techniek geeft de oplossing. De overige 70% van de veiligheid ligt bij het gedrag van de medewerkers. Bewustwording bij alle medewerkers geeft dus vooralsnog de meeste winst. Neem bijvoorbeeld het eerder genoemde voorbeeld van de makkelijk te kraken wachtwoorden.
- Veiligheid moet georganiseerd worden, het organiseert zich niet vanzelf. Maak een heldere beschrijving van de taken en bevoegdheden van de verschillenden rollen. Zorg ook dat dit bekend is binnen de organisatie en de gegevens bij de hand zijn voor het geval er meteen ingegrepen moet worden bij een datalek.
- De waarde van informatie bepalend. Ken het juiste beschermingsniveau toe. De wet schrijft voor dat persoonsgegevens in een hogere vertrouwelijkheidscategorie vallen. Daarnaast zijn er andere soorten van informatie die niet wettelijk beschermd moeten worden, maar wel noodzakelijk zijn voor de continuïteit van de organisatie, zoals de financiële administratie en intellectueel eigendom.
- Het belangrijkste eerst. Stel prioriteiten, bijvoorbeeld in ranking van de belangrijkste risico’s.
- Leer van incidenten en datalekken. Veel organisaties reageren ad hoc bij incidenten zoals datalekken. Voorkom dit door een goede incidentenregistratie.
Veiligheid van Nextens
Nextens is volgens de wet de ‘bewerker’ en hebben dus ook onze verantwoordelijkheid genomen. U, als klant van Nextens, hebt ook met ons een bewerkersovereenkomst afgesloten. In de Algemene Voorwaarden die aan het contract zitten, is de bewerkersovereenkomst opgenomen. Bij het tekenen van het contract, bent u dus ook akkoord gegaan met deze overeenkomst.
Om als softwareleverancier aan de wet te voldoen, moeten wij de beveiligingsvoorschriften volgen volgens de ISO norm 27001. Er zijn daarvoor zes onderwerpen waaraan wij moeten voldoen en ook aan voldoen:
- Organiseren van informatiebeveiliging, bijvoorbeeld: wat zijn de rollen en verantwoordelijkheden bij informatiebeveiliging;
- Veilig personeel, bijvoorbeeld: screening en bewustzijn, opleiding en training ten aanzien van informatiebeveiliging;
- Leveranciersrelaties, bijvoorbeeld: opnemen van beveiligingsaspecten in leveranciersovereenkomsten;
- Beheer van informatiebeveiligingsincidenten, bijvoorbeeld: rapportage van informatiebeveiligingsgebeurtenissen;
- Informatiebeveiligingsincidenten van bedrijfscontinuïteitsbeheer, bijvoorbeeld: informatiebeveiligingscontinuïteit plannen en implementeren;
- Naleving, bijvoorbeeld: naleving van beveiligingsbeleid en –normen.
