Organisaties werken vandaag de dag veelal met bedrijfs- en persoonsgegevens die online toegankelijk zijn. Voorbeelden dat deze gegevens niet altijd veilig zijn is met regelmaat in het nieuws te vinden.
Nieuwe nationale en Europese wetgeving moet databeveiliging bevorderen en datalekken voorkomen.
Omvang datalekken neemt wereldwijd toe
Datalekken omvatten alle toegang, verlies, wijziging of beschikbaar komen van gegevens zonder dat dit de bedoeling is van de eigenaar van die gegevens. Datalekken vormen een omvangrijk probleem waaraan maar weinig organisaties lijken te ontkomen. Yahoo, de portal voor diverse consumentendiensten, maakte afgelopen week bekend dat voor de tweede maal in 2016 de gegevens (e-mailadressen, telefoonnummers, wachtwoorden, etc.) van een groot aantal klanten zijn ontvreemd. Ook bij diensten als eBay, LinkedIn en Dropbox bleken de gegevens van klanten in 2016 niet zonder meer veilig.
[Bron: https://www.statista.com/chart/5983/data-breaches/
In Nederland haalde ook de diefstal van contractgegevens van 2 miljoen huishoudens door een medewerker van een energiebedrijf het nieuws. Eveneens vorige week bleken de persoonsgegevens van 2.000 Philips-medewerkers te zijn gestolen en online gezet. Verder hebben gedurende 2016 heeft 44% van de Nederlandse gemeenten één of meerdere datalekken gemeld. Het totaal door Nederlandse organisaties gemelde datalekken bedraagt volgens de Autoriteit Persoonsgegevens meer dan 4.000.
Risico’s en schade van datalekken nog onvoldoende onderkend
Naast het onbedoeld vrijkomen van concurrentiegevoelige digitale informatie zorgt ook de het lekken van digitaal opgeslagen persoonlijke informatie voor de nodige risico’s: zowel in de vorm van aansprakelijkheid als ook reputatie- en omzetschade (verlies klanten) en het verlies aan vertrouwen binnen de supply chain (verlies van leveranciers). Het aantal en de omvang van publiekelijk bekende beveiligingsproblemen tonen aan dat de risico’s nog steeds in onvoldoende mate worden beheerst.
EU-privacywetgeving leidt tot melding datalekken
Europese staten hebben in 1981 het Dataprotectieverdrag gesloten, waarin de bescherming van digitale persoonsgegevens is uitgewerkt. Mede door incidenten zoals hierboven vermeld is de bescherming van gegevens sindsdien aangepast en verscherpt.
Recent uitvloeisel hiervan is de Wet Meldplicht Datalekken die 1 januari 2016 is ingegaan. Deze bepaalt dat bedrijven en overheidsinstanties in Nederland binnen 72 uur datalekken melden bij de Autoriteit Persoonsgegevens. Het gaat daarbij om vernietiging, wijziging of het vrijkomen van persoonsgegevens zoals omschreven in artikel 13 van de Wet Bescherming Persoonsgegevens. Hiertoe behoren bijvoorbeeld het kwijtraken van een USB-stick, een laptop of inbraak in een databestand.
Of de data zich in eigen beheer bevindt of door derden wordt beheerd c.q. bewerkt is hierbij niet relevant. Dit betekent dat bij de toepassing van SaaS een organisatie altijd een bewerkersovereenkomst dient te sluiten met de SaaS-provider.
Voor het niet tijdig melden van een datalek kan een (niet te verzekeren) boete worden opgelegd tot € 820.000 of 10% van de wereldwijde jaaromzet (indien passender).
De huidige wet zal verder worden verscherpt als gevolg van de nieuwste Europese richtlijn, de General Data Protection Regulation (EU 2016/679). Deze treedt op 25 mei 2018 in werking.
Naast een bredere werking zullen de boetes verder oplopen tot € 20.000.000 of 4% van de wereldwijde omzet van een organisatie, afhankelijk welke van beide hoger is.
De hoogte van boetes is afhankelijk van de ernst en aard van de overtreding. Ook de mate waarin organisatorische en technische maatregelen zijn genomen om datalekken te voorkomen zijn hiervoor bepalend. Het beschikken over ISO 27001 of ISAE 3402/II certificering zal daarbij zeker een rol spelen.
Conclusie
Het mag duidelijk zijn dat het de Europese en Nederlandse wetgever niet ontgaat dat de beveiliging van digitale gegevens nog steeds veel verbetering behoeft. De wetgever vereist dan ook meer en meer dat organisaties hun gegevensbeveiliging op orde hebben en stelt hen eerder aansprakelijk indien dit niet het geval blijkt.
Naast risico’s als aansprakelijkheid, reputatieschade en het verlies van klanten en leveranciers riskeren organisaties tevens hoge boetes indien zij hun gegevensbeveiliging (datasecurity) niet op orde hebben.
