Nieuwe wet legt aansprakelijkheid veilige data bij organisatie
Hoewel wij als codekloppers met veel plezier wekelijks de code capriolen van Mr. Robot volgen, zijn we zelf altijd extra scherp op het veilig maken van online producten. Per 1 januari is de nieuwe wet Meldplicht Datalekken ingegaan. Wij hebben de belangrijkste punten alvast voor je op een rij gezet.
De wet Meldplicht Datalekken verplicht je als organisatie (zowel bedrijven als overheden) om direct een melding te doen van een ernstig datalek. Voorbeelden van datalekken zijn een inbraak in databestanden door een hacker, maar ook een zoekgeraakte USB stick of laptop met gevoelige data erop.
Fikse boete
De wet Meldplicht Datalekken legt de eindverantwoordelijkheid voor het beheren van gevoelige data bij de eigenaar i.p.v. bijvoorbeeld de hacker die ingebroken heeft in het systeem. Blijkt dat je als organisatie niet voldoende maatregelen hebt genomen om de data te beveiligen of meld je het datalek niet bij de Autoriteit Persoonsgegevens? Dan loop je risico op een boete van 10% van de jaaromzet met als maximum het niet malse bedrag van € 820.000.
Een datalek en nu?
Liggen persoonlijke data eenmaal op straat, dan moet je dit als organisatie melden aan de Autoriteit Persoonsgegevens via het meldformulier of telefonisch op 0900-3282535. Vergeet niet om personen waarop het lek betrekking heeft te informeren. Dit is alleen noodzakelijk als de gelekte informatie ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer. Wanneer gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn (door bijvoorbeeld encryptie) is informeren niet noodzakelijk. Twijfels of je moet gaan informeren? Sla dan nog even de CBP beleidsregels erop na.
De volgende stap is om binnen 72 uur actie te ondernemen om zwakke punten in het systeem te dichten. Hiermee moet je aantonen bij de Autoriteit Persoonsgegevens dat je voldoende energie gestopt hebt in het herstellen van het systeem cq. het beperken van de schade.
Datalekken voorkomen
De oorzaken van datalekken zijn talrijk. Veelal is de oorzaak menselijk, onzorgvuldig handelen van medewerkers of derden. Maar oorzaken kunnen ook liggen in achterstallig onderhoud van infrastructuur en hardware of onzorgvuldig ontwikkelde software die aanvallers van buitenaf de gelegenheid geeft zich toegang te verlenen tot bedrijfs- of persoonsinformatie.
Maatregelen die je als bedrijf kunt nemen om dit tegen te gaan zijn even talrijk, in dit blog zullen we niet in technische details treden. Maar belangrijk zijn de volgende richtlijnen:
- Informeer.
Het begint met mensen en hun interactie. Zorg dat iedereen op de hoogte is van protocollen, van het belang van zorgvuldigheid en stel iemand aan die verantwoordelijk is voor de veiligheid van bedrijfsinformatie. De overheid heeft zojuist de website veiliginternetten.nl gelanceerd waarop je onder andere kunt lezen hoe je een veilig bedrijfsnetwerk creëert en houdt. - Selecteer de juiste partijen om mee samen te werken.
Verzeker jezelf ervan dat partijen waarmee je samenwerkt voor hardware en/of software betrouwbaar zijn en verstand van zaken hebben. Vraag hier ook expliciet naar en vraag om certificaten of referenties. - Laat regelmatig audits uitvoeren.
Protocollen en beloftes zijn mooi, maar resultaten zijn beter. Laat een extern en onafhankelijk bureau je processen en infrastructuur, hardware en software, controleren en beoordelen. En belangrijker nog, zet adviezen en bevindingen om in acties.
Draaiboek
Last but not least is het goed om te bepalen wie datalekken gaat bijhouden, beoordelen en melden binnen je organisatie. Een draaiboek voor het geval dat een ernstig datalek zich voordoet is geen overbodige luxe. Neem hierin op hoe er gehandeld moet worden wanneer een incident zich voordoet, hoe betrokkenen geïnformeerd gaan worden en hoe er over gecommuniceerd gaat worden met de buitenwereld.
Over Axendo
Axendo bouwt graag slimme online platformen voor haar klanten. Dat doen we het liefst met het content management systeem Umbraco. Soms ook Sitecore als de oplossing daar om vraagt.