Monday, December 14, 2015

Van de regen in de drup met het lekken van data (Dutch)

Elke organisatie die persoonsgegevens verwerkt doet het verwerken ervan, als het goed is, onder een dak. Dat dak biedt bescherming tegen nare dingen zoals weer en wind en zorgt ervoor dat alle kostbare zaken onder dat dak niet nat en dus niet beschadigd worden.

Maar wat nu als het dak lekt? Wat nu als jouw gegevens lekken? Dit is niet alleen een zorg (meer) van de grote bedrijven met grote rekencentra, maar ook de kleine bedrijven en eenmanszaken met een NAS of server thuis of op de zaak.

En als je gegevens lekt zou het zo maar eens kunnen zijn dat je dat moet melden. Hoe groot of hoe klein het bedrijf ook is en hoe veel of hoe weinig gegevens het ook betreffen. In deze blogpost wil ik een blik werpen op deze nieuwe wetgeving genaamd 'Meldplicht Datalekken' (5).

Voor wie is deze wetgeving van toepassing?

In het verleden was er al soortgelijke wetgeving van kracht voor telecommunicatiebedrijven. Met deze nieuwe wetgeving worden alle bedrijven betrokken. Dit betekent dat ook eenmanszaken zoals advocaten, notarissen, therapeuten en makelaars te maken zullen krijgen met deze wet. Maar ook eenmanszaken en kleine bedrijven zoals glaszetters, loodgieters, aannemers en alle andere voorbeelden denkbaar zijn niet uitgesloten. De enige voorwaarde die van toepassing is, is dat jouw bedrijf persoonsgegevens verwerkt.

Want wanneer je persoonsgegevens verwerkt val je onder de zogenoemde Wet bescherming persoonsgegevens (4).

Wat is de Wet bescherming persoonsgegevens?

Dit is een wet die de kaders stelt ten aanzien van het beschermen van persoonsgegevens. Deze wet is te uitgebreid om in deze post samen te vatten, en daarom verwijs ik je naar de link onderaan deze blog. In het kort kan gesteld worden dat degene die de persoonsgegevens bezit ook daadwerkelijk verantwoordelijk (als in aansprakelijk) is van de verwerking of bewerking ervan en de veiligheid die hiervoor nodig is. Dat je dit uitbesteedt aan een ander bedrijf doet geen afbreuk aan deze aansprakelijkheid. Daarnaast moet je ervoor zorgen dat alleen jouw bedrijf ook de gegevens daadwerkelijk kan verwerken of bewerken, of dat er bij uitbesteding een zogenoemde bewerkersovereenkomst bestaat.

Effectief betekent dat voor Nederlandse bedrijven meestal (let op, er zijn uitzonderingen) dat het verwerken of bewerken van persoonsgegevens alleen door jouw eigen bedrijf mag gebeuren, of dat dit uitbesteed is middels een bewerkersovereenkomst aan een bedrijf dat gevestigd is in de Europese Unie.

En wat voegt de Wet meldplicht datalekken toe?

Deze wet voegt eraan toe dat wanneer de verwerking of bewerking van persoonsgegevens zodanig verstoord is geraakt dat aan de Wet bescherming persoonsgegevens redelijkerwijs niet meer voldaan kan worden dit gemeld wordt aan de Autoriteit Persoonsgegevens (hiervoor College bescherming persoonsgegevens).

Ook stelt deze wetgeving kaders en richtlijnen op voor de feitelijke melding van een datalek. Een datalek moet in de regel binnen 72 kalenderuren na ontdekking gemeld worden. Wanneer aan de meldplicht niet voldaan wordt of wanneer (grove) nalatigheid hebben geleid tot de datalek kan de Autoriteit Persoonsgegevens een maximale boete van € 820.000 opleggen (hoogte boete d.d. 01-01-2016).

Als je spreekt van regen in de drup... Een boete kan grote gevolgen hebben voor de winstgevendheid en reputatie van jouw bedrijf!

Wat zijn eigenlijk persoonsgegevens?

Volgens de wettekst zijn persoonsgegevens als volgt gedefinieerd: "elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" (3). Denk hierbij aan naam, geslacht, BSN-nummer, geloofsovertuiging, adres, telefoonnummer, financiële gegevens, medische gegevens, en ga zo maar door. Alle gegevens die over individuen gaat. Maar ook accounts en wachtwoorden van je klanten die opgeslagen staan in jouw systemen. En vraag jezelf eens af, verwerkt elk bedrijf deze typen gegevens eigenlijk niet?

Dat is wat mij betreft overigens ook de belangrijkste reden waarom webwinkels niet aan account registratie zou moeten doen, maar dat is een discussie voor een andere blog.

De overheid erkent drie verschillende soorten persoonsgegevens (2). Deze zijn als volgt.
  1. Directe persoonsgegevens: Sommige persoonsgegevens geven directe en feitelijke informatie over een persoon. Bijvoorbeeld iemands geboortedatum, adres of geslacht.
  2. Indirecte persoonsgegevens: Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon. Bijvoorbeeld over de maatschappelijke status van deze persoon.
  3. Bijzondere persoonsgegevens: Bijzondere persoonsgegevens zijn onder andere gegevens over iemands ras, godsdienst of levensovertuiging, politieke gezindheid, gezondheid, strafrechtelijke verleden, seksuele leven, lidmaatschap van een vakvereniging. Maar ook strafrechtelijke persoonsgegevens zijn bijzondere gegevens. Let op, er gelden zeer strenge voorwaarden voor bedrijven voordat zij bijzondere persoonsgegevens mogen verwerken.
Er is eigenlijk ook nog een 4e categorie waar de Wet meldplicht datalekken ook wat (indirect) over zegt. En dat betreft de zogenoemde categorie ‘gevoelige gegevens’. Bijzondere persoonsgegevens vallen standaard onder deze categorie. Maar ook directe en indirecte persoonsgegevens kunnen hieronder vallen. Wanneer een onbevoegde de beschikking krijgt over alle namen en adresgegevens van kinderen die door Bureau Jeugdzorg onder toezicht staan, dan zijn de directe persoonsgegevens ineens gevoelige gegevens geworden. Het gaat in dit geval namelijk om een kwetsbare groep in de samenleving.

Oké, ik verwerk persoonsgegevens, en nu?

Dan is mijn eerste advies om de Beleidsregels meldplicht datalekken (1), die door de Autoriteit Persoonsgegevens uitgegeven is, echt direct te gaan lezen. In dit gratis document wordt op een toegankelijke wijze uiteengezet welke interpretatie aan de wet gegeven dient te worden. Hieronder geef ik enkele belangrijke kenmerken die ik opvallend vind en die mogelijk ook een grote(re) impact kunnen hebben.
  • Een datalek kan een set aan persoonsgegevens van een groep zijn, maar ook van één specifiek individu.
  • Het niet meer kunnen herstellen van persoonsgegevens na bijvoorbeeld een brand (omdat de backup ook vernietigd is) is ook een datalek.
  • Een malware besmetting op een systeem moet altijd gemeld worden en wordt ook altijd gezien als een (potentiele) datalek.
  • Een kwijtgeraakte laptop of USB-stick met persoonsgegevens is in de regel ook een datalek.
  • Een inbraak waarbij de NAS gestolen is betreft een datalek. Dit geldt overigens ook voor jouw fysieke dossiers.
  • Een hacker dat inbreekt op het Wifi-netwerk en zodoende de beschikking krijgt over de persoonsgegevens.
  • Een e-mail bericht met daarin persoonsgegevens dat door het bedrijf naar de verkeerde ontvanger wordt verstuurd.
Mijn tweede advies is om echt te beseffen dat dit ook jouw bedrijf raakt en dat je op deze materie voorbereidt dient te zijn. Je verwerkt immers gevoelige gegevens van jouw klanten en medewerkers en dat schept een verantwoordelijkheid in het beschermen ervan. Misbruik van deze gegevens kan tot grote schade (materieel en immaterieel) leiden bij de getroffen personen.

Ik ben een klein bedrijf en ik heb de middelen niet van dat van een groot bedrijf, kan ik wel wat doen?

Ja absoluut kan er wat gedaan worden. Allereerst zou ik een kundig ICT-bedrijf inhuren die jouw ICT-omgeving eens screent (ik noem dit bewust geen audit, want dat schiet op deze schaalgrootte zijn doel voorbij). Daarbij kunnen de volgende set aan beheersingsmaatregelen al eens getoetst worden.
  • Wordt er op elke computer met een gebruikersnaam en wachtwoord ingelogd?
  • Zijn alle hardeschijven van alle computers versleuteld?
  • Is de communicatie tussen de computer en de NAS (of server) versleuteld?
  • Is er een virusscanner op de computer en NAS actief?
  • Worden op alle apparaten automatisch (Security) Updates geïnstalleerd?
  • Staat de firewall op de router en alle computers aan?
  • Is er een gebruikersnaam en wachtwoord nodig om bij de gegevens op de NAS te komen?
  • Worden alle gebruikersnamen en wachtwoorden opgeslagen in een zogenoemde Passwordmanager?
  • Wordt er dagelijks een backup gemaakt?
  • Wordt deze backup ook op een andere locatie met voldoende geografische afstand bewaard?
  • Worden alle computers, hardeschijven en multifunctionele printers afgevoerd via gespecialiseerde bedrijven?
  • Is het Wifinetwerk tenminste beveiligd met WPA2-personal en is de ondersteuning voor het 802.11b protocol uitgeschakeld?
  • Zijn alle standaard wachtwoorden van alle administrator accounts gewijzigd?
  • Is het standaard Wifinetwerk wachtwoord gewijzigd?
  • Wordt e-mail opgehaald via een versleutelde verbinding?
  • Wanneer klanten inloggen op een website, is deze verbinding versleuteld?
  • En worden de wachtwoorden van de klanten als een hash opgeslagen?
Uiteraard zijn er nog vele andere en ook veel gedetailleerdere vragen te stellen. Het gaat er om dat alle gegevens en toegang daartoe afgeschermd zijn met een gebruikersnaam en wachtwoord. Daarnaast is er waar mogelijk een virusscanner en een firewall actief. Is alle communicatie tussen de apparaten zoveel als mogelijk versleuteld en worden Security Updates overal automatisch geïnstalleerd.

Eindwoord

Een klein kantoor kan met deze set aan maatregelen al een beter beveiligd ICT-omgeving neerzetten en zodoende ervoor zorgen dat de persoonsgegevens die hij of zij verwerkt veilig genoeg worden verwerkt. Hiermee wordt tevens de kans verkleind dat je slachtoffer wordt van een datalek en dit moet melden aan de Autoriteit Persoonsgegevens.

Mijn advies is overigens wel om een ter zake kundig ICT-bedrijf de screening te laten doen, tenzij je echt voldoende bekend bent met deze materie. Mocht je vragen hebben dan kun je deze uiteraard hieronder in de comments stellen!

Links

  1. Beleidsregels meldplicht datalekken: https://cbpweb.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken
  2. Rijksoverheid, persoonsgegevens: https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens
  3. Definitie persoonsgegevens: https://cbpweb.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-wbp
  4. Wet bescherming persoonsgegevens: http://wetten.overheid.nl/BWBR0011468/
  5. Wet meldplicht datalekken: http://wetten.overheid.nl/BWBR0036695/