Gebruik gezond verstand bij informatiebeveiliging en datalekken

Bron: Nicolette van den Hout

Ieder bedrijf heeft data van zijn klanten nodig. Dat data moeten beschermd worden. Sommige beter dan andere. Wat als er gevoelige informatie vrijkomt en er sprake is van een datalek? Ton Oosterwijk van Factor50 legt tijdens de break-outsessie wat je dan moet doen en wat de wetten zijn.

Balans zoeken

‘Ik ben een voorstander van de cloud’, zegt Oosterwijk. ‘Je kunt sneller werken, het is overal beschikbaar en het is veilig. Maar het maakt je ook afhankelijk en kwetsbaar. Je kunt als bedrijf niet zonder data. Dus er zal een balans gezocht moeten worden. Het is in de wet vastgelegd welke gegevens als “gevoelig” worden beschouwd, maar het is ook een kwestie van gezond verstand.’

Datalek

Wanneer spreken we dan van een datalek? ‘Wie heeft er allemaal een brief gehad van de Belastingdienst over de verwisseling van de uitstel cd-roms?’, vraagt Oosterwijk. Bijna iedereen steekt zijn hand op. ‘Dat voorval is zonder twijfel een datalek’, vervolgt de spreker. ‘De cd-roms waren niet versleuteld en er stonden BSN’s op. Dat is zo’n beetje de heilige graal in Nederland.’ De officiële wettekst over een datalek luidt: ‘Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.’ (Uit: Beleidsregels voor toepassing van artikel 34a van de Wbp, pagina 5).

Draadloos

Sommige zaken vallen heel duidelijk onder een datalek: een ordner met persoonsgegevens raakt kwijt of iemands laptop wordt gestolen waar gevoelige gegevens op staan. ‘Maar bent u zich er ook van bewust dat draadloze apparaten die uitgelezen kunnen worden door de reparateur ook een datalek kunnen veroorzaken?’, vraagt Oosterwijk. ‘Of wanneer u een printopdracht heeft gegeven, maar het papier is op. U gaat papier halen en aanvullen, maar de gegevens staan ondertussen opgeslagen op uw printer. Is er dan meteen sprake van een datalek? Nee, pas als het om persoonsgegevens gaan die in combinatie misbruikt kunnen worden.’

Verantwoordelijke bij datalek

Als er sprake is van een datalek moet dat binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens en de betrokken partijen moeten ingelicht worden. Maar wiens verantwoordelijkheid is dat? ‘Uw kantoor heeft een overeenkomst met uw klant, dat maakt u verantwoordelijke en uw klant de betrokkene. In uw geval zit er ook nog een softwareleverancier tussen: Nextens. Nextens is de bewerker en zij stellen een bewerkersovereenkomst voor u op. Toch blijft u verantwoordelijk voor de gegevens en bij een datalek bent u degene die uw klant informeert omdat dat staat in de overeenkomst die u gesloten hebt met uw klant.’

De oplossing

‘Er is geen allesomvattende oplossing’, sluit Oosterwijk af. ‘Wees je bewust van wat een datalek kan veroorzaken, zorg dat er binnen de organisatie duidelijk is wie wat moet doen en zorg dat uw software up-to-date is. Daarmee komen we al een heel eind.’

terug