Meldplicht datalekken van kracht

Iedere werkgever kan hiermee te maken krijgen

Ieder bedrijf of organisatie die het slachtoffer is van een datalek is verplicht dit te melden aan de Autoriteit Persoonsgegevens, beter bekend onder de oude naam College Bescherming Persoonsgegevens. Begin april 2016 stond de teller op ruim duizend meldingen. Dat lijkt veel, maar als je kijkt naar de gehanteerde definitie van datalek dan valt het wel mee. Een gestolen laptop, een verloren smartphone of USB-stick vallen in de categorie datalekken. Het zijn datadragers waar privacygevoelige gegevens op kunnen staan. Het is een serieuze zaak met in geval van onzorgvuldig handelen torenhoge boetes tot gevolg. Van een datalek is ook sprake in geval van een hack door cybercriminelen. Het is alsof inbrekers een gat in het dak hakken en de daarop volgende regenbui voor wateroverlast zorgt. Dan spreek je van braakschade en niet van een lekkend dak.

Kortom: privacy is een belangrijk goed. Gevoelige gegevens moeten bij bedrijven en instellingen in veilige handen zijn. Stel je eens voor dat medische gegevens op straat komen te liggen. Of de opgeslagen gegevens van de slimme meter vallen in verkeerde handen. Inbrekers kunnen aan de hand van het leefpatroon dan eenvoudig vaststellen wanneer de bewoner niet thuis is. Privacy en security gaan hand in hand. Een gestolen laptop hoeft geen probleem te zijn, tenminste als de gegevens versleuteld zijn. De mens is vaak de zwakke schakel. We vinden het allemaal heel logisch dat een fiets op slot wordt gezet, maar een wachtwoord op een computer wordt door sommigen nog altijd als onhandig ervaren. Nog maar kort geleden kreeg ik een e-mail met een groot adressenbestand in de cc. Ook dat is een datalek. Net als de foto’s van medische situaties die een verpleegkundige plaatste op Facebook. De patiënten kwamen niet herkenbaar in beeld, maar desondanks wordt dit als een datalek beschouwd.

Iedere werkgever kan hiermee te maken krijgen. De HR-afdeling beheert via de digitale personeelsdossiers een bron van gevoelige info. Ik durf gerust te stellen dat er op het vlak van beveiliging dikwijls sprake is van achterstallig onderhoud. Het is vaak lang geleden dat de loodgieter voor het laatst langs is geweest en gekeken heeft of alle koppelingen nog goed zijn en de kranen niet druppen.

Privacy en security zijn cruciaal voor het vertrouwen in digitaal zakendoen en communiceren

Nu klanten het risico lopen beboet te worden in geval van nalatigheid, ligt er ook een verantwoordelijkheid bij ICT-leveranciers om te helpen de leidingen waterdicht te houden. De investering van de klant die daar mee gemoeid is, weegt niet op tegen de hoogte van de potentiële boete van de Autoriteit Persoonsgegevens. Die kan oplopen tot een bedrag van 820 duizend euro of tien procent van de jaaromzet. Ook al zullen de hoogste boetes niet snel worden uitgedeeld, een fractie van een dergelijk bedrag kan hard aankomen. Toch zouden mogelijke boetes niet de belangrijkste motivatie moeten zijn. Privacy en security zijn cruciaal voor het vertrouwen in digitaal zakendoen en communiceren. Een bedrijf zet zijn reputatie op het spel als klantgegevens niet in veilige handen blijken te zijn. Laat staan een ziekenhuis of huisarts die met een datalek te maken krijgt. En nogmaals, laten we vooral niet vergeten dat de kraan vaak van binnenuit open wordt gezet. Wikileaks en de Panama Papers zijn niet door middel van een hack geopenbaard, maar door eigen mensen die toegang hadden. Weet u precies welke medewerkers bij welke gegevens kunnen? Ook bij de loodgieter thuis wil de kraan nog wel eens lekken. Mijn advies: houd de waterpomptang altijd bij de hand.