Persoonsgegevens: linke business
De bescherming van intellectueel eigendom (ip) en andere gevoelige bedrijfsinformatie staat doorgaans hoog op de agenda van bedrijven. Sinds 1 januari, met de komst van de nieuwe Wet bescherming persoonsgegevens (Wbp), is het zaak ook op dit vlak de it op orde te hebben. Ernstig nadelige gevolgen voor personen door nalatigheid kunnen tot hoge boetes leiden.
De nieuwe wet kent een meldplicht, bedoeld om burgers te beschermen en te voorkomen dat hun persoonlijke gegevens op straat belanden. Hoewel industriële bedrijven persoonsgegevens niet vaak zullen gebruiken in hun primaire proces, hebben ze wel gegevens over hun eigen personeel en verder persoonsgegevens die gegenereerd worden in webshops, reclame-uitingen en nieuwsbrieven. ‘In een webshop verzamelen bedrijven doorgaans heel veel gevoelige informatie, zoals geboortedatum, rekeningnummer en adresgegevens. Nadelige gevolgen zijn er dan vrij snel als je naam en e-mailadres op straat liggen’, stelt Kevin Jonkers, manager Forensics & Incident Response bij Fox-IT. ‘Of, nog erger, het wachtwoord. Mensen gebruiken toch vaak hetzelfde wachtwoord op meerdere plekken, wat betekent dat kwaadwillenden ook elders kunnen inloggen. Helemaal serieus wordt het als medische gegevens of burgerservicenummers weglekken. Dat kan bijvoorbeeld tot afpersing of identiteitsfraude leiden.’
Generieke beveiliging
De nieuwe meldplicht van datalekken dwingt bedrijven om bewuster met persoonsgegevens om te gaan, niet in de laatste plaats vanwege de hoge boete die de Autoriteit Persoonsgegevens (AP) kan opleggen, maximaal 820.000 euro. Wat betekent de meldplicht nu concreet? Op de site van de AP staat een aantal beleidsregels op basis waarvan bedrijven zelf moeten afwegen of er sprake is van ernstige gevolgen in de persoonlijke sfeer of nalatigheid. Een datalek moet na ontdekking binnen 72 uur gemeld worden bij de AP. ‘Wanneer een boete wordt opgelegd, is nog niet duidelijk, omdat er nog geen jurisprudentie bestaat. Maar als je bij digitale bedrijfsspionage of een inbraak niet redelijkerwijs kunt uitsluiten dat er toegang is geweest tot persoonlijke gegevens, moet je een datalek zeker melden’, aldus Jonkers.
‘Als je bij digitale bedrijfsspionage of een inbraak niet redelijkerwijs kunt uitsluiten dat er toegang is geweest tot persoonlijke gegevens, moet je een datalek zeker melden.
Als voorzorgsmaatregel raadt hij aan om it-beveiliging breed aan te pakken. ‘Dat houdt in een generieke beveiliging – dus van ip, bedrijfsgevoelige informatie én persoonsgegevens – met behulp van technische maatregelen en het bewust maken van medewerkers. Dat ze beseffen dat ze persoonsgegevens niet onversleuteld op een usb-stick moeten zetten en vervolgens verliezen in de trein.’ Een datalek kan overigens na melding weer worden ingetrokken of voorzien van meer informatie. ‘Na drie dagen heb je meestal nog niet alle details boven water. Wat de AP wil weten, is: hoe kon het gebeuren, wat is er misgegaan en wat ga je eraan doen om het in de toekomst te voorkomen? Op basis daarvan stellen ze vast of je je beveiliging goed op orde hebt, of dat er sprake is geweest van nalatigheid.’
Bewerkersovereenkomst
Belangrijk punt voor minder grote bedrijven die gebruikmaken van externe dienstverleners voor hun it-onderhoud, salarisadministratie of nieuwsbrieven: degene die het doel en de werking van de middelen bepaalt, blijft verantwoordelijk voor de verwerking van persoonsgegevens. ‘Dus is het zaak om afspraken te maken over it-beveiliging. Wat doen bewerkers als zij een lek constateren? Geven zij dit tijdig aan je door zodat jij als verantwoordelijke het datalek kunt melden bij AP?’, zegt Jonkers. ‘Doorgaans wordt dit aspect niet meegenomen in de samenwerkingscontracten. Inmiddels zijn er standaard-templates voorhanden voor zo’n bewerkersovereenkomst. Het is wel verstandig om er ook een jurist naar te laten kijken om te zien of het juridisch waterdicht is.’
Als een bedrijf persoonsgegevens laat bewerken in Duitsland, is het nog steeds verantwoordelijk voor eventuele datalekken. Omgekeerd geldt de Duitse wet voor Duitse bedrijven die Nederlandse bewerkers inhuren. ‘Dit gaat veranderen, er komt Europese wetgeving. Dan geldt dat alle buitenlandse bewerkers, ook buiten de EU, datalekken moeten melden bij het bedrijf dat de opdracht verstrekt.’ Kortom, de meldplicht is zonder meer een extra reden om als bedrijf persoonsgegevens met de grootst mogelijke zorg te omringen.
