Vijf tips om uw organisatie in 2016 privacy-proof te maken

De champagne is inmiddels ontkurkt om het nieuwe jaar in te luiden. Voorvechters van privacy hebben dit keer extra reden om te proosten op het nieuwe jaar. Op 1 januari 2016 is namelijk de Meldplicht Datalekken ingegaan. Deze meldplicht schrijft voor dat organisaties waar persoonsgegevens uitlekken verplicht zijn dit (onder bepaalde voorwaarden) te melden. De invoering van de meldplicht past in een trend van groeiende aandacht voor privacy waar organisaties op in moeten spelen.

De Meldplicht Datalekken is het gevolg van een wijziging in de Wet bescherming persoonsgegevens (Wbp). Met deze wetswijziging is ook de naam van het College bescherming persoonsgegevens (Cbp) gewijzigd in de Autoriteit Persoonsgegevens en krijgt het meer mogelijkheden om boetes uit te delen.

Concreet betekent de meldplicht dat organisaties incidenten met persoonsgegevens zoals verlies of diefstal (onder bepaalde voorwaarden) moeten melden bij de Autoriteit Persoonsgegevens en de betrokken personen. Veelal wordt in dit kader gesproken over datalekken, maar het kan ook om andere incidenten gaan zoals vernietiging van persoonsgegevens. Om organisaties te helpen omgaan met de Meldplicht datalekken heeft de Autoriteit Persoonsgegevens zogenaamde beleidsregels gepubliceerd. Deze beleidsregels helpen te bepalen of sprake is van een datalek, of het moet worden gemeld en aan wie: alleen aan de Autoriteit Persoonsgegevens of ook aan de betrokkenen.

Privacy belangrijker dan ooit

De invoering van de Meldplicht Datalekken past in een bredere ontwikkeling dat privacy steeds belangrijker wordt. Zo blijkt uit onderzoeken van bijvoorbeeld het CBS, Alert Online en Kaspersky dat de zorgen om privacy en beveiligingsincidenten toenemen. Recente media-aandacht rond bijvoorbeeld de digitale inbraak bij speelgoedfabrikant Vtech en trackers op websites die internetgedrag volgen onderstrepen dit.

Het toegenomen belang van privacy werkt twee kanten op: enerzijds wordt er steeds meer data over mensen verzameld wat een ongemakkelijk gevoel begint te geven: hoeveel is er over mij bekend? Anderzijds wordt deze data verzameld, opgeslagen en verwerkt in steeds meer systemen en apparaten die kwetsbaar kunnen zijn voor inbraken, zoals blijkt uit incidenten die regelmatig in het nieuws komen. De opkomst van het Internet of Things is hierin een belangrijke factor. Denk bijvoorbeeld aan fitness-trackers en slimme medische apparaten.

Anders gezegd: mensen hebben het gevoel dat er steeds meer data over ze wordt verzameld en dat die data steeds meer gevaar loopt. Inmiddels begint dat gevoel zo sterk te worden dat we kunnen verwachten dat dit aankoopbeslissingen van consumenten merkbaar gaat beïnvloeden. Voorheen was dat nog niet vaak het geval, denk aan veel geciteerde onderzoeken waarin mensen bereid waren hun wachtwoord te verklappen in ruil voor een chocoladereep. Mijn overtuiging is echter dat in 2016 privacy voor consumenten zo belangrijk wordt dat organisaties zich op dit vlak kunnen onderscheiden van concurrenten, in positieve én in negatieve zin.

Maak uw organisatie in 2016 privacy-proof

Met de meldplicht datalekken en het groeiende belang van privacy is het cruciaal voor organisaties om privacy in al z´n facetten goed te hebben ingebed in de organisatieprocessen.

Dat betekent op korte termijn dat organisaties moeten kunnen voldoen aan de meldplicht datalekken. Daarvoor zouden organisaties in elk geval de volgende vijf zaken moeten hebben geregeld:

1. Breng in kaart welke persoonsgegevens worden verwerkt

   Om persoonsgegevens goed te beveiligen is het allereerst belangrijk te weten waar in de organisatie welke persoonsgegevens worden verwerkt. Organisaties blijven ook verantwoordelijk wanneer diensten zijn uitbesteed dus neem externe leveranciers mee in deze evaluatie.

2. Evalueer de beveiliging van persoonsgegevens

   De beste manier om met de meldplicht om te gaan is om geen datalekken te hebben. Evalueer daarom de bestaande beveiliging van persoonsgegevens en verbeter deze indien nodig. Neem in deze evaluatie nadrukkelijk cryptografische maatregelen mee, om te bepalen of de versleuteling adequate bescherming biedt bij een inbreuk.

3. Zorg voor een responsplan

   Weliswaar hoeven niet alle datalekken te worden gemeld, maar wel zal voor alle incidenten moeten worden beoordeeld of ze meldplichtig zijn. Stel daarom een responsplan op waarin beschreven staat hoe om te gaan met incidenten en af te wegen of ze gemeld moeten worden in het kader van de meldplicht. Neem in het responsplan ook mee hoe te communiceren in het geval van een datalek, inclusief persvoorlichting.

4. Richt een proces in voor het melden van datalekken

   Om de melding van datalekken goed en vooral tijdig te laten verlopen is het goed de procedure voor het melden goed te beschrijven. Maak deze procedure bekend binnen de organisatie, zeker bij de helpdesk (waar meldingen binnen kunnen komen), de ICT –afdeling en Personeelszaken.

5. Richt monitoring in op datalekken

   Om datalekken daadwerkelijk te kunnen ontdekken is het nodig monitoring in te richten. Kijk daarbij niet alleen naar interne bronnen zoals netwerklogging, maar ook naar externe bronnen waar datalekken worden gepubliceerd (bijvoorbeeld Pastebin.com).

Om op de langere termijn in te spelen op het groeiende belang van privacy (inclusief regelgeving) en waar mogelijk onderscheidend te kunnen zijn op dit onderwerp moet privacy een integraal onderwerp zijn van de bedrijfsvoering van organisaties. Daarbij verdient het aanbeveling om de volgende principes leidend te laten zijn:

Ga uit van Privacy by design

Neem waarborging van privacy bij de ontwikkeling van nieuwe ICT-oplossingen en de afname van diensten vanaf het begin mee als onwrikbare randvoorwaarde. Voer voordat een nieuwe oplossing of dienst in gebruik genomen wordt een privacy impact assessment (PIA) uit om de privacy risico’s te bepalen en beperken.

Verzamel niet meer data dan nodig is en altijd doelgericht

Beperk de verzameling van persoonsgegevens tot data die nodig is en alleen wanneer daar een bedrijfsdoel voor bestaat. Data die niet wordt verzameld kan immers ook niet uitlekken.

Neem preventieve maatregelen want voorkomen is beter dan genezen

Implementeer beveiligingsmaatregelen in systemen, processen en de organisatie om beveiligingsincidenten te voorkomen. Neem daarbij niet alleen genoegen met op klassieke leest geschoeide statische maatregelen, maar zorg dat u kunt inspelen op veranderende dreigingen.

Richt monitoring in want een ongeluk zit in een klein hoekje

Ondanks preventieve maatregelen bestaat altijd het risico dat data toch uitlekt door bijvoorbeeld een inbraak of onoplettendheid. Om zo’n incident te signaleren, de schade te minimaliseren en lek te kunnen dichten is het belangrijk goede monitoring in te richten. Dat kan intern, maar wordt steeds vaker uitbesteed aan gespecialiseerde externe partijen in de vorm van een Security Operating Center.

De bovenstaande en principes kunnen uw organisatie helpen in te spelen op de Meldplicht Datalekken en het toenemende belang van privacy. 2016 is het jaar van de privacy, zorg dat uw organisatie daarop is voorbereid!