De boetes liegen er niet om: 4% van de omzet met een maximum van twintig miljoen euro. En de Raad van Bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens die straks strenger gaat handhaven hebben we het hier niet over bangmakerij. Maar hoe zorg je ervoor dat de kans op een boete of op reputatieschade tot het minimum beperkt wordt? Advocaat Judith Vieberink legt de verschillen tussen WBP en GDPR uit en verduidelijkt welke stappen organisaties zelf kunnen nemen om aan de nieuwe wet- en regelgeving te voldoen.
In mei 2018 gaat de Algemene Verordening Gegevensbescherming (de General Data Protection Regulation ofwel GDPR) in. “Door de AVG wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens”, vat Judith Vieberink van First Lawyers de verandering samen tijdens Bright & Cloudy 2017.
“Alleen zeggen dat je gegevens beschermt of een privacy-beleid hebt, is niet genoeg. Je moet kunnen bewijzen dat je er als bedrijf of organisatie alles aan gedaan hebt om zorgvuldig om te gaan met persoonlijke gegevens.” De bescherming van persoonsgegevens is niet nieuw, maar er zijn wel drie punten waarop de GDPR verder gaat dan de huidige wet bescherming persoonsgegevens op het gebied van IT-security.
1. Meer inzage in persoonsgegevens
De nieuwe wetgeving geeft burgers veel meer rechten, en dat heeft onmiddellijke consequenties voor ondernemingen en organisaties die persoonsgegevens verwerken. In de praktijk geldt dit voor vrijwel elke organisatie van enige omvang. Door de nieuwe verordening gegevensbescherming:
- Moet een burger zijn of haar elektronische persoonsgegevens direct in kunnen zien;
- Mag een burger zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener of een energieleverancier;
- Heeft een burger het ‘recht om vergeten te worden’.
“Het gedachtegoed van de AVG is dat wetgeving niet alleen effectief is wanneer het top down opgelegd worden, door toezichthouders, maar ook bottom up, door burgers die rechten kunnen uitoefenen”, aldus Vieberink. Voor grotere ondernemingen, maar ook voor het MKB, betekenen deze nieuwe burgerrechten minimaal dat voorwaarden, ICT-systemen, softwarecontracten en security-policies moeten worden geactualiseerd.“
Wat zijn de gevolgen van meer rechten?
De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zal je data moeten classificeren. Welke data zijn persoonlijk en welk beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien.
Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.
Belangrijke acties voor uw IT-security:
- Dataclassificatie
- Het loggen van alle toegang
- Data-encryptie
2. Opvolgplicht en openbaarheid van datalekken
Wat zijn de gevolgen van de opvolgplicht
Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met een goed georganiseerde IT-infrastructuur. Wat moet je daarvoor regelen:
- Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart;
- Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging;
- Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen;
- Respons: reageer op eventuele incidenten.
Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen. ON2IT gaat in dit proces overigens nog een stap verder. Na respons volgt mitigatie: leer van incidenten om de processen in de toekomst te verbeteren.
Wat zijn de gevolgen van openbaarheid?
Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken personen. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen, zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie.
Je moet weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende aanwezig? Zorg dan dat je een externe back-up hebt op dat gebied. Overheidsinstanties en publieke organisaties moeten in ieder geval een Functionaris voor de gegevensbescherming (FG) aanstellen die toezicht moet houden op de toepassing en de naleving van de AVG, maar ook voor bedrijven die omgaan met grote hoeveelheden persoonsgegevens kan zo’n functionaris verplicht zijn. Daarbij zijn overigens ook varianten mogelijk waarbij organisaties de functie van de FG outsourcen.
Belangrijke acties voor uw IT-security:
- Zorg voor een proces van identificatie-preventie-detectie-respons;
- Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident;
- Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.
3. Privacy by design
Wat zijn de gevolgen van privacy by design?
Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.
Door de nieuwe wetgeving wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens en datalekken voorkomen.
Belangrijke acties voor uw IT-security:
- Betrek alle afdelingen;
- Ga na welke data je wel/niet kunt koppelen aan een persoon;
- Kijk ook naar data-opslag (en data-verwijdering).
“Risico’s van non-compliancy – niet voldoen aan de wetgeving – zijn bij de AVG/GDPR groter dan bij de huidige WBP. Nu geeft de toezichthouder AP een bindende aanwijzing aan bedrijven, die aanwijzing valt weg binnen de AVG. Bedrijven lopen dus direct kans op een hoge boete”, aldus Vieberink. “Reden temeer om privacy by design als ontwerpprincipe te gebruiken en processen in de organisatie door te lichten.”
Waar ligt de bewijslast?
Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale IT-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de Raad van Bestuur. Op strategisch niveau zal namelijk de risicoanalyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?
“Door de nieuwe wetgeving wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens en datalekken voorkomen. Alleen zeggen dat je dit doet is niet genoeg, je moet het kunnen bewijzen aan klanten, dataverwerkers en de toezichthouder”, zegt Vieberink.
Concrete stappen
Welke stappen kan een organisatie concreet zetten om aan de nieuwe wet- en regelgeving te voldoen? Volgens Vieberink van First Lawyers zijn er vier stappen die iedere organisatie moet zetten. “Ten eerste moet ik weten waarvoor ik verantwoordelijk ben als organisatie: verwerk ik data, ben ik verantwoordelijke, hoe ziet de samenwerking met andere partijen (in de keten) eruit? Ten tweede wil ik weten: welke gegevens verwerk ik, in het primaire proces, en wat doe ik in opdracht van klanten?”
Vieberink: “Ten derde wil ik passende beheersmaatregelen treffen, zoals security-maatregelen en wettelijke maatregelen, en een register bijhouden van activiteiten en van wie welke toegang heeft in mijn organisatie. Tenslotte moeten organisaties kijken naar contractuele maatregelen met klanten of onderaannemers: wat voor schade of boetes kan ik oplopen, wat is de hoogte van de boete en zijn contracten goed afgedicht?”
Marcel van Eemeren, CEO van ON2IT, vult aan dat een groot deel van deze stappen bij bestaande klanten al is ingericht, los van de AVG vereisten. “Weten welke data je verwerkt, waar deze zich bevindt en 100 procent zichtbaarheid bieden in elke geoorloofde of ongeoorloofde toegang tot die data, zijn al jarenlang de pijlers van onze Zero Trust aanpak voor cybersecurity.
Het is voor ons relatief eenvoudig om de aanvullende AVG-eisen en compliance in ons bestaande ON2IT Security Framework op te nemen. Ondernemingen die nog moeten beginnen met het opnieuw inrichten van hun AVG-beleid en security kunnen met onze gap analysis snel inzicht krijgen in de kwaliteit van hun IT-security.”
Hij besluit dat het voldoen aan wet- en regelgeving van cruciaal belang is voor elke onderneming, maar waarschuwt dat die compliance met wetten en regels niet de definitie mag zijn van wat ‘goed genoeg’ is voor je IT-securitybeleid. “Wanneer je op papier honderd procent compliant bent, maar je productielijn wordt weken stilgelegd door IoT-malware, dan heb je een veel groter probleem.”