Over een kleine twee maanden, per 1 januari 2016, gaat de meldplicht datalekken in. Verder heet het College bescherming persoonsgegevens (Cbp) vanaf die datum de Autoriteit Persoonsgegevens. Nog een verandering: de boetebevoegdheid van dit instituut wordt flink verruimd. Het zijn eigenlijk volstrekt overbodige mededelingen. Uiteraard heeft u het op 10 juli jongstleden al in de Staatscourant gelezen. Maar voor die enkeling die het net gemist heeft: als u de meldplicht niet naleeft kan u dat een boete opleveren van maximaal acht ton of tien procent van uw jaaromzet.
Het verbaast me zeer dat er zo weinig aandacht is voor de meldplicht datalekken. Je zou denken dat een ondernemersorganisatie of in ieder geval de overheid bedrijven hierop zou wijzen. De kleinere organisaties en grootzakelijke bedrijven zijn immers de motor van de economie. Dergelijke boetes kunnen die motor aardig laten stotteren.
Melden bij Cbp en betrokkenen
Niet alleen zijn de boetes fors, er wordt ook nog wel wat gevraagd van organisaties. Als er een datalek is waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, dan moet u dat melden bij het Cbp en in bepaalde gevallen moet u het ook melden bij de personen van wie u de gegevens beheert. Dat vraagt dus om goede beveiliging, monitoring en incidentenbeheer. Bovendien moet u een communicatieproces op gang brengen als u betrokkenen (van wie u misschien net de gegevens kwijt geraakt bent) moet informeren.
Een ‘beetje’ op de hoogte
Heeft u die systematiek al klaar voor uw organisatie? De kans is betrekkelijk klein dat u die vraag met ‘ja’ beantwoordt. Wij hebben in september onderzoek laten doen onder IT-managers bij overheid, in de zorg, onderwijs en vervoer en bij financiële instellingen. Daaruit blijkt dat 13 procent van de ondervraagden zegt volledig op de hoogte te zijn van de meldplicht, 29 procent is ‘een beetje’ op de hoogte. De overige 58 procent is niet op de hoogte. Van degenen die wel en een beetje op de hoogte zijn heeft 29 procent maatregelen genomen, 44 procent is dat van plan, de rest heeft niets gedaan. Reken je dat terug naar de hele groep ondervraagden, dan is 14 procent in actie gekomen vanwege de meldplicht.
Met encryptie is het risico op een boete nagenoeg nihil
Uit hetzelfde onderzoek blijkt dat 24 procent encryptie noodzakelijk vindt voor de beveiliging van alle data intern en extern. Een groter percentage, 31 procent, vindt encryptie helemaal niet noodzakelijk. Nog een flink deel, 24 procent, weet niet of encryptie nodig is. Waarom ik deze twee zaken – meldplicht en encryptie – bij elkaar breng? Met encryptie voorkom je niet zozeer het lekken, daar heb je andere oplossingen voor. Je voorkomt wel de onrechtmatige verwerking van persoonsgegevens na een lek. En daarmee vervalt de noodzaak van het melden van een lek bij de betrokkenen. En daarmee is het risico op een boete aanzienlijk kleiner.
U bent uiteraard volledig op de hoogte van de meldplicht datalekken. In uw organisatie is bovendien al uw data volledig versleuteld. Deze blog is dus volstrekt overbodig voor u. Maar misschien zijn er mensen in uw omgeving minder geïnformeerd. Voor hen kunt u het onderzoek naar de meldplicht datalekken en encryptie uiteraard aanvragen. Stuur mij een mailtje of kom langs bij onze stand op Infosecurity op 4 en 5 november.