Gevolgen Nederlandse meldplicht datalekken en komst Europese General Data Protection Regulation nog niet bekend binnen Nederlandse zakenleven
De Europese Commissie werkt aan nieuwe databeschermingsregels die dit jaar al van kracht moeten worden. Die Europese Privacy Verordening heeft verregaande consequenties voor bedrijven. Zij worden verplicht om hun data optimaal te beschermen. Falen ze daarin, dan kunnen ze boetes tot honderd miljoen euro of tot 5 procent van de jaarlijkse, wereldwijde omzet tegemoet zien. Het verbaast Pieter Lacroix, managing director bij securityleverancier Sophos, dan ook dat zo weinig bedrijven zich bewust zijn van de veranderende wetgeving en de impact die dat gaat hebben.
“Ik vroeg op de InfoSecurity eind vorig jaar aan een zaal van ongeveer honderd mensen wie de Europese General Data Protection Regulation kende. Slechts drie mensen staken hun hand op.” Pieter Lacroix schudt zijn hoofd. “De oude Europese databeschermingswetgeving dateert van 1995, in twintig jaar is er niets aan de wet- en regelgeving veranderd, terwijl de wereld om ons heen niet sneller had kunnen veranderen.” Hij doelt op de smartphones die vrijwel iedereen nu op zak heeft, op de kantoormuren die virtueel vrijwel niet meer bestaan en op alle data die overal verzameld, opgeslagen en gedeeld wordt. Vanuit Europa is er dan ook veel druk om de nieuwe wetgeving snel in te laten gaan. “Wanneer dat precies zal zijn, is nog niet duidelijk, maar men verwacht dit jaar nog. In een stemming van het Europese Parlement heeft 95 procent vóór de nieuwe databeschermingsregels gestemd. Kun je je dat voorstellen? Dat geeft aan dat die wet er hoe dan ook komt.” Met grote gevolgen voor Nederlandse bedrijven dus.
Encryptie bewijzen
De wet schrijft straks voor dat ieder bedrijf de data van klanten en medewerkers moet beschermen. Alle informatie die een individu kan identificeren valt onder die nieuwe regels. “Bedrijven moeten ‘passende’ beveiligingsmaatregelen nemen om hun privacygevoelige data te beschermen. Dat is natuurlijk vrij vaag woordgebruik, maar dat komt doordat de komende wet ook weer een aantal jaren mee moet. Wat vandaag de dag passend is, hoeft dat volgend jaar of over tien jaar niet meer te zijn”, legt Lacroix uit.
In onze steeds digitaler wordende maatschappij is data het nieuwe goud geworden. Niet alleen wordt er veel informatie verzameld, er wordt ook veel gedeeld, opgeslagen in de cloud, meegenomen op mobiele devices. “Allemaal mogelijke risico’s”, stelt Lacroix. “Als je een bedrijf hebt waar duizend medewerkers met een laptop rondlopen, dan is het geen kwestie van of, maar van wanneer er eentje kwijt raakt.” En onder de nieuwe wetgeving is dan de organisatie aansprakelijk. Daar ligt ook de bewijslast om aan te tonen dat de beveiliging van de laptop op het moment van verlies of diefstal wel degelijk in orde was. “Dat vergeten veel bedrijven. Ze maken wel gebruik van bijvoorbeeld encryptie, maar hebben geen reporting tools waarmee ze kunnen aantonen wat er precies versleuteld is. Doordat de bewijslast straks bij de organisatie komt te liggen, zijn die rapportagetools onmisbaar.”
Databescherming zorgwekkend laag
Veel organisaties hebben nog een lange weg te gaan voordat ze kunnen voldoen aan de ophanden zijnde wetgeving. Uit eigen onderzoek van Sophos blijkt dat iets minder dan de helft (49 procent) van de 1500 ondervraagden niet op de hoogte is van het databeschermingsbeleid van hun organisatie. Dat is een sleutelelement van de nieuwe wetgeving. Ook blijkt slechts 51 procent van de bedrijfslaptops te zijn versleuteld. “Gestolen of verloren laptops zijn de meest voorkomende bron van datalekken. Dit is dus een zeer zorgwekkend percentage”, constateert Lacroix. Maar het meest zorgwekkend vond hij de conclusie dat slechts 23 procent van de ondervraagden hun klant- en personeelsdata beschermt. “Die bescherming geldt niet alleen voor inzage van buitenaf, maar ook vanuit de interne organisatie. Organisaties moeten goed nadenken over wie welke data mag zien. Bij negen van de tien bedrijven kan de systeembeheerder bijvoorbeeld overal bij. Dat klinkt idioot, maar is wel de realiteit bij veel organisaties. En hoe zit dat als bedrijfsonderdelen zijn geoutsourcet? Wie heeft er allemaal toegang tot de informatie op de servers? En wie is er verantwoordelijk als er in dat geval iets mis gaat en privacygevoelige data op straat komt te liggen? Daar zijn heel veel bedrijven zich volslagen onbewust van.”
Functionaris voor gegevensbescherming
Grote organisaties zijn zich veelal wel bewust van de op handen zijnde wijzigingen. De grote onwetendheid ligt bij de kleinere en middelgrote bedrijven. “Een bakker of een fietsenmaker die een laptop heeft waarop adresgegevens van klanten staan en die hij ook privé gebruikt, valt straks onder dezelfde regels. Als hij zijn laptop op vakantie kwijt raakt, dan kan ook hij hoge boetes tegemoet zien.” Niet alleen door Europa, ook de Nederlandse overheid heeft privacy en security hoog in het vaandel staan. Op dinsdag 26 mei nam de Eerste Kamer het wetsvoorstel aan tot wijziging van de Wet bescherming persoonsgegevens (Wbp). Deze wetswijziging behelst enerzijds de meldplicht datalekken die stelt dat als een bedrijf privacygevoelige informatie verliest, ze dat direct moet melden bij zowel de toezichthouder als de betrokkene wier data is gelekt. Anderzijds bevat het wetsvoorstel de toekenning van een boetebevoegdheid aan de toezichthouder (het College bescherming persoonsgegevens) voor alle mogelijke schendingen van de Wbp. Het gaat dan om boetes tot 810.000 euro of 10 procent van de jaarlijkse omzet.
Een andere maatregel die grote impact gaat hebben op het midden- en kleinbedrijf is de vereiste dat iedere organisatie een functionaris aanstelt die verantwoordelijk is voor gegevensbescherming. Dat geldt voor alle bedrijven die van meer dan vijfduizend Europese burgers informatie hebben. “Een kleine organisatie die van tienduizend mensen maandelijks een paar cent ontvangt, valt al onder deze regeling. Dat kan dus ook een zzp’er zijn die een succesvolle app heeft gebouwd, bijvoorbeeld”, waarschuwt Lacroix.
Tooling en awareness
Sophos is momenteel bezig om de markt wakker te schudden en organisaties zich bewust te laten worden van de aanstaande wetgeving en de impact van die regels. “Organisaties moeten zorgen voor passende maatregelen in combinatie met een duidelijk databeschermingsbeleid.” In de praktijk ziet hij dat veel bedrijven zich verschuilen achter – vaak verouderde – gedragscodes. “Maar die zijn lastig te handhaven in deze mobiele en digitale economie. Je kunt wel tegen medewerkers zeggen dat ze niets in de cloud mogen opslaan, niets aan zichzelf mogen mailen of geen klantgegevens op een USB-stick mogen zetten, maar in de praktijk blijkt dat als dat efficiënt werkt voor de medewerker, ze dat toch gewoon doen. Gedragscode of niet.” Hij pleit voor tooling die naast automatische encryptie ook rapportagemogelijkheden biedt en adviseert organisaties te werken aan awareness binnen hun bedrijf. “Dat doe je door te blijven hameren op het belang van goede wachtwoorden, het locken van de pc als een medewerker zijn werkplek verlaat en consequent te laten zien wat je verwacht van je mensen. Iemand die tien jaar geleden bij zijn indiensttreding een code of conduct heeft getekend, weet vandaag de dag echt niet meer wat daarin stond. Herhaling is essentieel voor awareness. Alleen door de combinatie van tooling en awareness kan een bedrijf zijn data optimaal beschermen.”
Gratis check en template
Om bewustwording te kweken heeft Sophos een online check ontwikkeld waarmee bedrijven gratis en snel kunnen nagaan hoeveel risico ze lopen als de Europese Privacy Verordening van kracht wordt. Daarnaast worden er tips en adviezen gegeven hoe data beveiligd kan worden en hoe datalekken voorkomen kunnen worden. Voor bedrijven die nog geen of een verouderde gedragscode hebben, kan er op de site ook een voorbeeld van een databeschermingsbeleid worden gedownload.