Sinds 1 januari dit jaar zijn organisaties verplicht datalekken te melden. Komt het boek wel op tijd?
Joris Hutter: Ja, veel managers zijn zich nog steeds te weinig bewust van de risico's en verplichtingen.
Koen Versmissen: In zekere zin zijn we nog te vroeg, want de richtsnoeren waarin het College Bescherming Persoonsgegevens uitlegt hoe je met de meldplicht moet omgaan zijn nog niet definitief. Wij hebben het boek geschreven op basis van de concept-richtsnoeren.
Wat is een datalek precies?
Koen Versmissen: Dat vertrouwelijke persoonsgegevens ergens terechtkomen waar ze niet horen, bijvoorbeeld door een hack of omdat iemand een laptop, USB-stick of papieren kwijtraakt.
Joris Hutter: Kwijtraken kan ook betekenen dat je er niet meer bij kunt. Bijvoorbeeld een apotheker die alle gegevens op één harddisk heeft staan die crasht. Omdat dit gevolgen heeft voor mensen, in dit geval patiënten, moet hij melding maken van dit datalek. Een datalek kan soms ook zijn dat je een e-mailbericht aan een heleboel mensen cc’t in plaats van bcc’t.
Oeps, en krijg ik dan een boete?
Koen Versmissen: De gemiddelde boete is 120 duizend euro en het maximum is vijf ton. De verwachting is dat je voor de eerste overtreding nog geen boete krijgt. Maar het kan goed zijn dat de toezichthouder wel eist dat je op korte termijn ingrijpende maatregelen neemt.
Welke gegevens zijn precies persoonsgegevens?
Koen Versmissen: De meeste mensen denken aan naw-gegevens en het burger service nummer, maar het gaat ook om medische dossiers en vertrouwelijke informatie die samenhangt met de arbeidsrelatie, zoals personeelsdossiers. Denk verder aan gegevens over bijvoorbeeld surf- en koop- en betaalgedrag.
Hoe groot is het risico van een datalek?
Koen Versmissen: Je hebt hackers die jagen op persoonsgegevens en die deze verkopen aan de hoogste bieder. Daaronder zitten bedrijven die de gegevens willen gebruiken voor hun marketingdoeleinden. Maar de kopers kunnen ook criminelen zijn die uitgaven willen doen op naam van iemand anders.
Joris Hutter: Of een hacker installeert malware op de computer en versleutelt jouw gegevens. Dan kun je er alleen weer bij als je betaalt. Het gijzelen van gegevens is ook een datalek, want je hebt dan geen toegang meer tot je gegevens.
Koen Versmissen: Een datalek kan ook leiden tot indirecte fraude. Als jouw gegevens bijvoorbeeld worden gehackt in een slecht beveiligde webshop kan iemand proberen of jouw gebruikersnaam en wachtwoord ook werken bij ING.
Hoe veel kost een datalek?
Koen Versmissen: Uit verschillende onderzoeken komt een gemiddelde naar voren van 150 á 200 euro per klant. In de zorg en de financiële sector liggen die bedragen iets hoger. Als je 10 duizend klanten hebt, kan het je dus twee miljoen euro kosten.
Uit de vele voorbeelden in het boek blijkt dat elk bedrijf de pineut kan zijn. De Amerikaanse winkelketen Target, werd - what’s in a name - het doelwit van hackers, die 70 miljoen namen, e-mailadressen, telefoonnummers en zelfs codes van creditcards buitmaakten hoewel het systeem in orde was. Dat kostte het bedrijf uiteindelijk 54 miljoen euro. Hoe kan dat nou?
Joris Hutter: Ze hadden alle technologie om gegevens te beveiligen, maar het ging mis bij de procedures.
Koen Versmissen: Het was een nieuw systeem dat zoveel waarschuwingen afgaf dat er signaalmoeheid optrad. En omdat er ten tijde van de hack een vacature was voor het hoofd van de afdeling werd die afdeling niet goed aangestuurd. Daardoor heeft het bedrijf niet goed op de signalen gereageerd. Pas na vier maanden kwamen ze er achter dat er malware was geïnstalleerd om persoonsgegevens weg te sluizen. Een systeem alleen is dus niet genoeg, je moet ook de organisatie er omheen inrichten.
Hoe krijg je nu grip op datalekken?
Joris Hutter: Dat beschrijven wij in ons boek met stappenschema’s. Om het beknopt te houden beschrijven wij ook de aanpak in één dag: als je nog niets hebt en wilt beginnen, zorg dan in de eerste plaats dat er een datalekteam komt, zodat duidelijk is wie er bij een datalek aan zet is en welke bevoegdheden deze mensen hebben. Het tweede dat je op één dag kunt doen is een meldaanpak bedenken en oefenen op je belangrijkste systeem met de gedachte dat daar morgen een datalek is. Dan heb je alvast iets en dat is altijd beter dan niets.
Koen Versmissen: Het College Bescherming Persoonsgegevens snapt ook wel dat je niet in één keer alle procedures op orde kunt hebben. Het kan dus gefaseerd.
Joris Hutter: Je moet proberen het zo veel mogelijk in te passen in je bestaande organisatie en te laten aansluiten op bestaande procedures. Het belangrijkste is dat je als manager in control bent. In aanvulling op het boek hebben we een tool uitgebracht waarin je alle beheeractiviteiten rond de omgang met datalekken kunt plannen en monitoren.
Wat moet je precies doen bij een datalek?
Koen Versmissen: Je moet eerst het lek dichten. Dat is niet de stekker eruit trekken, want dan weet je zeker dat het hele bedrijf plat gaat. Je moet een balans vinden tussen wat wel en niet nodig is. Het tweede is: melden. Je hebt zowel een meldplicht aan de Autoriteit persoonsgegevens als aan de personen van wie de gegevens gelekt zijn. Tenslotte moet je gericht en eerlijk met andere stakeholders en de pers communiceren over het datalek om de reputatieschade voor jouw organisatie te beperken.
Joris Hutter: Je krijgt al gauw vragen in de markt: hoe zit het met jullie beveiliging? Het belangrijkste om grip op datalekken te krijgen is jouw mensen bewust maken van de risico's, van wat ze wel en niet moeten doen. Je kunt ontzettend veel voorkomen als iedereen er alert op is.
De richtsnoeren zijn nog niet definitief, hoe kun je de ontwikkelingen bijhouden?
Joris Hutter: Via www.gripopdatalekken.nl.