Per 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen, oftewel de mensen van wie de persoonsgegevens zijn gelekt. Ondanks dat het onderwerp al veel aandacht in de (vak)pers heeft gekregen, is de meldplicht aan veel bedrijven voorbij gegaan. Voor accountants liggen hier kansen om op dit vlak te adviseren.
Een datalek hoeft niet altijd gemeld te worden bij de Autoriteit Persoonsgegevens. Dit moet alleen als het betreffende lek leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens, of wanneer een aanzienlijke kans bestaat dat die gevolgen inderdaad realiteit worden. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd die u kunnen helpen om te bepalen of er inderdaad sprake is van ernstige nadelige gevolgen.
Wanneer spreken we van een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet alleen om het vrijkomen (lekken) van gegevens, maar ook bijvoorbeeld om onrechtmatige verwerking van gegevens. Voorbeelden zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Daarnaast is er sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens, zoals beschreven in artikel 13 van de Wet bescherming persoonsgegevens. Kortom, persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, en dat is precies de beveiligingsmaatregelen hen tegen moest beschermen.
Wat kan een accountant doen?
Zorg er allereerst voor dat u de persoonsgegevens die u zelf verwerkt, goed beveiligt. Daarnaast kunt u onder andere de volgende maatregelen nemen:
- Stel een plan op over hoe u omgaat met een datalek. Leg hierin vast wie welke rollen en verantwoordelijkheden heeft, en welke procedures er gevolgd dienen te worden
- Beslis wie binnen uw organisatie datalekken beoordeelt en meldt bij de Autoriteit Persoonsgegevens
- Denk na en leg vast hoe u betrokkenen informeert in het geval van een datalek
- Denk na over hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken, tweederde van de hacks wordt door iemand van buiten de organisatie gemeld
- Controleer afspraken met de partijen die data voor u bewerken: heeft u de juiste overeenkomst met hen gesloten?
- Laat doorlopend uw IT-omgeving controleren op kwetsbaarheden die bijvoorbeeld door achterstallig beheer zijn ontstaan
Bovenstaande activiteiten kunt u ook uitvoeren voor uw cliënten. Controleer of de bewerkersovereenkomsten die u met uw cliënten heeft nog kloppen en of deze goed worden nageleefd. Bespreek ook of uw cliënten bewerkersovereenkomsten met hun klanten hebben. Wordt de data van deze klanten nog juist gebruikt, of vindt er doeloverschrijding plaats?
Daarnaast kunt u met uw cliënten in gesprek gaan over de duur van de databewaring. Immers: hoe kleiner de dataset, hoe lager de impact van een datalek zal zijn.
Bespreek ook de maatregelen die cliënten hebben getroffen om hacks te voorkomen. Een goede en up-to-date virusscanner, een firewall en het gebruik van sterke wachtwoorden zijn helaas in veel organisaties nog niet de standaard. Ook is het zinvol om de bestaande IT-omgeving goed te monitoren op kwetsbaarheden. Zijn er bijvoorbeeld objecten in het netwerk die kwetsbaar zijn doordat ze een update missen? Gebruikt een cliënt verouderde systemen die op een andere manier beter beschermd moeten worden? Door middel van monitoring en een duidelijk dashboard zijn dit soort kwetsbaarheden goed inzichtelijk te maken.
Het begint met een goed gesprek
Het meest belangrijk is dat het onderwerp informatiebeveiliging bij uw cliënten op de agenda komt te staan. Maak ze bewust van het belang van een goede beveiliging en wees daarbij pragmatisch; inspelen op angst zorgt voor een verkeerde motivatie. Omdat niet iedereen het budget heeft van een grote bank is het belangrijk te bekijken hoe de ‘kroonjuwelen’ van een bedrijf het beste kunnen worden beschermd. Daar dienen allereerst de bestaande beveiligingsmaatregelen voor in kaart te worden gebracht. Daarna kunnen er vervolgstappen kunnen worden bepaald. Zomaar investeren in een nieuwe firewall of andere hardware kan voor schijnbeveiliging zorgen. Help uw cliënten bij het bepalen van de strategie, en schakel daarna desgewenst specialisten in voor de uitvoering.
Jan Martijn Broekhof is directeur van Guardian360 en heeft een fascinatie voor informatiebeveiliging, Internet, privacy en volgt disrupting technlogies.
Geef een reactie