Iedereen kent het voorbeeld van de werklaptop die per ongeluk in de trein wordt vergeten of de zoekgeraakte usb-stick met daarop belangrijke informatie. Serieuzer kan het worden wanneer een bedrijfssysteem doelbewust gehackt wordt, of persoonsgegevens van binnenuit worden misbruikt om fraude mee te plegen. Databeveiliging is steeds belangrijker voor organisaties. Om de regelgeving rondom de bescherming van persoonsgegevens extra kracht bij te zetten, is in Nederland sinds 1 januari 2017 de Wet Meldplicht Datalekken van kracht gegaan.
Belang van beveiliging persoonsgegevens
“Persoonsgegevens zijn ontzettend belangrijk en organisaties hebben de verantwoordelijkheid om hier zorgvuldig en veilig mee om te gaan”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens (AP). “Persoonsgegevens zijn in de huidige tijd veel geld waard en worden wel het nieuwe goud genoemd. Dat moet je goed bewaken.” De hoeveelheid gegevens groeit. Het gaat vaak om gevoelige gegevens die mensen echt niet op straat willen hebben liggen, zoals medische of financiële data. Al in de jaren tachtig zijn door de OECD (Organisatie voor Economische Samenwerking en Ontwikkeling) acht basisprincipes vastgesteld om de privacy van personen te waarborgen.
Deze principes zijn in de loop der jaren uitgewerkt en vormen nog steeds de leidraad voor de huidige privacywetgeving, in Nederland vormgegeven in de Wet bescherming persoonsgegevens (Wbp), vertelt Hennie Daniels. Hij is professor Business Intelligence aan de Erasmus Universiteit Rotterdam en associate professor Informatiesystemen aan de Universiteit van Tilburg. De inhoud van de wetgeving ligt redelijk voor de hand en toch blijkt uit verschillende voorbeelden dat naleving in de praktijk moeilijk is, stelt Daniels. Recentelijk nog werd bekend dat de energiegegevens van ruim twee miljoen Nederlandse huishoudens onrechtmatig in handen van een oud-medewerker van een energieleverancier zijn gevallen. Het ging om gegevens rond jaarverbruik, einddatum van contracten en adresgegevens. Eerder dit jaar werd bij de centrale bank van Bangladesh via een malware-aanval bijna 72 miljoen euro buitgemaakt. Uit de vele bedrijven die data protection-systemen aanbieden, blijkt ook dat databeveiliging voor veel organisaties steeds belangrijker is, zo was te zien op de grote securitybeurs afgelopen september in het Duitse Essen.
Datalekken en de nieuwe meldplicht
Een datalek kan vele vormen aannemen: gegevens kunnen bijvoorbeeld per ongeluk naar de verkeerde ontvanger worden gestuurd, een laptop of ander opslagmedium kan verloren gaan, een organisatie kan gehackt of bestolen worden door middel van malware, ransomware of phishing. Ook kan een cloudprovider gehackt worden, al is die kans veel kleiner gezien de beveiliging voor cloudproviders doorgaans dehoogste prioriteit heeft. Er is, zegt Daniels, altijd een technische en een menselijke kant aan het verhaal, en daarom zijn datalekken van binnenuit de organisatie het moeilijkst op te lossen. Er zijn organisaties met duidelijke onderliggende beveiligingsrisico’s, waar bijvoorbeeld laptops of usb-sticks niet geëncrypt zijn, maar het kan ook misgaan bij bedrijven waar er geen sprake is van evident slechte beveiliging. Iedereen kan te maken krijgen met een datalek. Tomesen: “Organisaties zijn in veel gevallen verplicht om dit bij ons te melden. De AP gaat vertrouwelijk om met de meldingen, juist om ervoor te zorgen dat organisaties hun datalek blijven melden. Op de niet-melders zijn wij dan ook heel alert.” Elke organisatie met data loopt een risico, stelt Daniels. “Ik gebruik zelf gedeelde mappen in Google Drive, bijvoorbeeld om vakantiefoto’s met mijn familie te delen. Stel dat ik daar per ongeluk een map in sleep met gegevens en tentamencijfers van studenten? Het kwaad kan snel geschied zijn.” Daniels ziet dat organisaties die met gevoelige gegevens werken, steeds bewuster en voorzichtiger met die data omgaan. Dit bewustzijn rondom databeveiliging is volgens beide experts vergroot door de nieuwe Wet Meldplicht Datalekken. Ook draagt de media-aandacht die steevast volgt op datalekken en de angst voor imagoschade hieraan bij.
Om de bescherming van persoonsgegevens een extra impuls te geven, is aan de bestaande wetgeving begin 2017 de Wet Meldplicht Datalekken toegevoegd. De meldplicht gebiedt organisaties (bedrijfsleven en overheid) binnen 72 uur melding te doen bij de AP zodra een datalek is opgemerkt. Een datalek omvat ‘de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie’. Een datalek gaat dus niet alleen over het lekken maar ook over het onrechtmatige gebruik van gegevens. “Het komt er simpel gezegd op neer dat wanneer gegevens op straat komen te liggen of er iets anders mee gebeurt dan de bedoeling was, dat aan de Autoriteit Persoonsgegevens gemeld moet worden”, legt Tomesen uit. In bepaalde gevallen moet het datalek ook gemeld worden aan de gedupeerden wier persoonsgegevens zijn gelekt. Op het niet op tijd melden kunnen boetes tot 820.000 euro volgen. In 2016 zijn bij de AP tot nu toe ongeveer 3600 meldingen van datalekken binnengekomen. In absolute aantallen is dat best flink, maar gezien het enorme aantal organisaties dat met persoonsgegevens te maken heeft, valt het mee. De meldingen lopen erg uiteen in soort, grootte en hevigheid.
Voorkomen is beter dan genezen
Hoe belangrijker de rol van data binnen een organisatie is, hoe groter ook de risico’s. De AP onderzoekt bij een melding eerst wat bedrijven hadden kunnen doen om een lek te voorkomen. Volgens Tomesen kan er in de preventie veel verbeterd worden. Organisaties moeten datalekken onderkennen en er goed op bedacht zijn. Zo zouden organisaties hun eigen beveiliging onder de loep moeten nemen en met goed incidentenbeheer en duidelijke protocollen voorbereid moeten zijn op een ‘datacrisis’. Er moet gedacht zijn aan voldoende back-ups, het informeren van gedupeerden en hoe intern onderzoek ingezet moet worden naar de oorzaak. Al bij het ontwerp en de ontwikkeling van nieuwe systemen moet goed nagedacht worden over de beveiligingseisen, stelt Daniels. Dit wordt ook wel design for safety genoemd. Er zijn tal van andere zaken die organisaties kunnen overwegen om data beter te beveiligen. Eén manier is gegevens zo beveiligen dat zij wel te lezen zijn maar niet kunnen worden opgeslagen of bewerkt, zoals bij een e-book.
Anonimiteit van persoonsgegevens
Organisaties kunnen er ook voor kiezen om data te anonimiseren wanneer vooral de kwantiteit van de gegevens belangrijk is. Als bijvoorbeeld wordt bijgehouden hoeveel wordt verkocht, hoeven niet alle persoonsgegevens van de kopers bewaard te worden. Ook kunnen niveaus aangebracht worden in de toegang tot data; niet elke medewerker hoeft immers in alle data inzage te hebben. Dit soort differentiaties kunnen zelfs op queryniveau worden ingesteld. Naast alle technische beveiligingsmogelijkhedenmoeten organisaties zich realiseren dat menselijk handelen veelal ten grondslag ligt aan datalekken. Daarom is het zaak om te bepalen welke medewerkers welke rechten hebben, en of dat alleen lees- of ook bewerkrechten zijn. Je kunt ook instellen dat data alleen toegankelijk is door meerdere mensen samen. Vergelijk het met de bankkluis die alleen geopend kan worden door vier medewerkers tegelijk, allemaal met een eigen sleutel. Integriteit binnen de organisatie is volgens Daniels essentieel. “Als iemand van binnenuit kwaad wil, is het bijzonder lastig je daartegen te wapenen.”
Beveiliging persoonsgegevens en de cloud
Veel bedrijven worstelen met de vraag of data beter binnenshuis of buitenshuis opgeslagen kan worden. Een cloudprovider biedt dataopslag aan via een publiek of privaat netwerk of een combinatie daarvan. In de cloud kunnen ook zogenaamde communities gevormd worden, waarin gegevens gezamenlijk worden opgeslagen, bijvoorbeeld binnen een branche. Cloudproviders nemen allerlei maatregelen om de gegevens te beveiligen, vertelt Daniels. Dat doen ze door PET-technologie (privacy enhanced technologies), een verzamelnaam voor verschillende technieken in informatiesystemen om gegevens te beschermen, zoals encryptie en ‘virtuele fysiekeisolatie’, waardoor een netwerk praktisch net zo moeilijk te hacken is als een LAN (local area network). Organisaties kunnen met cloudproviders meestal een servicelevel agreement afspreken. Daniels: “Ik denk dat data in de cloud via een professionele cloudprovider vaak veiliger is dan binnenshuis bij een organisatie wiens core business dit niet is. Voor cloudproviders is de beveiliging van data dat wel.” Er zijn bovendien cloud-auditors; controleurs van cloudproviders die checken of aan alle beveiligingseisen wordt voldaan.
Melden, onderzoeken, straffen
Na een melding kan de AP onderzoeken hoe een lek heeft kunnen plaatsvinden. In bepaalde gevallen wordt in contact met de organisatie achterhaald wat er precies gelekt is, hoe dat heeft kunnen gebeuren en of de betrokkenen zijn ingelicht, vertelt Tomesen. Want als bij het lekken van gegevens de kans bestaat dat dit personen schade zal berokkenen – een lek kan leiden tot misbruik van gegevens of zelfs identiteitsfraude – is ook het melden aan de gedupeerden verplicht. Er zijn vervolgens twee soorten sancties mogelijk. Allereerst kan een boete opgelegd worden wegens het niet op tijd melden van een lek. Het is daarbij ook belangrijk dat de organisatie adequaat de gedupeerden heeft ingelicht. Als uit het onderzoek blijkt dat een organisatie te maken heeft met verwijtbare onderliggende beveiligingsprobleem, kan de AP onderzoek doen en extra sancties opleggen. Op dit moment zijn er nog geen boetes uitgedeeld, licht Tomesen toe. “We worden wel steeds strenger in de handhaving. Ik heb de indruk dat bedrijven in toenemende mate in de gaten hebben wat de impact van een datalek kan zijn en dat zij hun verantwoordelijkheid nemen.”
Dat er nog geen boetes zijn opgelegd, laat wel zien hoe lastig het is om te beoordelen of de schuld van een lek bij een organisatie zelf ligt, stelt Daniels. “Wanneer is een bedrijf nou nalatig geweest? Dat blijft een lastige kwestie.” Ook de hoogte van de boete is ingewikkeld te bepalen. Bij holdings of afdelingen die bijvoorbeeld met een eigen server werken, is het de vraag of de gehele organisatie zou moeten opdraaien voor een eventuele boete. Ook bij misbruik van binnenuit kan ter discussie staan in hoeverre de organisatie als geheel verantwoordelijk gesteld kan worden. Vanaf het voorjaar van 2018 gaat een nieuwe Europese verordening over privacy van kracht, de General Data Protection Regulation, die zal gelden voor alle landen van de EU.
Een verordening uit de EU
Een Verordening betekent één wet in de hele Europese Unie, in plaats van 28 verschillende nationale wetten. Elk land moet verplicht een onafhankelijke toezichthouder hebben, maar alle autoriteiten tezamen zijn straks verantwoordelijk voor het naleven van de verordening. In de verordening is voor heel Europa een meldplicht datalekken opgenomen. De nieuwe Europese privacywetgeving verstevigt de positie van burgers, verzwaart de verplichtingen van organisaties en geeft de Europese privacy toezichthouders meer bevoegdheden om naleving van de wet te stimuleren en waar nodig te handhaven. Hiermee toont heel Europa aan dat de beveiliging van persoonsgegevens voor organisaties van belang is. “Volkomen terecht”, volgens Tomesen; “de beveiliging van persoonsgegevens moet overal zo hoog mogelijk op de agenda komen te staan.”