Netherlands

Loading

Meldingsplicht datalekken vereist voorbereiding

Blog

De kogel is door de kerk: eind mei nam de Eerste Kamer de Wet meldplicht datalekken en boetebevoegdheid CBP aan.

Deze nieuwe wet verplicht organisaties om melding te maken van inbreuken op beveiligingsmaatregelen voor persoonsgegevens. In feite is dat een uitbreiding van de Wet bescherming persoonsgegevens (Wbp). Met de meldplicht wil de Nederlandse overheid de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken. Dat is belangrijk omdat steeds meer bedrijven gepersonaliseerde diensten via het internet, mobiele en sociale netwerken en online platforms aanbieden. Door de wet wordt informatiebeveiliging één van de essentiële uitgangspunten voor elke organisatie. Dat is een goede zaak. Want hoewel de waarde van digitale en immateriële activa (bijv. goodwill, patenten, klantenbestanden en broncode van software) voor steeds meer bedrijven net zo groot is als die van materiële zaken zoals gebouwen en hun inventaris, wordt digitale of immateriële waarde momenteel slechts voor gemiddeld 12 procent opgenomen in een verzekeringsprogramma. Voor materiële activa is dat ruim 50 procent. Een vreemde verhouding: digitale activa zijn bijna 40 procent kwetsbaarder.

Om gevoelige informatie optimaal beveiligd te houden, is het zaak dat organisaties hun beleid daarvoor inbedden in hun dagelijkse praktijk. Dat kan het best door:

  • De risico’s te beoordelen;
  • algemeen geaccepteerde beveiligingsstandaarden te gebruiken, en;
  • regelmatig te controleren en evalueren.

Het College Bescherming Persoonsgegevens – binnenkort: de Autoriteit Persoonsgegevens – moet nog met precieze richtlijnen komen voor toepassing van de wet. Naar verwachting treedt die per 1 januari 2016 in werking; dat valt samen met de versterking van het regelgevende kader vanuit de Europese Privacy Verordening. Organisaties doen er verstandig aan om nu al de gevolgen hiervan in kaart te brengen en maatregelen te treffen om schade te voorkomen. Cruciaal is het investeren in de juiste beheersmaatregelen. De boetes voor een niet gemeld lek zijn hoog, en zonder passende beheersmaatregelen loopt de mogelijke schade alleen maar verder op.

Reputatieschade
Het effect van zo’n boete is groter dan de financiële schade alleen; een beboete organisatie krijgt zeer waarschijnlijk ook met negatieve publiciteit te maken. In de praktijk zie ik dat dit ook tot reputatieschade kan leiden. Een organisatie waarvan gegevens vrij toegankelijk op internet of sociale media belanden, maakt immers een onbetrouwbare en onprofessionele indruk. In extreme gevallen kan een beschadigde reputatie zelfs het voortbestaan van een organisatie bedreigen.

Omdat de gevolgen zo verstrekkend kunnen zijn, dient een directie de (financiële) risico’s van een gebrekkige informatiebeveiliging ook inhoudelijk te beoordelen en passend beleid te formuleren. Dat raakt rechtstreeks aan de verantwoordelijkheid voor ‘behoorlijk bestuur’ van de onderneming. Voorbeelden van onbehoorlijk bestuur zijn onder meer een nalatige bescherming van de onderneming tegen voorzienbare risico’s en het onvoldoende informeren van commissarissen waardoor deze worden gehinderd in hun toezichthoudende taak. De vraag is dus: is de organisatie aantoonbaar in control, en uit welke feiten en cijfers blijkt dat de interne beheersmaatregelen in de praktijk ook worden nageleefd? Nu het aantal IT-gerelateerde schades groeit, ook in omvang en complexiteit, geldt de plicht voor behoorlijk bestuur ook meer en meer voor de bescherming van digitale en/of immateriële activa.

Schadelastpreventie
Mijn advies: voer altijd eerst een risicoanalyse uit. Daarmee creëert u niet alleen bewustwording, maar ondersteunt u ook uw besluitvorming. Zo kan uit de resultaten blijken dat uw risicomanagement beter kan, of zelfs noodzakelijk is. Bespreek de resultaten van een risico-inventarisatie en -analyse met een vertegenwoordiging vanuit het management of de directie. Beoordeel vervolgens aan de hand daarvan welke aanvullende maatregelen u moet nemen.

Door Mark Buningh, Cyber Risk Practice Leader bij Aon Risk Solutions