Binnenkort moeten gehackte bedrijven zich verplicht melden. Maar wanneer moet een manager melding doen?
Vooruitlopend op de Europese General Data Protection Regulation (GDPR) is onlangs een wetsvoorstel voor het melden van datalekken aangenomen in de Eerste Kamer.
Boetebevoegdheid
Volgens dit wetsvoorstel krijgt College Bescherming Persoonsgegevens (CPB) een boetebevoegdheid die kan oplopen tot 810.000 euro of 10 procent van de jaaromzet van het bedrijf dat de fout in gaat. Verder komt er door dit wetsvoorstel een meldplicht voor gegevensverlies.
Better safe than sorry
De meldplicht houdt in dat bedrijven en overheden melding moeten maken van hackersaanvallen op de beveiliging die de bescherming van persoonsgegevens in gevaar brengen. De hamvraag is: wanneer zijn managers dan meldingsplichtig? Zeker in het begin geldt het devies: “better safe than sorry”.
Risico
Bedrijven lopen onnodig risico, zo blijkt uit onderzoek dat door Sophos werd uitgevoerd in Engeland, Duitsland en Frankrijk. Bijna de helft van de ondervraagde managers reageerde vertwijfeld toen ze gevraagd werd hoe de databeschermingsbeleid in hun onderneming is geregeld.
51 procent versleuteld
Slechts 23 procent geeft aan dat zowel de klant- als de personeelsgegevens bij hen in veilige handen zijn. Maar 51 procent van zakelijke laptops is versleuteld. Dat is vreemd, als je je bedenkt dat verlies of diefstal van laptops in taxi’s, hotels of vliegvelden schering en inslag is.
Mega-datalek
Dankzij de toegenomen opslagcapaciteit is er veel meer data aanwezig op onze mobiele apparaten. Het risico op een mega-datalek is levensgroot.
Positieve aspecten
Er zijn wel degelijk ook positieve aspecten aan de Europese GDPR. Eén consistente wet die in alle 28 EU-landen gaat gelden, bespaart het Europese bedrijfsleven jaarlijks 2,3 miljard euro. Multinationals hebben nog maar met één toezichthoudende autoriteit te maken, ook al doen ze zaken in meerdere EU-landen.
Grenzen te boven
De GDPR heeft bovendien een werking die landsgrenzen te boven gaat; iedereen die data bewaart van Europese burgers moet zich aan de wet houden. Dat schept een gelijk speelveld voor alle ondernemingen. Maar ook Europese burgers profiteren van de GDPR doordat ze expliciet toestemming moeten geven voor wat er met hun gegevens gebeurt.
Artikelen 30 tot 32
De GDPR draait vooral om de artikelen 30 tot en met 32, die regelen welke data beschermd dient te worden (financiële transacties, klantgegevens en medische dossiers), wanneer een datalek bij de autoriteiten gemeld moet worden en wanneer ieder slachtoffer van een datalek geïnformeerd dient te worden.
Concreet zijn er drie verplichtingen:
- Iedere manager moet passende maatregelen nemen om persoonlijke gegevens te beschermen.
- Daarnaast moet er een databeschermingsbeleid actief zijn waarin wordt aangegeven hoe data effectief wordt beschermd.
- Ondernemingen die persoonlijke data van meer dan 5.000 EU-burgers beheren moeten bovendien een Data Protection Officer aanstellen.
Bij grove nalatigheid zijn de boetes niet mals. Ze kunnen oplopen tot 100 miljoen euro of 5 procent van de wereldwijde omzet. Maar zo ver hoeft het allemaal niet te komen. Als de onderneming kan aantonen dat de gelekte data versleuteld is via encryptie kan het informeren van individuele slachtoffers achterwege blijven.
Alleszins redelijk
Waarschijnlijk hoeven ondernemingen die hun encryptieprocedures goed op orde hebben en dit ook kunnen bewijzen (!) ook geen boete te betalen. Dat klinkt dan weer alleszins redelijk.
Anthony Merry is Director Product Management binnen de divisie Data Protection van Sophos