Factsheet Meldplicht datalekken 2016

1 jaar meldplicht datalekken

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de Autoriteit Persoonsgegevens bijna 5500 meldingen ontvangen van datalekken. De Autoriteit Persoonsgegevens is inmiddels met tientallen onderzoeken bezig naar aanleiding van datalekmeldingen.

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking.

Soorten datalekken

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Sectoren

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Meldplicht datalekken 2016

Download hier de volledige Factsheet van 2016

Acties Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft ruim 4.000 binnengekomen meldingen nader bekeken en soms aanvullende vragen gesteld. Ruim 100 organisaties kregen naar aanleiding hiervan een waarschuwing van de Autoriteit Persoonsgegevens. In enkele andere tientallen gevallen doet de Autoriteit Persoonsgegevens een diepgaander onderzoek. Deze onderzoeken lopen nog.

Meldloket Autoriteit Persoonsgegevens

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken. In het privacystatement formulier is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.

Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Meer informatie

Lees hier meer over de Meldplicht datalekken
Download hier Factsheet facts & figures van 2016

 

Personeel de zwakste schakel? Veel te kort door de bocht!

Ligt het echt allemaal aan onveilig gedrag van personeel?

Recente datalek-incidenten bij Ziekenhuizen en onderzoeksinstellingen, waarbij gevoelige patiëntinformatie op straat terecht is gekomen, staan niet op zichzelf.

 

Personeel zorginstelling hackOok nu weer, waarbij het Antoni van Leeuwenhoek instituut in de pers is gekomen nadat gevoelige patiëntinformatie op een onbeveiligde harde schijf is gezet die vervolgens uit een auto werd gestolen. Hierbij wordt heel snel de conclusie getrokken, dat het personeel de zwakke schakel is en dat daar maatregelen op moeten worden genomen.

Tegen de regels

Ik ben echter van mening dat dit veel te kort door de bocht is. Natuurlijk is het belangrijk om medewerkers te wijzen op de risico’s van het werken met gevoelige informatie, maar er is veel meer. Vaak is er een reden waarom personeel bewust of onbewust een risico neemt. Zij werken vaak conform een bepaald proces of voorgeschreven procedure. Zij dienen informatie te kunnen delen met anderen, waaronder ook vaak met derde partijen. Ze moeten toegang hebben tot de informatie op hele andere plekken dan binnen de ‘veilige muren’ van de zorginstelling. De wereld is aan het veranderen,  en hierin zullen wij als informatiebeveiligers mee moeten veranderen. Dat kan door mensen veilige en werkbare alternatieven te bieden om hun werk goed te kunnen doen.

Elkaar begrijpen

Allereerst zullen we de dialoog aan moeten gaan met de mensen die dagelijks met deze gevoelige gegevens omgaan. Natuurlijk zullen wij hen moeten wijzen op de risico’s en met ze praten over security awareness. Wij zullen echter zelf ook een stuk bewustwording op moeten bouwen over; hoe men dagelijks werkt, met welke informatie, met wie die wordt gedeeld, hoe belangrijk het is dat ze beschikbaar en juist is op het moment van raadplegen, waar het wordt opgeslagen en hoe lang het moet worden bewaard.

Bewust onbekwaam

In security awareness trajecten zeggen we vaak dat we van onbewust onbekwaam stappen naar bewust onbekwaam, en uiteindelijk van bewust bekwaam naar onbewust bekwaam als ultieme doel. Wij als informatiebeveiligers zijn vaak onbewust onbekwaam als het gaat om inzicht in de business van onze klanten. Ook wij zullen ons moeten verdiepen in de dagelijkse werkzaamheden van hun medewerkers. Zo zien we waar wij tekort in schieten (bewust onbekwaam) en waar we de business optimaal kunnen faciliteren om veilig en betrouwbaar kunnen werken. Dit is tenslotte in ieders belang!

Dit blog is eerder gedeeld via Pulse van LinkedIn

 

Ingebroken en persoonsgegevens kwijt? Melden is verplicht!

Het einde van de doofpot

Bedrijven en personen die na inbraak op hun ICT-systemen persoonsgegevens zijn kwijtgeraakt of de kans daarop lopen, riskeren straks een boete tot € 810.000 wanneer zij niet tijdig hiervan melding maken bij zowel het CBP als de (mogelijk) gedupeerden.

De overheid maakt korte metten met alle organisaties en personen die willens en wetens hun ICT-beveiliging niet op orde hebben. De Eerste en Tweede Kamer zijn inmiddels akkoord met de nieuwe Meldplicht Datalekken en dit wetvoorstel zal hierdoor binnenkort tot wet worden omgezet. Als gevolg van deze nieuwe wet dient iedereen, dus zowel bedrijven, organisaties als personen, direct melding te maken van een datalek waarbij persoonsgegevens verloren kunnen zijn gegaan of voor andere, onrechtmatige doeleinden kunnen worden gebruikt. Deze melding dient niet alleen te worden gedaan bij het College Bescherming Persoonsgegevens (CBP), maar ook bij alle mogelijk betrokkenen. Deze meldplicht geldt voor iedereen die met persoonsgegevens werkt, zowel in de publieke als private sector. Wanneer geen melding wordt gemaakt, dan riskeert men een bestuurlijke boete van het CBP die nu nog kan oplopen tot maximaal € 4.500, maar straks tot € 810.000.

Wij zijn klein en niet belangrijk genoeg

Een groot misverstand. Natuurlijk is een cybercrimineel succesvoller wanneer hij een multinational aan de haak slaat, maar bij het MKB zijn zijn kansen groter aangezien hier de security niet altijd geheel op orde is. Veel cyber attacks bestaan uit volledig geautomatiseerde aanvallen op grote aantallen netwerken en systemen, vaak geduldig afwachtend tot er ergens een gaatje in de beveiliging optreedt. En dan slaan zij toe; leggen beslag op uw systemen en gegevens, vaak zelfs zonder dat u dit merkt en benutten informatie voor andere doeleinden.

data-lekken-overzicht

Natuurlijk zorgen bedrijven er zelf voor dat al hun computers zijn voorzien van antivirus software en dat ze een echte firewall gebruiken om het internetverkeer te beschermen. Maar er is meer nodig om de echte, creatieve en geduldige cyber attacks te kunnen weerstaan en systemen en gegevens optimaal hiertegen te beschermen.

Bijna iedere organisatie gebruikt persoonsgegevens, van personeel tot klanten, van mailinglijsten tot vrijwilligers. Hoe groot, klein, belangrijk, onbelangrijk, men ook is, zorg er voor dat er alles aan is gedaan om  (persoons- en klant)gegevens te beschermen.

Deze blog is eerder verschenen op de website van SECWATCH