‘Grote problemen dreigen door nieuwe wetgeving’
16-02-2016 | door: Marco van der Hoeven
Deel dit artikel:

‘Grote problemen dreigen door nieuwe wetgeving’

De nieuwe Wet Meldplicht Datalekken, die op 1 januari in werking treedt, heeft grote gevolgen voor bedrijven. Niet naleven van deze complexe nieuwe wetgeving kan leiden tot forse boetes. Toch zijn maar weinig CIO's op de hoogte van de implicaties van de aanstaande veranderingen. Daarom stond de laatste Executive-People CIO Round Table, georganiseerd in samenwerking met Intel Security en Dearbytes, in het teken van de nieuwe privacywetgeving en de gevolgen daarvan voor het Nederlandse bedrijfsleven. De nieuwe wetgeving raakt iedereen, en negeren is geen optie.

Per 1 januari 2016 vinden ingrijpende veranderingen plaats in de wet- en regelgeving op het gebied van privacy. Een van de wetten die veel invloed gaat krijgen is het meldpunt datalekken, op basis van de Europese Data Protection Directive.,Onderdeel hiervan is een aangescherpt boetebeleid. Het gaat voor organisaties dus niet meer alleen om het risico van imagoschade, maar er kunnen bij incidenten ook forse boetes worden uitgedeeld. De hoogte is vijf procent van de wereldwijde jaaromzet, of honderd miljoen euro.

Matthijs van Wel, director bij PWC, was de hoofdspreker tijdens de Executive-People CIO ROund Table over deze nieuwe wetgeving. Hij spreekt uit hoofde van zijn functie veel met Chief Security Officers, die hij vaak vraagt of hun board zich betrokken voelt bij het thema security. Meestal is het antwoord nee, behalve bij bijvoorbeeld bedrijven in de financiële sector. Waarom voelen zij zich dan niet betrokken?

Technisch onderwerp

Het antwoord is volgens hem dat security nog steeds teveel gezien wordt als een technisch onderwerp, waar een specialist voor verantwoordelijk is. Maar die persoon is dan geen onderdeel van de board. “Maar als het misgaat kan de schade enorm zijn zegt Van der Wel. “Als je slachtoffer wordt van cybercrime is dat geen technische zaak, kijk bijvoorbeeld naar wat er gebeurd is rond de hacks bij organisaties als Sony en Target. De implicaties raken de hele organisatie.”

Datzelfde geldt ook voor de komende wet- en regelgeving. Dat leidt tot een aantal uitdagingen. Want de nieuwe Europese regelgeving komt er begin volgend jaar onherroepelijk aan. Bedrijven hebben vervolgens twee jaar om eraan te voldoen. De meldplicht is er een belangrijk onderdeel van.

Verplicht melden

Zodra een bedrijf het vermoeden heeft van een datalek is het verplicht dit te melden. In de wet staat zelfs binnen 78 uur, en dat is snel. Van der Wel: “Ik kan uit ervaring zeggen dat dit niet mogelijk is. Je moet niet alleen melden wat er aan de hand hebt, maar ook wat je eraan gedaan hebt. Vervolgens moet je aangeven wat je hebt gedaan op het moment dat je wist dat er iets mis was.” Dat vereist snel en helder denken, terwijl mensen tijdens een incident in de regel aanvankelijk in verwarring zijn.

Daarnaast is het zaak te melden welke data is verdwenen. En vooral dat is erg moeilijk. De hacker laat tenslotte geen briefje achter van wat hij heeft meegenomen. Moet je dan melden wat er mogelijk gestolen is? Stel er is toegang tot email van de directie. Welke data zit er in de inbox? Want dat is wel relevant. Je moet namelijk melden wat de impact van de diefstal is op de eigenaar van de data. En je moet het melden aan de data-eigenaar. Wanneer je dat doet moet je het ook melden aan de autoriteiten. De impact daarvan kan verschillen. Data van bol.com hebben een andere waarde dan data van Ashley Madison. In die hack hebben zeker twee mensen al zelfmoord gepleegd.

Voorbereiding cruciaal

In praktijk worden organisaties pas na een incident wakker. Dat kan echter niet meer als de nieuwe regels in werking treden. Een goede voorbereiding is cruciaal, blijkt uit de discussie tijdens de round table. Maar in praktijk wordt er nog steeds te weinig budget voor vrijgemaakt. Slechts langzaam begint het besef door te dringen dat het zaak is om je erop voor te bereiden.

De Nederlandse overheid probeert wel te helpen, zegt de spokesman van Dearbytes. Zo bestaan er al verschillende documenten van de Nederlandse overheid over zowel de Wet Bescherming Persoonsgegevens als de Wet Meldpunt Datalekken. Daarin staat waar je aan moet voldoen om iets wel of niet te melden. De wet gaat expliciet over persoonsgegevens van gevoelige aard, bijvoorbeeld financieel, inlog, authenticatie et cetera. Maar in de praktijk zijn termen als gevoelig en ernstig subjectief.

Omgekeerde bewijslast

Bovendien geldt voor die melding binnen twee werkdagen een omgekeerde bewijslast. Organisaties moeten redelijkerwijs kunnen uitsluiten dat gegevens zijn gelekt om ze van de verplichte melding uit te sluiten. Het is in de praktijk dus het beste om erop voorbereid te zijn om melding te maken. Overigens is het wel mogelijk de melding aan het CBP later weer in te trekken, maar als er derden bij betrokken zijn kun je er wel vanuit gaan dat het lek in de openbaarheid komt.

Een van de deelnemers vraagt zich af of het geen koudwatervrees is voor transparantie. Transparantie heeft volgens hem op andere gebieden ook goed gewerkt, en in praktijk blijkt dat het melden van problemen bedrijven bij het publiek een veel positiever imago geeft. Juist het niet melden van problemen werkt vaak averechts.

Risicomanagement

De verwachting is dat de overheid bij de beoordeling van de acties van bedrijven zal kijken naar de manier waarop het risicomanagement is ingericht. Het zal er niet om gaan dat alle lekken in de software gepatcht zijn. Het gaat erom dat bedrijven weten waar de risico’s zitten, en dat ze zich daarop gefocust hebben.

Daarnaast is het weliswaar in de basis Europese wetgeving, maar landen zijn er zelf ook individueel mee bezig, waarbij ze de ruimte hebben om zelf de wetgeving en de daaruit voortvloeiende verplichtingen te interpreteren. Nederland bijvoorbeeld spreekt in de eigen regels over ‘adequate maatregelen’. Duitsland bijvoorbeeld heeft dat weer gedetailleerd beschreven.

Geen extra budget

Daarnaast is een vraag die tijdens de discussie aan de orde komt wat het CBP allemaal met de verplichte meldingen doen. Want ze krijgen geen extra budget en geen extra mensen om de nieuwe wet uit te voeren. Hoe gaan ze al die dossiers behandelen? Een andere kwestie is hoe de hostingpartijen er mee om moeten gaan, bijvoorbeeld wanneer zij gehackt worden.

Een relativerende noot kwam van een deelnemer die aangaf dat dit niet exclusief een digitaal probleem is. Zijn organisatie werkt bijvoorbeeld nog heel veel met papieren dossiers. Mensen die vaker op kantoor komen mogen op den duur zonder pasje of begeleiding rondlopen, terwijl overal de papieren dossiers zichtbaar op de bureaus liggen. “En dat speelt bij veertig regiokantoren. Ook dat is een risico voor de privacy van onze cliënten.”

Terug naar nieuws overzicht