Workshop Datalekken, TCC The Computer Company en Louwers Advocaten

Workshop Datalekken, TCC The Computer Company en Louwers Advocaten

Bij de Businessclub van MVV heeft afgelopen dinsdag 7 juni jl. de workshop datalekken plaatsgevonden in samenwerking met Louwers IP|Technology advocaten.


De ochtend startte met het welkomstwoord van Edward Goessens, directeur TCC The Computer Company en daarna een korte voorstelronde van de deelnemers. Deze bestaan o.a. uit Baat, Engie, Stichting Kindante, PSW, Stichting LVO, CIS-websolutions, Vivantes Zorggroep en Servatius. Aaron Mulder was aanwezig vanuit TCC The Computer Company en ICTloket.nl als organisatie. De meeste deelnemers waren ook aanwezig geweest bij het IT event. In groepjes van ca. 10 personen worden deze workshops “Meldplicht Datalekken” verzorgd. Het thema ”privacy en datalekken” is belangrijk in kader van risicomanagement en omdat niet alleen bij datalekken maar ook bij overtreding van andere privacy bepalingen, boetes opgelegd kunnen worden door de Autoriteit Persoonsgegevens.. Edward geeft een korte samenvatting van het verleden en heden over de snelle IT ontwikkelingen en geeft aan dat veranderen (van de businesscase) heel belangrijk is om relevant te blijven in de markt. Het was een interactieve workshop waarbij alle deelnemers actief meewerkte.

Voorbeeld Ransomware
Een voorbeeld die iedereen tot de verbeelding kan spreken is dat er criminelen zijn die je data stelen of “gijzelen” en vervolgens tegen betaling kan je deze (data) volgens hun (de criminelen) terugkrijgen, maar in de praktijk komt de data (vaak) niet terug. We noemen dit ransonware.

Workhop
Edward vraagt iedereen om zich voor te stellen en aan te geven wat de doelstelling van de deelnemers is om deze workshop te volgen. De totale groep deelnemers vertegenwoordigen vele tienduizenden gebruikers over meerdere vestigingen. De vraag was bijvoorbeeld waar beginnen de risico’s, moeten we dat verzekeren, welke regels moeten we opstellen en hoe kunnen de beste bewerkersovereenkomsten gesloten worden.
Marianne Korpershoek van Louwers IP|Technology Advocaten uit Eindhoven neemt het woord over. Marianne heeft vele jaren ervaring op het gebied van advies met betrekking tot privacy en Wet Bescherming Persoonsgegevens (WBP). Daarnaast is Marianne gespecialiseerd in intellectueel eigendomsrecht en IT recht. De wet meldplicht datalekken heeft ertoe geleid dit thema zeer belangrijk is geworden. Diverse certificeringen en normen worden benoemd die ook relevant zijn voor dit onderwerp, de WPB verplicht namelijk om technische en organisatorische maatregelen te nemen om persoonsgegevens te verwerken. De diverse normen kunnen helpen om aan te tonen dat een organisatie voldoet aan die verplichting uit de WBP.

Wet bescherming persoonsgegevens WBP
Het verwerken van persoonsgegevens heeft een grote impact op de hele IT omgeving. Voor de meeste bedrijven geldt de WBP, maar gemeenten en politie hebben te maken met de specifieke wetten. Verder gelden ook bijzondere regels op grond van de financiële wetgeving voor banken en verzekeraars. De impact op persoonsgegevens van de veranderende IT-omgeving is gaat steeds sneller en wordt steeds onoverzichtelijker, denk bijvoorbeeld aan nieuwe toepassingen zoals “IoT internet of things”, waarbij apparaten aan elkaar gekoppeld worden via gebruik van internet / IP. Bij outsourcing van persoonsgegevens naar een cloudleverancier is een organisatie op grond van de WBP verplicht een bewerkersovereenkomst te sluiten. De genoemde bewerkersovereenkomsten moeten vervolgens weer voldoen aan de meldplicht datalekken. “Vraag altijd naar een bewerkersovereenkomst en kijk zeker bij buitenlandse leveranciers of deze bewerkersovereenkomst  voldoet aan de eisen van de Nederlandse wet. Een datalek is zo gebeurd. De laatste tijd zijn zorginstellingen, ziekenhuizen, gevangenissen in het nieuws geweest met datalekken. Bijvoorbeeld een ziekenhuis dat zijn papieren dossiers liet scannen door Belgische gevangenen of een harde schijf die medewerkers meenemen en vervolgens gestolen wordt uit een auto. Medewerkers kunnen heel inventief zijn om gegevens mee te nemen en beveiliging te omzeilen. Een bewerker, is een organisatie die gegevens binnenkrijgt, deze opslaat en bijvoorbeeld verwerkt, maar niet het bedrijf is die ze verzameld”, aldus Marianne Korpershoek.
“Verzekeraars zouden heel geïnteresseerd kunnen zijn in bijzondere persoonsgegevens en het koppelen van gevoelige gegevens zou heel eenvoudig kunnen zijn. Deze soort databases moeten echter volledig gescheiden blijven om privacy te garanderen”, aldus Edward Goessens.
 
Wanneer mag je persoonsgegevens verwerken:
-    Bewerkingsgronden vaststellen (waarom doen we dit) en is dit toegestaan op grond van de WBP. Wanneer een bedrijf een gerechtvaardigd doel heeft mogen er persoonsgegevens verwerkt worden. Zo mag een ziekenhuis wel medische gegevens verwerken van zijn patiënten, maar mag een supermarkt dat niet
-    Bij normale verwerkingen hoeft er geen toestemming gevraagd te worden, bijvoorbeeld het verwerken van medewerker gegevens door een bedrijf of patiëntgegevens door een zorgverlener
-    In bepaalde gevallen is er toestemming nodig van de betrokkene (bijvoorbeeld bij marketingacties of ouders van schoolgaande kinderen)
-    Gegevens mogen niet te lang bewaard worden. Bewaartermijn (bepalen)
-    Gegevens moeten juist volledige verwerkt worden
-    Ze moeten vertrouwelijk behandeld worden waarbij er bij bepaalde gegevens strengere eisen gesteld worden aan de beveiliging en dus de vertrouwelijkheid, zoals bijvoorbeeld bij gegevens over gezondheid, seksuele voorkeur, lidmaatschap van een godsdienstig genootschap of een kerk of van een politiek partij
-    Beveiliging (intern en extern bijvoorbeeld bij IT leverancier, passend bij de gevoeligheid van de data, door bijvoorbeeld extra beveiligde de wachtwoorden van gebruikersbeheer bij gevoelige data zelfs two factor authenticatie en het loggen van de activiteiten, zodat ook gemonitord kan worden of er geen onbevoegden bij de gegevens kunnen)
-    Het gaat om passende maatregelen voor de organisatie of het bedrijf, zij moeten bij zichzelf afvragen, wanneer is het voldoende?

Beleidsregels meldplicht datalekken
Sinds 1 januari 2016 geldt er een meldplicht datalekken. De Autoriteit Persoonsgegevens (de AP) heeft beleidsregels opgesteld over de meldplicht datalekken. Het is aan te raden, zeker voor organisaties waar veel persoonsgegevens verwerkt worden om een draaiboek op te stellen voor het geval dat er een data-lek wordt ontdekt. Zo weet iedereen van directie, tot de afdeling communicatie ent de IT-afdeling wat ze in zo’n geval moeten doen. Zorg er voor dat het draaiboek met de directie wordt gedeeld en –nog belangrijker- dat het privacy beleid door de directie wordt gedragen. Een verlies van data is al een voorbeeld van een data-lek.

Richtsnoeren beveiliging van persoonsgegevens
De AP (destijds: het College Bescherming Persoonsgegevens) heeft in 2013 richtsnoeren gepubliceerd voor de beveiliging van persoonsgegevens. Denk hierbij aan een gedegen planning, het controleren en erna handelen. Een beleidsdocument, geheimhoudingsdocumenten, maar vooral bewustzijn (en bewustwording via training).

Voor grotere organisaties is het beter om te kiezen voor beveiligingsstandaarden:
-    Iso 27001, 27002 etc.
-    NEN 7510 (e.v.) specifiek voor zorginstellingen
-    ISAE 3402

De Richtsnoeren en de beveiligingsstandaarden geven organisaties handvatten om gegevens op een passende te beveiligen. Een organisatie zal zelf moeten kiezen voor de Richtsnoeren of een beveiligingsstandaard.

Boetebeleidsregels
De AP kan sinds 1 januari 2016 boetes opleggen wegens overtreding van de Wet Bescherming Persoonsgegevens. Dat is dus meer dan bij een data-lek. De AP heeft boetebeleidsregels gepubliceerd waarmee de AP inzicht wil verschaffen in hoe de hoogte van een boete zal worden bepaald. Maximaal € 820.000 voor overtreding van de WBP, maar er zijn nog geen boetes uitgedeeld. Voordat de AP een boete oplegt, zal er meestal eerst een bindende aanwijzing worden gegeven. Pas wanneer een organisatie de maatregelen uit de bindende aanwijzing niet opvolgt zal er een boete volgen. De AP mag alleen direct een boete opleggen wanneer er sprake is van grove schuld of nalatigheid van een organisatie

Overige quotes uit de workshop Datalekken
“Veel bedrijven en organisaties stellen een “security en privacy officer” aan om aan deze regelgeving te voldoen en deze verantwoordelijkheid intern goed in te bedden”, aldus Edward Goessens van TCC The Computer Company. “Deze persoon mag overigens ook een extern ingehuurde zijn. Zie data als gevaarlijke chemicaliën en handel daarnaar”. Het Kamer van Koophandel nummer behoort in iedere zakelijke mail, op het briefpapier en op de website vermeld te worden”. “Het BTW-nummer hoeft alleen op een factuur vermeld te worden. Vermelding op de website is niet verplicht en soms ook niet verstandig”, aldus Marianne Korpershoek van Louwers Advocaten.

Workshop Datalekken

De workshop was ingedeeld in twee delen met een pauze vragenronde, discussie en aansluitend een lekkere lunch.

Voor meer informatie neem contact op met TCC The Computer Company.

HPE Silver PartnerWebsense Gold PartnerPlatform Outsourcing NederlandExact Certified PartnerVodafoneInnovaphone Authorized Reseller (iAR)APC Reliability Provider PartnerVeeam Silver ProPartnerNutanixRIPE NCCCitrix Silver Solution ProviderCisco Select Certified PartnerVMware Professional Solution ProviderHP Gold Client Virtualization Specialist