Zeer recent is na ruim twee (!) jaar overleggen de uitbreiding op de Nederlandse Wet ‘Bescherming Persoonsgegevens’ (Wpb) een feit. Data lekken moeten nu gemeld worden. Door bedrijven en overheden. Een fantastische mijlpaal, maar wordt informatiebeveiliging vanaf heden hierdoor nu beter aangepakt? Gaat de Nederlandse overheid privacy nu eindelijk serieus nemen?
Dé winst van de wetsuitbreiding voor het melden van datalekken, is dat het nu nog belangrijker wordt voor bedrijven en overheden om met verstand met persoonsgegevens om te gaan. Voor het College bescherming persoonsgegevens is er nu een extra mogelijkheid om boetes op te leggen als bedrijven bewust nalatig omgaan met persoonsgegevens. De intenties om beter en zorgvuldiger om te gaan met persoonsgegevens door overheden en bedrijven is er zeker, maar de vraag is of deze wet nu echt een goed instrument is. Zeker omdat de Nederlandse overheden niet bekend staan om hun transparantie rond het verwerken van privacygevoelige data en de (bijna)incidenten die hier dagelijks ontstaan.
Voorkomen van datalekken heeft naast organisatorische maatregelen ook een relatie met technische IT maatregelen. De Nederlandse overheid heeft helaas geen goed track record op IT. Wellicht blinkt daardoor deze wettekst niet uit in duidelijkheid. In de tekst komen zinsneden voor als: ‘aanzienlijke kans’, ‘ernstige nadelige gevolgen’ , ‘vermoedelijke gevolgen’ en ‘passende technische beschermingsmaatregelen’.
Een waterlek of gaslek is duidelijk. Maar wat is nu een datalek? In de nieuwe wet is dit begrip niet gedefinieerd. Zoeken op de website van de instantie die over deze wet gaat (https://cbpweb.nl ) geeft helaas geen resultaat. Gas wat uit een leiding lekt vermengd zich met de lucht. Als het lek gedicht is, is het gevaar na enige tijd ook weg. Kwestie van goed luchten. Ook waterlekken zijn gebaat bij luchten. Maar luchten als oplossing voor een datalek zal het probleem niet doen verdwijnen. Eenmaal verloren data (versleuteld of niet!) zal altijd de informatie behouden. Wikileaks ( https://wikileaks.org ) is er groot mee geworden! Kan een datalek net als bij een waterlek ontstaan door intensief gebruik? Of toch ook door slijtage of veroudering?
Zonder duidelijk definitie zijn overheden en bedrijven helaas aangewezen op dure juristen, adviseurs, consultants en andere profeten die een goede boterham verdienen aan deze nieuwe meldplicht. Wees gerust: Informatiebeveiliging is een zeer complex en kennisintensief vakgebied en 100% veilig zal nooit gehaald worden. Daarnaast is er binnen de beroepsgroep geen eensgezindheid over wat goed is, en wat niet. Pas dus op voor de ‘wij van wc-eend adviseren…’ experts. Borg onafhankelijkheid tussen ontwerp en producten waar mogelijk.
Aangezien IT techniek alleen niet genoeg is voor het voorkomen van datalekken, is het gevaar aanwezig dat veel ‘papier’ wordt gebruikt om datalekken te voorkomen of om de schade te verkleinen. Van oudsher is informatiebeveiliging een gebied waar veel procedures, regels en organisatorische maatregelen worden geschreven om risico’s rond databeveiliging te verminderen. Overheidsorganisaties en grote bedrijven zijn in staat om procedures te laten schrijven en privacy managers te benoemen. Los van de daadwerkelijke effectiviteit om een datalek te hiermee te voorkomen, het risico van hoge boetes door de nieuwe wet wordt hierdoor wel verminderd. Kleine bedrijven (het merendeel in Nederland) zal iets slims moeten doen om snel, goedkoop en goed:
- Privacy gevoelige data beter te beschermen en
- Risico op boetes wegens nalatigheid te voorkomen
Goede informatiebeveiliging hoeft niet duur te zijn. Een goede architectuur voorkomt veel (onverwachte) operationele kosten. Achteraf een ontwerp of de architectuur van een (bedrijfs)proces aanpassen is vele malen duurder dan vooraf een architectuur opzetten die rekening houdt met beveiligingsaspecten en de continue veranderingen die van een informatievoorziening gevraagd worden. De eerste start voor het opstellen van een beveiligingsarchitectuur is specificaties. Ons advies: Doe-het-zelf, maar we helpen natuurlijk graag om het goed af te maken!
Zie: https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en voor meer informatie over de nieuwe meldplicht datalekken.