Whitepaper
MELDPLICHT DATALEKKEN Wat u moet regelen om te voldoen aan de nieuwe Wet bescherming persoonsgegevens.
Meldplicht Datalekken
Schrijvers: Erik Remmelzwaal Nandenie Moenielal Robert van Buuren Illustraties: Nicoline Heemskerk Contact: DearBytes B.V. Rijnland 4c 1948 RL Beverwijk +31 251 750 250 www.dearbytes.com
[email protected] Copyright Dit werk van DearBytes valt onder een Creative Commons Naamsvermelding-NietCommercieelGelijkDelen 4.0 Internationaal-licentie: http://creativecommons.org/licenses/by-nc-sa/4.0/
Meldplicht Datalekken
Managementsamenvatting De meldplicht datalekken treedt vanaf 1 januari 2016 in werking. De bedoeling van de aanpassing is om de bescherming van persoonsgegevens te verbeteren. Vanaf dat moment zijn organisaties verplicht melding te maken van beveiligingsincidenten met betrekking tot persoonsgegevens. In bepaalde gevallen is ook een melding verplicht aan personen van wie de gegevens zijn. De publiciteit en mogelijke reputatieschade moeten een preventieve werking opleveren. Om dat verder te versterken is ook de boetebevoegdheid van de toezichthouder uitgebreid. Een boete kan bijvoorbeeld worden opgelegd als de beveiliging niet deugt of als persoonsgegevens onnodig lang worden opgeslagen. Het betreft een bestuurlijke boete van maximaal € 810.000,= bij handelen in strijd met de Wet bescherming persoonsgegevens. Eén van de wettelijke verplichtingen is dat u passende organisatorische en technische maatregelen treft om de persoonsgegevens die u verwerkt, te beschermen. Het College Bescherming Persoonsgegevens heeft middels richtsnoeren invulling gegeven aan de elementen waar uw informatiebeveiliging aan moet voldoen. Dit is geen verplichting, maar beperkt de kans op hoge boetes en reputatieschade. Het levert ook geen garanties op: elk geval wordt apart behandeld om te beoordelen of de beveiliging “passend” was. De volgende onderdelen moeten volgens de richtsnoeren zijn geregeld: 1.
Beleidskader;
2.
Assessments;
3.
Bewerkersovereenkomsten met derden;
4.
Beveiligingsbewustzijn;
5.
Fysieke en logische toegangsbeveiliging;
6.
Security monitoring;
7.
Databescherming;
8.
Incidentenbeheer;
9.
Controle op naleving.
Deze zaken zijn niet van de één op de andere dag geregeld. Het vereist een plan op basis van beleid en risicoanalyse, en dat plan is dan ook het meest fundamentele onderdeel van de richtsnoeren. DearBytes kan u helpen bij het realiseren van dit plan middels de DearBytes WBP QuickScan.
3
Meldplicht Datalekken
Inhoudsopgave INLEIDING
5
DE UITDAGING
6
HIGH-LEVEL OPLOSSING
8
OPLOSSINGSDETAILS
9
BELEIDSKADER ASSESSMENTS PRIVACY IMPACT ASSESSMENT RISICOANALYSE BEWERKERSOVEREENKOMST MET DERDEN BEVEILIGINGSBEWUSTZIJN TOEGANGSBEVEILIGING FYSIEKE TOEGANGSBEVEILIGING LOGISCHE TOEGANGSBEVEILIGING SECURITY MONITORING BEHEER VAN TECHNISCHE KWETSBAARHEDEN LOGGING & CONTROL DATA BESCHERMING VALIDATIE OP GEGEVENSBEWERKING ENCRYPTIE REMOTE WIPING INCIDENTENBEHEER CONTROLE OP NALEVING
9 10 10 10 10 11 11 11 12 12 12 12 14 14 14 15 15 16
BUSINESS VOORDELEN
18
CALL TO ACTION
19
Meldplicht Datalekken
Inleiding Auteurs
Op 1 januari 2016 treedt de Meldplicht datalekken in werking, een nieuw onderdeel van de Wet bescherming persoonsgegevens (Wbp). Vanaf dat moment is het door die meldplicht verplicht om melding te maken van beveiligingsincidenten met betrekking tot persoonsgegevens. Het doel van de meldplicht is om tot betere bescherming van persoonsgegevens te komen. De bedoeling is dat van de wetswijziging een grotere preventieve werking uitgaat. Door organisaties te verplichten hun incidenten openbaar te maken, met mogelijke reputatieschade tot gevolg, zal immers de motivatie om passende beveiligingsmaatregelen te treffen, toenemen.
Erik Remmelzwaal Algemeen Directeur
Als extra drukmiddel wordt ook de boetebevoegdheid van de toezichthouder, het College Bescherming Persoonsgegevens (CBP), uitgebreid. Het CBP kan vanaf 1 januari boetes uitdelen tot € 810.000,= bijvoorbeeld als de beveiliging niet deugt of als gegevens langer worden bewaard dan noodzakelijk1. Dat betreft een bestuurlijke boete die zonder tussenkomst van justitie of rechter opgelegd kan worden2. De Wbp is de Nederlandse uitwerking van de huidige Europese privacyrichtlijn 95/46/EG, die stamt uit 19953. Op dit moment wordt gewerkt aan een herziening van die richtlijn, en wordt de richtlijn omgezet in een verordening. In tegenstelling tot een richtlijn is een verordening van rechtswege rechtstreeks van
Nandenie Moenielal Security Consultant
toepassing op alle lidstaten. De Wbp zal op dat moment vervallen en worden vervangen door de Europese Privacy verordening (EPV), officieel de “General Data Protection Regulation”. De definitieve wetstekst voor de EPV wordt in december 2015 afgerond waarna deze twee jaar later in december 2017 effectief wordt4. Dit geeft de kans om bij de keuze van maatregelen - die nu nodig zijn om te voldoen aan de Wbp - ook de toekomstige situatie mee te laten wegen zodat het geheel aan maatregelen toekomstbestendig is. Voldoende aanleiding om te onderzoeken waar uw organisatie nu en in de toekomst aan moet voldoen zodat het risico op reputatieschade en boetes
Robert van Buuren Security Architect
beperkt wordt.
ct 1 https://www.rijksoverheid.nl/actueel/nieuws/2015/07/10/meldplicht-datalekken-en-uitbreidingboetebevoegdheid-cbp-1-januari-2016-van-kracht 2 https://www.cjib.nl/Onderwerpen/Bestuurlijke-boete/ 3 https://www.cbpweb.nl/nl/over-privacy/wetten/europese-privacyrichtlijn 4 http://www.information-age.com/technology/information-management/123459991/new-eu-datalaws-go-live-date-finally-revealed-and-why-its-costs-will-run-billions
5
Meldplicht Datalekken
De Uitdaging De wet en de daarin geregelde meldplicht ziet toe op de bescherming van persoonsgegevens.
Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare persoon (artikel 1, sub a, Wbp)
Iedere organisatie die werkt met persoonsgegevens wordt geacht daar zorgvuldig mee om te gaan. De wet spreekt van passende organisatorische en technische maatregelen om de persoonsgegevens te beveiligen. De uitdaging is met name dat de wet niet duidelijk dicteert waar die beveiliging aan moet voldoen om “passend” te zijn. Dit is vrij voor interpretatie en zal per geval worden beoordeeld. Om toch enig inzicht te geven in de zienswijze van het CBP, heeft het een tweetal handreikingen gedaan in de vorm van “richtsnoeren”. Die handreikingen leveren geen garanties op over “passende”
Richtsnoeren beveiliging van persoonsgegevens
maatregelen, maar zijn desondanks waardevol. Zoals het CBP zelf stelt5:
Richtsnoeren zijn niet bindend, maar leggen uit hoe het CBP bepaalde artikelen uit de Wbp toepast. Doet het CBP onderzoek naar de verwerking van persoonsgegevens, dan zijn de richtsnoeren daarbij het uitgangspunt.
Het CBP heeft meerdere richtsnoeren gepubliceerd. De twee die relevant zijn voor deze studie, zijn: 1.
Richtsnoeren beveiliging van persoonsgegevens6
2.
(Consultatieversie) Richtsnoeren meldplicht datalekken7
5 https://cbpweb.nl/nl/zelf-doen/richtsnoeren 6 https://cbpweb.nl/nl/richtsnoeren-beveiliging-van-persoonsgegevens-2013 7 https://cbpweb.nl/nl/nieuws/cbp-vraagt-reacties-op-conceptrichtsnoeren-meldplicht-datalekken
(Consultatieversie) Richtsnoeren Meldplicht datalekken
Meldplicht Datalekken
Hoewel de richtsnoeren een duidelijke richting geven, is nog een vertaalslag nodig naar concrete maatregelen. Die hebben wij voor u op een rijtje gezet.
7
Meldplicht Datalekken
High-Level oplossing Om aan de Wet bescherming persoonsgegevens te voldoen, uitgaande van de handreiking vanuit de richtsnoeren, zijn de volgende maatregelen nodig: 1.
Beleidskader: het “wie, wat, waarom” voor uw informatiebeveiliging;
2.
Assessments: stel vast welke algemene en privacy gerelateerde risico’s
u loopt; 3.
Bewerkersovereenkomsten met derden: om verantwoordelijkheid voor
beveiliging af te wenden; 4.
Beveiligingsbewustzijn: omdat de mens vaak de zwakste schakel is;
5.
Toegangsbeveiliging: zodat alleen bevoegden bij data kunnen;
6.
Security monitoring: Logging, controle en beheer van technische
kwetsbaarheden; 7.
Databescherming: voor controle over data en om feitelijke plicht tot
melden te ontwijken; 8.
Incidentenbeheer: voor aantoonbaarheid en om te voldoen aan ge-
stelde maximale doorlooptijden; 9.
Controle op (al dan niet technische) naleving: valideren dat maatrege-
len ook echt werken. Hierna worden deze maatregelen per stuk verder uitgediept.
Meldplicht Datalekken
Oplossingsdetails Beleidskader Het is aan de organisatie om beleid te ontwikkelen, waarin expliciet ingegaan wordt op de maatregelen om de persoonsgegevens te beveiligen. Het CBP hanteert bij onderzoek en beoordeling van de beveiliging de stelling dat het beleid is gedocumenteerd en geïmplementeerd in de organisatie. Tevens is dit privacy beleid gecommuniceerd naar alle personen in de organisatie en relevante externe partijen die betrokken zijn bij het verwerken van persoonsgegevens. In dit beleid kan bijvoorbeeld invulling gegeven worden aan aspecten als: •
Het toepassen van een geheimhoudingsplicht m.b.t. de persoonsgegevens (richtsnoeren 2013, p. 24)
•
Het recht om vergeten te worden, indien gegevens niet meer noodzakelijk opgeslagen hoeven te worden (art. 36, art 40 WBP)
•
Privacy by Design- principe; reeds in de ontwikkelingsfase van producten en diensten het betrekken van privacy vereisten (richtsnoeren 2013, p. 12, paragraaf 1.6)
In de Richtsnoeren beveiliging van persoonsgegevens (2013) staat de plan-docheck-act (PDCA) cyclus al prominent vermeld. Dit houdt in dat het passend beveiligingsniveau bepaald wordt op basis van een risicoanalyse, en de daaruit voortkomende maatregelen. Het is van belang om hiermee te starten, zodat er zicht is op de voor u belangrijkste aandachtsgebieden op het gebied van informatiebeveiliging. Het toepassen van het PDCA-principe op het gebied van privacy wordt veelal ook als een “privacy beleidskader”, of een “privacy governance framework” benoemd. In het kader van bescherming van persoonsgegevens is het tevens belangrijk om een interne toezichthouder expliciet te benoemen. CBP suggereert het aanstellen van een Functionaris Gegevensbescherming (FG), ofwel Data Protection Officer, die intern toezicht houdt op de inrichting en naleving van beveiligingsmaatregelen. De functionaris gegevensbescherming zal in de vorm van een natuurlijk persoon ingevuld moeten worden, met de volgende vereisten. De FG zal voldoende kennis moeten hebben van de organisatie en de privacywetgeving. De FG dient zich ook te committeren aan een geheimhoudingsplicht. Verder is wettelijk verplicht om de FG controlebevoegdheden te geven, zodat de FG onafhankelijk zijn werkzaamheden kan verrichten. Gezien de specifieke invulling van de rol van een FG, geniet deze ontslagbescherming. Dit betekent dat de functionaris gegevensbescherming pas na toestemming van de
9
Meldplicht Datalekken
kantonrechter ontslagen kan worden. In de aankomende EPV wordt dit vereist voor overheidsdiensten, organisaties met meer dan 250 werknemers en organisaties met als primaire taak het regulier volgen van individuen.
Assessments Privacy Impact Assessment
Een privacy impact assessment (PIA) is een belangrijk hulpmiddel om zelf te controleren of een product of dienst “privacy-proof” is. Het NOREA, de beroepsorganisatie van IT-auditors, heeft een standaard PIA ontwikkeld met als doel om inzicht in risico’s te krijgen, die gegevensbewerking met zich meebrengt voor betrokkenen. Zo wordt geadviseerd om de PIA bij de tekentafel van een product of dienst uit te voeren om al de noodzakelijke privacy vereisten mee te nemen. Hiermee worden overbodige kosten en maatregelen in een later stadium beperkt. De PIA sluit dus aan op het principe van “Privacy-byDesign”. Op dit moment is de PIA een verplichting voor de rijksoverheid en een handreiking voor overige organisaties die persoonsgegevens verwerken. In de EPV zal de PIA als vereiste gelden voor elke organisatie. Risicoanalyse
PIA van NOREA
Een juist uitgevoerde risicoanalyse geeft u de aantoonbare onderbouwing voor het treffen van technische en procedurele maatregelen. Door het periodiek beoordelen, evalueren en bijsturen op risico’s en maatregelen, wordt invulling gegeven aan het eerdergenoemde privacy raamwerk. Dit maakt het uitvoeren van een gedegen risicoanalyse tot een essentieel onderdeel van de naleving van de Wbp.
Bewerkersovereenkomst met derden De wet benadrukt de verantwoordelijkheid van de organisatie voor de bescherming van persoonsgegevens, ook wanneer diensten of processen zijn uitbesteed aan derden. Stel dat uw organisatie ervoor gekozen heeft om persoonsgegevens in een cloud applicatie te verwerken, of de website extern te laten hosten, dan is het aan de organisatie om voor voldoende waarborging te zorgen tot naleving van de meldplicht datalekken. Het is dus essentieel om heldere afspraken met de bewerker te maken en deze vast te leggen in een zogenaamde ‘bewerkersovereenkomst’. Zo kunnen op basis van een risicoanalyse op de bewerker beveiligingsmaatregelen worden bepaald waar de bewerker zich aan moet houden. Ook valt hierbij te denken aan een ‘right to audit’ clausule vanuit de verantwoordelijke organisatie, en andere monitorende maatregelen om de bewerkersafspraken te controleren.
Voorbeeld Bewerkerovereenkomst van IBD voor Gemeenten
Meldplicht Datalekken
Het is in deze niet onbelangrijk om ook (keten-)processen in kaart te brengen en de rollen en verantwoordelijkheden in het proces expliciet te benoemen. In de praktijk zal bijvoorbeeld in veel gevallen de identificatie van een datalek bij een bewerker plaatsvinden. Er moet dan een proces aanwezig zijn waarin het datalek onderzocht wordt, besluit tot melding gemaakt wordt en indien nodig de daadwerkelijke melding bij het CBP gedaan wordt. Let wel, de melding dient uiterlijk op de 2e werkdag na identificatie plaats te vinden. Het CBP geeft aan dat een bewerker ook deze melding mag maken in de naam van de verantwoordelijke organisatie.
Beveiligingsbewustzijn Het CBP wijst in het kader van beveiligingsbewustzijn vooral op het kenbaar maken van het interne beleid en procedures aan medewerkers. Medewerkers moeten weten wat van hen verwacht wordt zodat zij daar naar kunnen handelen. Bij periodieke bijscholing moet beveiliging van persoonsgegevens een terugkerend element zijn. In het kader van aantoonbaarheid, en het meetbaar maken van het bewustzijn, kan het zinvol zijn voor dit doel gebruik te maken van een eLearning systeem.
Toegangsbeveiliging Fysieke en logische toegangsbeveiliging hebben als doel om toegang tot informatie - en informatie verwerkende faciliteiten - te reguleren. Aansluitend op het privacy principe van ‘dataminimalisatie’ is binnen het autorisatiemanagement AWAREWAYS eLearning
het ‘need-to-know’ en ‘need-to-use’ principe van toepassing. Zo is van belang om te onderbouwen welke personen tot bepaalde persoonsgegevens toegang hebben. Hier kunnen we onderscheid maken tussen fysieke en logische toegangsbeveiliging. Fysieke toegangsbeveiliging
Het start bij het identificeren van waar, wanneer en door wie met persoonsgegevens wordt gewerkt. Vervolgens zal expliciet moeten worden onderbouwd of dit noodzakelijke processen zijn. De volgende stap is het inrichten van adequate fysieke beveiligingsmaatregelen, die de identiteit van de persoon controleren en vervolgens de juiste rechten toekennen (authenticatie en autorisatie). Hierbij moet gedacht worden aan toegangscontrole in gebouwen, op afgesloten (server)ruimtes, afgesloten (archief)kasten en kluizen. Een ander belangrijk controlepunt is de toegangscontrole op externe personen (zoals bezoekers, derde partijen), bijvoorbeeld door het hanteren van beveiligingsprotocollen bij binnenkomst van een pand.
11
Meldplicht Datalekken
Logische toegangsbeveiliging
Ook bij logische toegangsbeveiliging zullen eerst de informatiestromen, die persoonsgegevens betreffen, in kaart moeten worden gebracht. Beleidsregels moeten worden opgesteld waarin aangegeven is hoe met informatieverspreiding en autorisatie wordt omgegaan. Het is daarom van belang om informatieclassificatie toe te passen en beveiligingsniveaus daarop aan te sluiten. Logische toegangsbeveiliging in het kader van bescherming van persoonsgegevens houdt vooral in dat strikt wordt toegezien op het beheer van toegangsrechten in applicatie- en netwerkomgevingen, waarin persoonsgegevens verwerkt worden. Enkele belangrijke beveiligingseisen hierin zijn: •
Het scheiden van toegangsbeveiligingsrollen;
•
Het inrichten van formele autorisatieprocessen bij toegangsverzoeken;
•
Het periodiek evalueren en beoordelen van autorisaties.
Security Monitoring Onder deze noemer verstaan wij twee elementen die het CBP los noemt. Enerzijds logging & controle, anderzijds het beheer van technische kwetsbaarheden. Dit zijn typische taken die vallen onder operationeel security beheer, ofwel “security operations”. Beheer van technische kwetsbaarheden
In de markt wordt hier de Engelse term “Vulnerability Management” gebruikt. Het proces start met een “asset scan” om in kaart te brengen welke onderdelen aanwezig zijn in het netwerk en hier een waarde aan te geven. Hoe hoger de waarde, des te kritischer de asset voor de organisatie. Via vulnerability scans en audits wordt inzichtelijk of de betreffende assets voldoen aan het beleid of eventueel kwetsbaarheden bevatten die gevoelige informatie bloot zouden kunnen leggen. Door de waarde van de assets te koppelen aan de gevonden kwetsbaarheden kan een risico worden opgesteld aan de vondsten en acties worden uitgezet om de systemen op het juiste beveiligingsniveau te brengen. Logging & Control
Het CBP verwacht dat activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens. En dat de logging periodiek en actief wordt gecontroleerd op verdacht gedrag en dat bij afwijkingen actie wordt ondernomen. Concrete maatregelen zijn in de navolgende drie categorieën op te delen.
DearBytes ontzorgt organisaties op het gebied van “security operations” vanuit het 24/7 DearSOC in Den Haag.
Meldplicht Datalekken
1)
Genereren van logs. Dit vraagt om volledige inspectie van netwerkver-
keer alsmede inspectie van gedragingen binnen computersystemen. Zonder expliciete maatregelen die het geheel aan gedrag inzichtelijk kunnen maken, is er weliswaar sprake van logging, maar controle op de verwerking van persoonsgegevens is dan niet mogelijk. Voor de bedoelde netwerkinspectie wordt doorgaans verwezen naar Intrusion Detection Systemen (IDS) of de nieuwste generatie firewalls (NGFW). Voor monitoring binnen computersystemen is ook Intrusion Detection technologie voorhanden, maar zal per geval bekeken moeten worden of de logging daarmee compleet is. Het CBP wijst er wel op dat dit soort inspectie wellicht valt onder het instemmingsrecht van de ondernemingsraad, als bedoeld in artikel 27 van de Wet op de Ondernemingsraden (WOR). Dit vanwege het feit dat de gegenereerde logs waarschijnlijk informatie bevatten die herleidbaar is tot personen (gebruikersnaam, emailadres, enzovoorts) en er derhalve sprake is van een “personeelsvolgsysteem”. 2)
Opslaan van logs. Om de logging aantoonbaar voor langere tijd op te
slaan, én deze periodiek te kunnen raadplegen, is het allereerst zinvol de logs centraal te verzamelen. Het CBP gaat uit van een minimale bewaartermijn van 1 jaar. Om de omvang van de dataopslag te beperken, is het verstandig om filtering en aggregatie toe te passen. Dit is mogelijk met Security Information & Event Management (SIEM) technologie. SIEM heeft voor een security operations afdeling een spilfunctie in maatregelen van waaruit de beheertaak effectief en efficiënt kan worden uitgevoerd. 3)
Beheren van logs. De bovengenoemde tools zijn nodig, maar maken
het verhaal nog niet compleet. Het is voor de eis van periodieke controle belangrijk de rol van operationeel security beheer te beleggen. Daarbij is “periodiek” een ruim begrip. Het doel is om verdacht gedrag te herkennen en statistieken wijzen uit dat digitale inbraken vaak slechts in enkele uren uitgevoerd worden. Het is daarom raadzaam om de logs meerdere malen per dag te controleren. Afhankelijk van de organisatie desgewenst ook buiten kantooruren.
13
Meldplicht Datalekken
Data Bescherming Persoonsgegevens staan in het digitale domein opgeslagen in data. Om de data in kwestie te beschermen, noemt het CBP in de richtlijnen de navolgende specifieke maatregelen. Validatie op gegevensbewerking
Hier wordt gedoeld op het controleren van invoer, interne verwerking en uitvoer van data in applicaties. Dit zal voor een gedeelte mogelijk zijn met functies in de applicaties zelf, maar ook wordt verwezen naar aanvullende maatregelen waar het gevoelige persoonsgegevens betreft. Dit leidt tot specifieke maatregelen als “Data Loss Prevention (DLP)” als mede het middels software bewaken van integriteit in het bestandssysteem, ofwel “File Integrity Monitoring (FIM)”. Bij dit soort controles is het vandaag de dag ook belangrijk om na te denken over eventuele controles op mobiele apparatuur wanneer deze zich niet in het netwerk bevindt. Dat betreft dus laptops, maar eventueel ook tablets en smartphones. Encryptie
Het CBP stelt dat sterke versleuteling de verplichting kan wegnemen dat naast het CBP ook betrokkenen over het datalek moeten worden geïnformeerd. Zo kan dus ook voorkomen worden dat een incident in de publiciteit komt, waardoor encryptie dus ook een zeer waardevol middel wordt. Wel wordt zeer nadrukkelijk gewezen op het belang om de encryptie dan ook goed toe te passen. Goed in de zin dat de encryptie dus “sterk” moet zijn. En met sterk bedoelt het CBP dat de encryptie toekomstbestendig is.
Bij versleutelingswijzen die in een actuele beoordeling door ENISA worden gekwalificeerd als geschikt voor 'future use' (toekomst-vast voor de komende 10 tot 50 jaar) kunt u er van uitgaan dat de versleuteling sterk genoeg is.
ENISA beoordeling encryptie standaarden 2014
Meldplicht Datalekken
Het CBP verwijst dus naar de beoordeling van de European Union Agency for Network and Information Security (ENISA) om te bepalen of de encryptie “sterk” is8. Belangrijk is om bij de encryptie na te denken over versleuteling van data-atrest (data die staat opgeslagen) en data-in-motion (data die wordt verzonden). Bij encryptie van data-at-rest kan worden gedacht aan geïntegreerde encryptie mogelijkheden in databasestructuren of encryptie op bestandsniveau. Voor data-in-motion is het met name van belang om na te denken over email encryptie en encryptie van eventuele andere netwerkprotocollen zoals http. Remote Wiping
Net als bij encryptie verwijst het CBP ook expliciet naar “remote wiping” als effectieve maatregelen om een verplichte melding aan betrokkenen te vermijden. Met remote wiping wordt bedoeld dat een computer op afstand de opdracht gegeven kan worden om data te vernietigen. Daarbij wordt dan weer de kanttekening geplaatst dat het vooral ingewikkeld kan zijn om aan te tonen dat een remote wipe actie ook inderdaad geslaagd is.
Incidentenbeheer Zoals eerder gesteld, is het beheren van logs een belangrijke taak. Die taak kan leiden tot signalering van incidenten. Het CBP vindt het belangrijk dat de opvolging van incidenten aantoonbaar goed geregeld is. Daarbij worden expliciet benoemd: 1.
Risico inschatting van het incident;
2.
Informeren van betrokkenen en toezichthouders;
3.
Geleerde lessen gebruiken voor aanscherping beveiliging;
4.
In geval van juridische vervolgstappen: verzameling bewijsmateriaal;
Ten aanzien van stap 2 vormen nu juist de meldplicht datalekken - en de richtsnoeren daaromtrent - een belangrijke ontwikkeling. De richtsnoeren bevatten aardige stroomdiagrammen of en hoe er in bepaalde gevallen gemeld moet worden. Daarbij geldt een aantal kernpunten: •
Er zijn twee soorten meldingen: de melding aan het CBP en de melding aan betrokkene(n);
•
Onder datalek verstaat men: “de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder onrechtmatige vor-
8 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms- key-size-andparameters-report-2014.
15
Meldplicht Datalekken
men van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.”; •
De melding aan het CBP: o
moet gedaan worden als het datalek betrekking heeft op persoonsgegevens;
o
moet uiterlijk op de tweede werkdag ná detecteren van het lek gedaan worden;
o
moet op die tweede werkdag alvast gedaan worden als nog niet met zekerheid vast is gesteld of een lek persoonsgegevens betreft (omgekeerde bewijslast). Deze melding kan later eventueel worden ingetrokken;
o
moet bevatten of het lek al aan betrokkene(n) is gemeld en zo niet, wanneer u dat gaat doen;
•
De melding aan betrokkene(n): o
Is niet nodig als beveiligingsmaatregelen voldoende bescherming bieden (denk aan encryptie en remote wiping);
o
Is daarna alleen nodig als het lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van betrokkene;
Controle op naleving Tot slot is controle op naleving een primair onderdeel van het privacy raamwerk. Het CBP benadrukt een aantal keer dat het niet voldoende is om te zeggen dat een bepaalde maatregel de schade heeft beperkt. De effectiviteit van de maatregel moet zodanig aangetoond worden, dat verlies en/of onrechtmatige verwerking van gegevens uitgesloten kan worden. En zo ook ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, zodat een melding aan betrokkene achterwege gelaten kan worden. Controle op naleving kan uitgesplitst worden naar verschillende niveaus: •
Controle op werking van het privacy raamwerk:
Denk hierbij aan monitoring en naleving van het privacy beleid, het periodiek beoordelen van privacy risico’s en een goed functionerende FGrol. Dit kan vastgesteld worden door een interne audit uit te voeren. Het CBP verwijst naar de ‘Privacy Audit Proof’9 als compliance check. De Privacy Audit Proof is afkomstig van het NOREA en geeft de mogelijkheid voor een externe audit en certificering.
9 https://www.privacy-audit-proof.nl/
Richtsnoeren Bijlage: gegevens in de melding
Meldplicht Datalekken
•
Controle op werking van getroffen maatregelen:
Middels interne controles en interne audit assessments kan de effectiviteit van de maatregelen worden bepaald. Aansluitend op het voorbeeld van versleuteling kan regelmatig worden vastgesteld of aan de toetsingscriteria wordt voldaan. •
Controle op werking van de PIA
Bij het uitvoeren van de PIA moet ook worden nagedacht door wie en op welke manier de voortgekomen acties gemonitord worden. In principe is degene met een FG-rol de aangewezen persoon hiervoor. Zoals gezegd is controle op naleving (en eventuele bijsturing) de laatste stap in het volbrengen van het privacy raamwerk (PDCA-concept). Er wordt door het CBP geadviseerd om minimaal 1x per jaar te evalueren of de technische maatregelen passende bescherming bieden.
17
Meldplicht Datalekken
Business voordelen Door aan bovenstaande maatregelen te voldoen, doet u er aantoonbaar alles aan om persoonsgegevens te beschermen. En dat is wat het CBP zal valideren. Er zijn geen garanties, want die worden door het CBP zelf ook op voorhand niet afgegeven. Maar ook los van de Wbp, zijn dit maatregelen die van toegevoegde waarde zijn. Ze leiden tot inzicht en controle over informatiebeveiliging, en daarmee tot volwassenheid en weerbaarheid tegen digitale dreigingen. Dit dient naast het voldoen aan de wet, ook andere business doelen: •
Voorkomen van schade als gevolg van digitale incidenten in brede zin (continuïteit verstoring, reputatieschade);
•
Goede concurrentiepositie in markten die steeds veeleisender worden ten behoeve van privacy en databescherming;
•
Aantoonbare beveiliging naar cliënten en toezichthouders;
•
Sterkere bewustwording van risico’s en beveiliging bij management en medewerkers.
Meldplicht Datalekken
Call to action Elke bestuurder van een organisatie binnen de scope van de privacywetgeving, zal het onderwerp ‘privacy’ hoog op de agenda hebben staan. Liever niet alleen om te voldoen aan wet- en regelgeving, maar vanuit een verantwoordelijkheidsgevoel dat past bij een internationaal verklaard mensenrecht. Grotere aandacht vanuit media, overheid, burgers, klanten, leveranciers en niet in de laatste plaats toezichthouders zullen de organisatie stimuleren om zo snel mogelijk tot actie over te gaan. Het mag duidelijk zijn dat een organisatie niet een-twee-drie alles geregeld heeft om aan de verwachtingen van het CBP te voldoen. Daarom is een stapsgewijze, planmatige aanpak nodig. DearBytes kan helpen het juiste begin te maken met onze DearBytes QuickScan. Ook wanneer u al wat verder bent, kan DearBytes helpen door alle genoemde specifieke maatregelen te ontwerpen, te leveren en te beheren. Neem contact met ons op voor de mogelijkheden.
19