fruit

citroen

fruit

peer

Recente datalekken bij NS, CZ, Vodafone en Vrienden van Amstel (artikel Telegraaf 30 maart 2023) maken bewust van het bestaan van datalekken. Talloze cyberaanvallen sinds de oorlog in Oekraïne maken de kans op een datalek groter dan ooit. De vraag is dan ook: wanneer is er sprake van een datalek, wat moet ik doen bij een datalek?

Andere vragen: komt een datalek altijd door bewuste actie van buiten en ben ik altijd verantwoordelijk voor het gegevenslek? De antwoorden op die vragen kunnen verrassend zijn. Neemt niet weg dat een datalek altijd vraagt om onmiddellijke en concrete actie. Zorg dus voor een protocol en procedure om die acties snel en betrouwbaar op te starten, met zekerheid beperk je hiermee de schade.

Wat is een datalek eigenlijk?

Van een datalek is sprake bij toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Bedrijven en overheden zijn wettelijk verplicht om een datalek direct te melden bij de Autoriteit Persoonsgegevens. Melden kan via de vragenlijst meldformulier datalekken (questionnaire personal data breach notification form).

Het bekende gegeven van een externe hack op systemen is het meest voor de hand liggende voorbeeld, maar een datalek is ook al een feit wanneer een e-mail onjuist wordt verstuurd en er in deze e-mail persoonsgegevens staan. Het kan ook minder spectaculair: een vergeten (medisch) dossier in de trein, een kwijtgeraakte USB stick, een verloren postpakket, informatie die vernietigd had moeten worden valt onverwacht uit het vernietigingsproces.

Een datalek is er sneller dan je denkt, melden is verplicht binnen 72 uur. Stel dus direct vast of er een datalek is en of het gemeld moet worden. Een stappenplan datalekken is hierbij een must. Met een checklist neem je slagvaardig de juiste stappen en beperk je de schade. Weten hoe dat er voor jouw organisatie uit ziet? Neem contact op!

fruit

citroen

fruit

peer

AVG (Nederlands) en GDPR (Engels) zijn hetzelfde en gebruiken een aantal afkortingen. Voorbeelden zijn PIA (Privacy Impact Analyse) en DPIA (Data Protection Impact Assessment), voor Analyse wordt ook Assessment gebruikt. In het Nederlands spreekt men ook wel over een Gegevensbeschermingseffectbeoordeling (GEB), vergelijkbaar met de DPIA. De termen worden vaak door elkaar heen gebruikt, maar een PIA en DPIA zijn zeker niet hetzelfde. Wat is het verschil?

Het eerste onderscheid is dat de PIA wettelijke verplicht is, daar moet dus een vastlegging van beschikbaar zijn in uw organisatie. De AVG stelt dit verplicht voor elke organisatie die persoonsgegevens verwerkt en die verwerking een hoog privacy risico met zich meebrengt (dus als die verwerking kan leiden tot een inbreuk op de bescherming van persoonsgegevens). En er is meer …

Verschil PIA en DPIA

De PIA is een proces om Privacy by Design te beschermen wanneer er nieuwe activiteiten worden ontwikkeld; dat kan bijvoorbeeld door een overname, de ontwikkeling van een nieuw product of implementatie van nieuwe processen. Een PIA start zo vroeg mogelijk voor de start, en stelt vast of en welk risico u loopt.

De DPIA is een continu proces, voortdurend toetst u of en hoe er voldaan wordt aan wet- en regelgeving.U identificeert en minimaliseert risico’s rond verwerking van persoonlijke gegevens, essentieel om compliant te zijn en blijven.

Er zijn ook overeenkomsten tussen de twee, in de basis:

Definiëren ze context bij verwerken persoonlijke gegevens;
Borgen ze instrumenten voor controle compliance;
Stellen ze eventuele privacy risico’s vast;
Valideren ze beveiligingsmaatregelen.

DPIA en PIA zijn betrekkelijk eenvoudig te organiseren. Dat hoeft niet veel tijd te kosten, het vraagt juiste kennis en toewijzing van taken en verantwoordelijkheden. Deze processen zijn vaak deels uit te besteden, een Service Level Agreement (SLA) borgt een passende Data Protection oplossing. Zo is de organisatie compliant, én degelijk voorbereid door de juiste escalatie en de-escalatie processen rond GDPR.

fruit

citroen

fruit

peer

Afkortingen, we hebben er genoeg. Leuk om ze te kennen, maar weet u ook wat u (minimaal) moet doen?

Te beginnen bij AVG: Algemene Verordening Gegevensbescherming (AVG). GDPR staat voor General Data Protection Regulation. FG is een Functionaris Gegevensverwerking, DPO een Data Protection Officer. Last but not least: DPIA, de Data Protection Impact Assessment. Het venijn zit uiteraard in de staart, want terwijl we de afkortingen waarschijnlijk wel weten of raden is de DPIA niet vrijblijvend. Het is verstandig om een DPIA uit te (laten) voeren. Waar moet u minimaal aan voldoen?

Om te voldoen aan de wetgeving moeten organisaties, bedrijven en overheden maatregelen nemen. De wet geldt voor alle bedrijven: van een MKB bedrijf tot en met de fortune top 10. Wie persoonsgegevens verzamelt en bewaart moet aangeven waarvoor dat wordt gedaan en hoe lang ze opgeslagen blijven. Dat gaat echter nog een paar stappen verder.

Dat geldt toch niet voor ons?

Sommige bedrijven moeten een Data Protection Officer aanstellen: iemand die toeziet op de naleving van privacywetgeving. Voor overheidsinstanties, publieke organisaties en “organisaties die vanwege aard of omvang op grote schaal persoonsgegevens verwerken” is een DPO zelfs verplicht. Ook als op grote schaal bijzondere persoonsgegevens verwerkt worden is een DPO verplicht.

Wanneer er onverhoopt een hack of en lek plaatsvindt in uw organisatie dan bent u verplicht hier binnen 72 uur melding van te maken bij de Autoriteit Persoonsgegevens (AP). Ook personen die in hun privacy zijn geschaad moeten geïnformeerd worden.

Wie niet voldoet aan de wet heeft tegenwoordig een enorm probleem. De Autoriteit persoonsgegevens kan een bedrijf duizelingwekkend hoge boetes opleggen: tot wel 20 miljoen EUR of 4% van de jaarlijkse (wereldwijde) omzet. Het overtreden van de wetgeving heeft dus drastische gevolgen. Bovendien wordt er (vooralsnog kleinschalig) preventief gecontroleerd op naleving van de regels. Het loont dus de moeite een DPIA uit te voeren!

fruit

citroen

fruit

peer

Welke keuzes maken met betrekking tot Data Protection en Data Privacy? Wat is de impact van niets doen?

Sinds de bekrachtiging van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is er veel veranderd. Ruwweg heeft dat betrekking op bescherming van gegevens en privacybeleid. Beheer van persoonlijke informatie is complex, versterkt door internationale wet- en regelgeving. AVG en GDPR zijn dan weliswaar hetzelfde, de internationale context en duiding zijn dat niet. De overeenkomsten tussen Privacy en Gegevensbescherming zijn subtiel, met grote gevolgen bij onjuiste naleving.

De wetgeving valt uiteen in het beveiligen tegen ongeoorloofde toegang, waar privacy de autorisatie tot toegang bepaalt. Een mengsel van technische en juridische aspecten. Exact waar de schoen knelt. De vragen: “Wie is verantwoordelijk?”, “Wie heeft de kennis?”, “Wie neemt er actie?” zijn achteraf ogenschijnlijk helder, maar de kop van Jut is beslist niet wie we zoeken.

Welke verplichtingen heb ik dan?

Het is onmogelijk om alle kennis te verenigen in 1 persoon, en waarschijnlijk ligt daar de eerste stap in de goede richting. De verplichtingen liggen in 3 afzonderlijke gebieden: Security, Accountability & Governance en Privacy. Op al deze gebieden dienen voorzorgsmaatregelen te zijn getroffen om fouten te voorkomen en bij fouten te de-escaleren. Deze maatregelen kunnen technisch zijn door de inzet van anonimiseren, pseudonimiseren en encryptie van gegevens. Besef ook dat door menselijke handelingen nog altijd de meeste fouten worden gemaakt. Ook hier dient een vangnet van procedures en maatregelen te zijn vastgelegd. Laat dus zien dat u zorg draagt voor veiligheid, want naast reputatieschade zijn er hoge boetes van kracht. Een gewaarschuwd mens telt voor twee, neem dus géén onnodige risico’s!

Vertrouwen komt te voet en gaat te paard, dat geldt zeker voor fouten die voortkomen uit onjuiste gegevensverwerking of het niet adequaat reageren op fouten. Met een paar eenvoudige stappen bent u al in staat om in kaart te brengen hoe u ervoor staat, bijvoorbeeld door een Data Protection Impact Assessment (DPIA). Neemt contact op met ons voor advies en realisatie.