donderdag 24 december 2015

1 januari 2016, ‘meldplicht datalekken’ van kracht….. ja, en?

 

In onze vorige blog heeft u kunnen lezen dat de “ Wet bescherming persoonsgegevens” (Wbp) per 1 januari 2016 aangescherpt wordt en dat deze aanscherping grote gevolgen kan hebben voor iedereen die persoonsgegevens verwerkt.

 

In dit blog zullen wij verder ingaan op de volgende drie punten uit deze nieuwe wet:
1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.
2. Bij een datalek van persoonsgegevens met mogelijk grote gevolgen moeten alle betrokkenen inclusief het CBP geïnformeerd worden.
3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen.

 

Wat houdt de nieuwe wetswijziging op de Wbp in?

Met de aanscherping van de Wbp moet bereikt worden dat persoonsgegevens (en data in het algemeen) beter worden beveiligd en zorgvuldig(er) worden behandeld:

1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.

2. Bij een datalek van persoonsgegevens, waarbij aannemelijk is dat dit leidt of kan leiden tot ernstige nadelige gevolgen met betrekking tot de beveiliging van deze persoonsgegevens, moeten alle betrokkenen worden geïnformeerd, tenzij aantoonbaar is dat de gelekte data (aantoonbaar) is versleuteld. In dat laatste geval hoeven de betrokken EU burgers niet te worden geïnformeerd. De melding moet uiteraard ook gedaan worden bij de toezichthouder op de wet, het College Bescherming Persoonsgegevens (CBP).

3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen (bijvoorbeeld op opzettelijk lekken). De maatregelen en boetes zijn afhankelijk van de bestaande (en aantoonbaar) genomen richtlijnen (zie punt 1). De boete kan oplopen tot € 810.000,-.

 

Duidelijkheid?

Wetgeving staat niet altijd garant voor duidelijkheid. Hoe zit dat dan met de Wbp en de drie eerder genoemde punten?

 

Punt 1: Wat zijn passende en aantoonbare maatregelen?

Hier moet worden gerealiseerd dat alleen het beveiligen van uw netwerk met een firewall niet voldoende is. Ook het verliezen van persoonsdata op een USB stick is een datalek. Zoals ook het ‘verkeerd’ adresseren van een email met persoonsgegevens als datalek kan worden gezien. Dit houdt in dat er naast concrete en fysieke beveiliging ook duidelijk beleid moet worden opgesteld. Versleuteling (encryptie) van data is een erg belangrijke en zwaarwegende maatregel in de wetgeving.

 

Punt 2: Wanneer moet ik een datalek melden?

Het zal helemaal verrassend zijn dat de wet hier niet helemaal duidelijk over is dus daar gaan we iets dieper op in. Het CBP heeft hiervoor richtlijnen afgegeven.
 

Wat weten we wel:

 

– Wie moet melden?

De verantwoordelijke van de persoonsgegevens. Hiermee wordt dus niet de verwerker van de persoonsgegevens bedoeld. Wanneer een administratiekantoor Y in opdracht van een onderneming X de persoonsgegevens verwerkt is de onderneming X verantwoordelijk.
Een vereiste als onderdeel van passende maatregelen is ook dat er een overeenkomst is tussen verantwoordelijke en verwerker waarin alle werkzaamheden en verantwoordelijkheden zijn vastgelegd. Dit is op zich nog helder uit te leggen. Maar wat moet dan gemeld worden?

 

– Wat moet gemeld worden?

Alle incidenten die ernstige nadelige gevolgen (kunnen) hebben voor de betrokken personen of op de beveiliging van de persoonsgegevens. Of zoals het eerste lid van artikel 34 uit de nieuwe Wbp luidt: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Deze cryptische omschrijving wordt nog lastiger als blijkt hoe daar een filter op moet worden los gelaten. Want wie bepaalt de ernst van het incident, en op basis waarvan?

 

– Wie bepaalt?

De verantwoordelijke voor de persoonsgegevens moet zelf bepalen wanneer er sprake is van een incident die valt in de categorie ernstig en gemeld dient te worden.
Hierbij geldt ook nog dat niet alleen het daadwerkelijk verlies aan data (bijvoorbeeld een data hack) geldt als lek, maar ook ‘de kans op’ (denk aan verlies van notebook of USB stick).
De wet geeft dus aan dat de interpretatie van wanneer iets kritisch genoeg is om te kwalificeren als ernstig incident bij de verantwoordelijke ligt.
De verantwoordelijke moet een registratie bij houden van (mogelijke) incidenten en welke maatregelen zijn genomen. Het CBP kan bij controle achteraf maatregelen nemen als blijkt dat incidenten die niet zijn gemeld wel gemeld hadden moeten worden.

 

– Waar melden?

1. Bij het CBP (College Bescherming Persoonsgegevens)
2. Bij de betrokken personen waar de persoonsgegevens betrekking op hebben. Dit hoeft niet als aangetoond kan worden dat de data voldoende encrypted was en niet achterhaald kan worden op welke personen de data betrekking heeft.

 

– Hoe snel melden?

Onverwijld.

Nu ligt het voor de hand om hier cynisch over te doen (het staat namelijk letterlijk in de wet, ‘onverwijld’), maar de consequenties liegen er absoluut niet om. Het is dus zaak om bij een incident zo snel mogelijk (binnen twee werkdagen) te handelen en maatregelen te nemen. Dat betekent in de praktijk dat er niet gewacht moet worden met het melden totdat een (intern of extern) onderzoek is afgerond.

 

Punt 3: Consequenties

Het CBP heeft in de nieuwe wet de bevoegdheid gekregen om boetes uit te delen tot € 810.000,- (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet. Hoewel het CBP in veel gevallen in eerste instantie een ‘bepalende richtlijn’ voor aanpassing zal afgeven mag het CBP ook meteen boetes opleggen. Bijvoorbeeld bij aantoonbare nalatigheid of opzettelijk lekken.

 

In ieder geval goed om te weten.

– Bent u al meldplichtig via de wet op de telecommunicatie (openbare voorzieningen als GSM/telefonie, internet, publieke netwerken, email) als geregistreerde bij het ACM (Autoriteit Consument en Markt)? Dan is er al een beperkte datameldplicht van toepassing. Deze meldplicht blijft van kracht maar moet vanaf 1 januari worden gedaan bij CBP.

– Niet geregistreerd zijn bij het ACM betekend niet per definitie dat er geen meldplicht is.

– Het is de verantwoordelijke verplicht een logboek bij te houden van (mogelijke) datalekken.

– Er moet naast fysieke beveiliging (zoals firewalls, encryptie, antivirus) een duidelijk beleid zijn opgesteld binnen de organisatie van de verantwoordelijke.

– De meldplicht is van toepassing op alle zaken waarop de (Nederlandse) Wet bescherming persoonsgegevens betrekking heeft. Een Frans bedrijf (verantwoordelijke) die zijn persoonsgegevens in Nederland laat verwerken is dus niet gehouden aan de meldplicht. Een Nederlands bedrijf dat zijn gegevens door een Duitse verwerker laat behandelen dus wel.

– Wist u dat betrokken personen (die van de persoonsgegevens) zelf ook melding mogen doen als ze een datalek vermoeden?

 

Wat moet ik doen?
Bij een eventueel incident zal altijd gekeken worden naar de genomen maatregelen zoals die actief zijn op het moment van het incident. De maatregelen die worden genomen na een incident zijn niet (of indirect) van toepassing bij de beoordeling. Het is dus zaak om te zorgen voor adequate beveiliging en beleid. De informatie op het internet is veel en versnipperd. Richtlijnen van het CBP: https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

 

Wat kunnen wij voor u doen?
Itass heeft de expertise in huis om u te helpen met informatiebeleid en informatiebeveiliging. Wij kunnen u op strategisch niveau adviseren maar ook functioneel en operationeel ondersteunen. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Voor meer informatie of een geheel vrijblijvende afspraak kunt u contact opnemen via 088-8880700 of per e-mail info@itass.nl.

 

Richard Pruim, business manager

 

 

 

 

donderdag 17 december 2015

Nieuwsbrief december

Met o.a. de wedstrijdsponsoring van het duel FC Emmen – MVV, de ISO certificering van Itass IT-consultants en het winnen van de FD Gazellen Award.

 

Klik hier om de nieuwsbrief te openen.

 

 

Itass logo CMYK_klein

woensdag 9 december 2015

Itass IT-consultants ISO gecertificeerd

Wij als Itass IT-consultants, onderdeel van Itass B.V. in Emmen, hebben de certificering voor de ISO 20000-1 en de ISO 27001:2013 gerealiseerd. Ons bedrijf is daardoor één van de weinige (IT) bedrijven in Nederland die in het bezit zijn van beide certificaten. En daar zijn we trots op.

ISO 20000 is gericht op IT service management en ISO 27001 gaat over informatiebeveiliging.

 

“Itass en Itass IT-consultants stellen zich ten doel de klanttevredenheid te verhogen, de tevredenheid van de werknemers, de kwaliteit van hun werkzaamheden, diensten en producten te waarborgen alsmede om de veiligheid, vertrouwelijkheid, integriteit en bescherming van (digitale) data en de daarbij behorende systemen zeker te stellen en het kwaliteits-, service- en informatie veiligheidsmanagementsysteem continu te verbeteren.”

 

De certificering bevestigt dat wij in staat zijn producten en diensten te leveren die voldoen aan de van toepassing zijnde wet- en regelgeving en aan de eisen van de klant. Bovendien is certificering een commitment om continu te werken aan verbetering.

 

ISO/IEC 20000-1:2011
Organisaties, en dus ook onze klanten, zijn in toenemende mate afhankelijk van IT dienstverlening. Wij richten ons op het leveren van hoogstaande dienstverlening, in termen van kwaliteit, flexibiliteit, snelheid. Om dit zowel naar de klant toe als intern te managen is een gedegen IT service management systeem een vereiste. Onderdelen zijn bijvoorbeeld incidentmanagement, verandermanagement en budgettering en financiële verantwoording. Service management betekent dat wij met een proactieve aanpak van onze werkzaamheden de continuïteit van onze dienstverlening borgen.

 

ISO/IEC 27001:2013
Deze norm is de internationale standaard voor informatiebeveiliging en heeft kort samengevat als doel het voorkomen van het optreden van informatie beveiligingsincidenten en het voldoen aan wet- en regelgeving en aan contractuele vereisten in relatie tot informatiebeveiliging. Informatiebeveiliging is niet slechts een ICT aangelegenheid. Bij de implementatie van de ISO 27001 staat de mens centraal, zowel binnen als buiten de organisatie. Goede informatiebeveiliging is vooral bewustwording van risico’s bij de mensen zelf. Zowel bij ons als bij de klant. U als klant kunt er verzekerd van zijn dat uw informatie niet alleen goed wordt beveiligd ten opzichte van derden, maar dat wij er ook altijd vertrouwelijk en zorgvuldig mee omgaan.

 

Tot slot
Beide normen zijn niet specifiek gericht op één van onze diensten maar op onze gehele dienstverlening. Beide normen vormen een krachtige combinatie omdat ze niet alleen gericht zijn op externe diensten en processen, maar ook op onze eigen organisatie en interne processen.

 

Indien u meer informatie wenst over ISO, kwaliteit en wat dit voor u kan betekenen neem dan contact met ons op.

 

ISO 20000-1 certificaat
ISO 27001 certificaat

 

Bureau Veritas

 

 

 

 

woensdag 2 december 2015

1 januari 2016, ‘meldplicht datalekken’ van kracht….. ja, en?

 

Vanaf 1 januari 2016 wordt de nieuwe wet “meldplicht bij datalekken” van kracht. Beter gezegd, het is een verscherping van een bestaande wet; “Wet bescherming persoonsgegevens” (Wbp).

 

In de komende weken zullen wij via dit blog meer informatie geven over de wet en de gevolgen voor iedereen die persoonsgegevens verwerkt.

 

Dit is denk ik niet voor mij van belang, toch?

Einde van de werkdag en niet al het werk gereed. We doen thuis nog wel even iets. Hup, bestanden op een USB stick, laptop dicht en naar huis. En bij thuiskomst blijkt dat dit kleine USB dingetje, wat toch echt in de broekzak zat, om duistere reden ergens onderweg is verdwenen. Herkenbaar? En dan bedoel ik uiteraard niet de verloren USB stick van een of ander ministerie die het nieuws haalt.
Wist u trouwens hoeveel bedrijfsdata en persoonsgegevens tegenwoordig een telefoon of een tablet bevat? Hoeveel (privé) mobiele apparatuur gebruikt u?

 

Vanaf 1 januari 2016 wordt de nieuwe wet “meldplicht bij datalekken” van kracht. Beter gezegd, het is een verscherping van een bestaande wet; “ Wet bescherming persoonsgegevens” (Wbp).

 

En dat maakt meteen dat de meldplicht iedereen aangaat die verantwoordelijk is voor de verwerking van persoonsgegevens en waarop de Wbp betrekking heeft. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Waar staat u met het nemen van maatregelen?

 

U verwerkt persoonsgegevens? U bent verantwoordelijk? Wbp is van toepassing?
Alleen een goede firewall (aanwezig toch?) als bescherming voor uw datanetwerk is niet voldoende. Er zal ook worden gekeken naar andere (fysieke) maatregelen zoals encryptie. Ook zal er een duidelijk beleid moeten zijn.

 

Beleid op orde en voldoende maatregelen getroffen? Top! Verrassend is echter dat diverse recente onderzoeken uitwijzen dat deze wetswijziging, die best ingrijpend kan zijn, onderbelicht is in de communicatie vanuit de rijksoverheid.

 

Veel verantwoordelijken zijn niet op de hoogte van deze wijziging. Of ze hebben er wel van gehoord maar zijn niet bekend met de inhoudelijke betekenis en welke eventuele maatregelen genomen moeten worden.

 

In veel gevallen is ook onbekend welke consequenties het niet treffen van maatregelen voor u als verantwoordelijke, voor uw onderneming of voor betrokken personen heeft.

 

Dus toch ook voor mij van belang. Wat houdt de nieuwe wetswijziging op de Wbp in?

Met de aanscherping van de Wbp moet bereikt worden dat persoonsgegevens (en data in algemeen) beter wordt beveiligd en zorgvuldig(er) wordt behandeld.

1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.

2. Bij een data lek van persoonsgegevens met mogelijk grote gevolgen moeten alle betrokkenen inclusief het CBP geïnformeerd worden.
3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen.

 

In ieder geval goed om te weten.

– Bent u al meldplichtig via de wet op de telecommunicatie (openbare voorzieningen als GSM/telefonie, internet, publieke netwerken, email) als geregistreerde bij het ACM (Autoriteit Consument en Markt)? Dan is er al een beperkte datameldplicht van toepassing. Deze meldplicht blijft van kracht maar moet vanaf 1 januari worden gedaan bij CBP.

– Niet geregistreerd zijn bij het ACM betekend niet per definitie dat er geen meldplicht is.

– Het is de verantwoordelijke verplicht een logboek bij te houden van (mogelijke) datalekken.

– Er moet naast fysieke beveiliging (zoals firewalls, encryptie, antivirus) een duidelijk beleid zijn opgesteld binnen de organisatie van de verantwoordelijke.

– De meldplicht is van toepassing op alle zaken waarop de (Nederlandse) Wet bescherming persoonsgegevens betrekking heeft. Een Frans bedrijf (verantwoordelijke) die zijn persoonsgegevens in Nederland laat verwerken is dus niet gehouden aan de meldplicht. Een Nederlands bedrijf dat zijn gegevens door een Duitse verwerker laat behandelen dus wel.

– Wist u dat betrokken personen (die van de persoonsgegevens) zelf ook melding mogen doen als ze een datalek vermoeden?

 

In het volgende blog zullen we verder ingaan op deze punten.

 

Wat moet ik doen?
Bij een eventueel incident zal altijd gekeken worden naar de genomen maatregelen zoals die actief zijn op het moment van het incident. De maatregelen die worden genomen na een incident zijn niet (of indirect) van toepassing bij de beoordeling. Het is dus zaak om te zorgen voor adequate beveiliging en beleid. De informatie op het internet is veel en versnipperd. Richtsnoeren van het CBP: https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf

 

Wat kunnen wij voor u doen?

Itass heeft de expertise in huis om u te helpen met informatiebeleid en informatiebeveiliging. Wij kunnen u op strategisch niveau adviseren maar ook functioneel en operationeel ondersteunen. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Voor meer informatie of een geheel vrijblijvende afspraak kunt u contact opnemen via 088-8880700 of per e-mail info@itass.nl.

 

 

Richard Pruim, business manager