Brenno de Winter
Onderzoeksjournalist

Veel criminelen hebben het voorzien op persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) moet voor bescherming zorgen. In het kort stelt de Wbp dat gegevens alleen verwerkt mogen worden voor het doel waarvoor je ze verzamelt en je ze niet langer dan noodzakelijk bewaart. Een webwinkel mag bijvoorbeeld alleen gegevens verzamelen om spullen af te kunnen leveren. Daarbij moet sprake zijn van expliciete toestemming van de persoon waar de gegevens betrekking op hebben.

1. Meldplicht datalekken

Door een wijziging in de Wbp per 1 januari 2016 krijgen bedrijven een grotere verantwoordelijkheid. Er komt een meldplicht voor datalekken en een groter boeterisico bij schending van privacyregels – tot 820.000 euro. Wat betekent voor de praktijk? De Winter: “Je moet bedenken welke data eronder valt, namelijk alles dat is te herleiden tot een persoon. En hoe je deze wilt beveiligen. Je zult een risico-inschatting moeten maken. Dat is flink wat werk en bovendien een moving target. Maar wees je je ervan bewust dat digitale aanvallen snel zijn te schalen. In een mum van tijd worden grote hoeveelheden informatie buitgemaakt.”

2. Actieplan

Als er zich een lek voordoet, breekt er een heftige periode aan. Ten eerste moet er binnen twee a drie dagen melding gedaan worden aan het College Bescherming Persoonsgegevens. Ten tweede is er de vraag of de risico’s dermate groot zijn dat ook de personen in kwestie ingelicht moeten worden. Mensen hebben het recht te weten dat ze gevaar lopen. “Je moet dus nu al bedenken wat je gaat doen als een bepaalde dataset op straat komt te liggen”, aldus De Winter.

3. Houd regie

“Als je gehackt wordt, neemt een hacker de regie over en is het lastig de sturing terug te pakken. Maar als je zelf van te voren goed in kaart hebt wat je dient te doen, dan kun je een stukje van de regie terugnemen. Een maatregel om te overwegen is om systemen volledig te onderbreken”, stelt De Winter. “Organisaties denken eigenlijk alleen aan continuïteit, maar onderbreken kan soms juist een redding zijn. Het is belangrijk om zo onbevangen mogelijk in een incident te staan.”

4. Onderzoek

Als er achteraf onderzoek komt, moet je als bedrijf goed kunnen uitleggen waarom je iets wel of niet doet. Dat vraagt om documentatie. Governance moet goed geregeld zijn. De Winter: “In IT is dat nog buitengewoon onprofessioneel, terwijl je met een helder afwegingskader het beeld van een incident kunt veranderen en onderzoek een beetje kunt sturen.”

5. Safe harbour verdrag ongeldig

Onlangs is gerechtelijk bepaald dat het Safe Harbour verdrag ongeldig is, waardoor de veiligheid van gegevens die opgeslagen zijn in de Verenigde Staten niet meer is geborgd. “Je zult moeten nagaan of er data van jou in de VS ligt en afspraken moeten maken wat er met die gegevens wordt gedaan”, zegt De Winter over de gevolgen. “Het is goed een bewerkersovereenkomst te hebben.”

6. Menselijk handelen

Veiligheidsmaatregelen dienen niet alleen gericht te zijn op systemen, maar ook op mensen. Volgens De Winter missen mensen doorgaans veel signalen die op cyber criminaliteit wijzen. “Hackers hebben ook wel iets opschepperigs over zich. Ze geven clues. Let bijvoorbeeld goed op opmerkingen van klanten over dingen die niet deugen qua privacy en beveiliging. Pareer die niet gelijk. Ook niet als ze wat onhandig geformuleerd zijn.”