Reprovinci

Digitale veiligheid

- Dirk-Jan van Roest

Vanochtend las ik het bericht dat de internetrouter in de communicatiewagen van de brandweer door hackers gekraakt is. Gisteren het bericht dat gegevens van 100.000 leaserijders op straat terecht zijn gekomen. En eind vorige week dat de persoonsgegevens voor het grijpen lagen door een datalek bij fotohokjes van de Apenheul.

Het zijn maar een paar voorbeelden van de laatste dagen die nog redelijk dichtbij ons komen. Een leaseauto is ons niet vreemd, een uitje naar de Apenheul met het gezin evenmin. En als het gaat om je eigen veiligheid en gezondheid wil en moet je kunnen vertrouwen op de hulpverleningsinstanties.

Hoe veilig is onze data nog? Hoe bewust zijn we van al onze online activiteiten? Hebben we als online consumenten rechten? Wat zijn onze plichten als aanbieders en wat is nu onze rol als leverancier?

Big data

We laten de hele dag digitale sporen achter. We struinen het internet af, zijn bezig met social media, doen online aankopen, dienen online onze aangifte in bij de Belastingdienst, Whatsappen, voeren telefoongesprekken en noem maar op.

En bij alles wat we doen zijn op de achtergrond systemen bezig om alles te registreren. Voor de (financiële) administratie omdat je teleprovider per seconde met je afrekent. Voor onder andere Google, Facebook, Instagram en Twitter worden data en gedrag verzameld om je aangepaste advertenties te tonen of relevant (betaald) nieuws. In het ene systeem sta je met al je gegevens, klikgedrag en interesses geregistreerd omdat je herhaalaankopen doet bij die leuke webshop, in een ander systeem wordt collectief geanonimiseerde data verzameld. Tenminste, dat denk en hoop je. Uiteindelijk gaat het om vertrouwen in instanties en softwareleveranciers.

Wet bescherming persoonsgegevens

Om misbruik van persoonsgegevens te voorkomen is sinds 2001 de Wet bescherming persoonsgegevens - Wbp - van kracht. Dat is een uitwerking van de Europese richtlijn voor bescherming persoonsgegevens.

Meldplicht datalekken

De data die leidt tot een consument of natuurlijk persoon wordt dus beschermd via de Wbp. En dat is een prettig idee. Maar wat als het onverhoopt toch misgaat? Dan is er de zogenaamde meldplicht datalekken.

De samenvatting op wetten.overheid.nl schrijft het volgende: Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Want, zoals in de meldplicht ook wordt omschreven, iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer. En daarbij moet met zorg met zijn of haar gegevens omgesprongen worden.

Binnen de Wbp zijn naast de natuurlijke persoon nog twee hoofdrolspelers. Dat is de Verantwoordelijke en de Bewerker. De Verantwoordelijke is een bedrijf of organisatie die software, wat natuurlijk ook gewoon een website of webshop kan zijn, laat maken. Die Verantwoordelijke is verantwoordelijk voor de beveiliging van persoonsgegevens die verzameld en beheerd worden. De bewerker is degene die in opdracht van de Verantwoordelijke iets met die data moet gaan doen. In ons geval kan dat zijn dat we persoonsgegevens opslaan binnen een webshop, of een koppeling leggen naar een tool voor marketing automation.

Omdat de Verantwoordelijke zich aan de meldplicht heeft te houden als er een datalek bij de Bewerker ontstaat, is het van belang dat duidelijke afspraken vastgelegd worden waarmee de Verantwoordelijke kan eisen dat de Bewerker zich tot het uiterste inspant om de veiligheid van de data op een zo hoog mogelijk niveau te garanderen en dat een lek direct gemeld wordt. Dit soort afspraken worden in een zogeheten bewerkersovereenkomst vastgelegd.

En nu praktisch…

Uiteraard heeft beveiliging altijd onze aandacht. Veel basiszaken kunnen makkelijk geregeld worden. En die zaken zijn meestal ook wel geregeld. Zoals online verkeer over SSL laten verlopen, bij accounts sterke wachtwoorden afdwingen, tweewegverificatie, IP-whitelisting, et cetera.

Maar het belangrijkste is om een goede (risico)inventarisatie te maken. Welke data wordt er verzameld? Wat doen we er nu mee en wat zouden we er in de toekomst mee willen doen? En zijn er zwakke plekken binnen de online oplossing? Denk aan integraties tussen website/webshop en ERP/CRM applicaties. En zo zijn er nog meer aspecten te belichten van de online oplossingen waarvan je gebruik maakt en de data die je beheert, op welke manier dan ook.

Genoeg aandachtspunten om het eens over te hebben!

Inschrijven nieuwsbrief