9 januari 2017

Autoriteit Persoonsgegevens in gesprek met Adviesgroep Cybersecurity over Meldplicht datalekken

PRIVACY, COMMISSIE CYBERSECURITY, VERTROUWEN

Bij de afgelopen bijeenkomst van de Adviesgroep Cybersecurity van Nederland ICT schoof Udo Oelen, hoofd toezicht private sector bij de Autoriteit Persoonsgegevens (AP), samen met zijn collega Rina Steenkamp aan om met de leden te spreken over de meldplicht datalekken. Er is nu één jaar gewerkt met de meldplicht. Een korte terugblik op het afgelopen jaar en de visie van AP op het doel van de meldplicht datalekken.

Tijdens de bijeenkomst benadrukte de heer Oelen dat het hoofddoel van de meldplicht datalekken niet is het beboeten van melders, maar juist het collectief verbeteren van beveiliging van persoonsgegevens. Uiteraard kunnen er consequenties verbonden zijn aan het totaal niet op orde hebben van beveiliging, maar datzelfde geldt voor het niet melden van beveiligingsincidenten die wél gemeld hadden moeten worden op grond van de meldplicht datalekken.

Interessant was te horen dat er sinds januari 2016 ongeveer 5.000 meldingen zijn binnengekomen bij de AP, terwijl er vooraf 66.000 per jaar werden voorspeld. Daarbij blijft het aantal meldingen uit het midden- en kleinbedrijf duidelijk achter, terwijl sectoren als telecom, gezondheidszorg, financiële sector en openbaar bestuur duidelijk vooroplopen. Hier werden overigens verder geen conclusies aan verbonden.

Er kwamen ook een aantal praktische voorbeelden aan de orde. We spraken over beveiligingsproblemen die vaak leiden tot een gemeld datalek. Denk aan poststukken die geopend terugkomen als zijnde verkeerd geadresseerd, verloren (niet goed ge-encrypte) usb-sticks en laptops en klantportalen waar X inlogt en de omgeving van Y te zien krijgt. Ook ransomware wordt veel gemeld. Ransomware dient overigens vrijwel altijd te worden gemeld volgens de AP, omdat het lastig is uit te sluiten dat er ernstige nadelige gevolgen zijn voor de bescherming van persoonsgegevens. In het verlengde hiervan valt evenmin uit te sluiten dat die persoonsgegevens worden gebruikt met ongunstige gevolgen voor de betrokkene(n). Kortom, meestal zal melden aan betrokkenen ook noodzakelijk zijn, behalve wanneer technisch onderzoek het tegendeel laat zien. Dit voorbeeld laat zien dat algemeen bekende situaties kunnen leiden tot ingewikkelde afwegingen.

Verder stond de AP open voor discussie over de ingewikkelde positie van bewerkers als het aankomt op privacywetgeving. De bewerker heeft een belangrijke taak als het aankomt op het geven van goed advies over beveiliging, aldus Oelen.

Aan het einde van de bijeenkomst was er kort aandacht voor de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacy regels die in 2018 de WBP gaan vervangen. De heer Oelen verwees voor uitleg over een aantal moeilijke onderwerpen uit de AVG naar een aantal nieuwe ‘Guidelines’ van het overlegorgaan van Europese AP’s:

  • Guidelines en FAQ over het recht op dataportabiliteit
  • Guidelines en FAQ over functionaris gegevensbescherming (ook wel genoemd: FG, Data Protection Officers of DPO)
  • Guidelines en FAQ over de leidende toezichthoudende autoriteit