3.3 Voorzorgsmaatregelen
onrechtmatige verwerking
Om een datalek te voorkomen, is het zaak om te weten wat wel en niet onder die noemer valt. Onder een datalek valt niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking of vernietiging van gegevens. Voorbeelden van datalekken zijn een inbraak in een databestand door een hacker of het fysiek op straat komen te liggen van wachtwoorden en inlognamen.
Oorzaken
menselijke fouten
Een datalek kan het gevolg zijn van een tekortschietende beveiliging. De bestanden zijn bijvoorbeeld niet goed beveiligd of er zijn menselijke fouten gemaakt. Denk aan slordig omgaan met het beheer van wachtwoorden, het als oud papier aanbieden van gevoelige stukken of het kwijtraken van een smartphone.
Een datalek kan echter ook ontstaan als de beveiliging van voldoende niveau is, maar de beveiligingsmaatregelen worden omzeild. Denk aan een hack van een ICT-systeem dat persoonsgegevens bevat of diefstal van een laptop of mobiele telefoon uit een afgesloten locker.
Bedenk dat datalekken vaak door externen ontdekt worden; de ontdekking van het lek vindt in de praktijk veel minder vaak binnen de organisatie plaats.
3.3.1 Datalek voorkomen
identificeerbare kenmerken
Uw organisatie moet dus maatregelen treffen om een boete te voorkomen. Allereerst moet u ervoor zorgen dat u de persoonsgegevens die u verwerkt goed beveiligt:
- Beperk de toegang tot persoonsgegevens. Bijvoorbeeld door ervoor te kiezen om slechts één of twee mensen uit uw team toegang te geven tot deze gegevens. Hoe meer mensen in de organisatie bij gevoelige gegevens kunnen komen, hoe groter de kans is op misbruik.
- Verzamel en gebruik niet meer persoonsgegevens dan nodig is. Zorg er bijvoorbeeld voor dat namen en andere identificeerbare kenmerken uit de gegevens worden verwijderd.
- Gebruik moderne beveiligingstechnieken. Let er op dat uw organisatie geen verouderde techniek gebruikt om persoonsgegevens te beveiligen.
- Controleer met een zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen, of deze worden nageleefd en of de beveiligingsmaatregelen nog steeds volstaan.
Verantwoordelijke
functionaris voor de gegevensbescherming
Naast een goede beveiliging is de beste voorbereiding het treffen van maatregelen die persoonsgegevens ontoegankelijk en onleesbaar maken. Uw organisatie moet ook beslissen wie de verantwoordelijke persoon wordt die datalekken gaat beoordelen en melden bij de Autoriteit Persoonsgegevens; u kunt bijvoorbeeld een zogenoemde functionaris voor de gegevensbescherming aanstellen.
De inhouse-toezichthouder
Om de risico’s rondom de verwerking van persoonsgegevens inzichtelijk te maken en incidenten te voorkomen, kan uw organisatie een functionaris voor de gegevensbescherming (FG) aanstellen. De FG ziet erop toe dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de Wet bescherming persoonsgegevens.
Het aanstellen van een FG is nog niet verplicht. Dit wordt anders zodra de Europese Algemene Verordening Gegevensbescherming ingaat (op 25 mei 2018). Vanaf dan zijn bepaalde organisaties verplicht een FG aan te stellen. Stelt uw organisatie een FG aan, dan moet die worden aangemeld bij de Autoriteit Persoonsgegevens.
3.3.2 Passende maatregelen
signalen
Het is ook van belang om na te denken over hoe u de betrokkenen gaat informeren bij een datalek en over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken. Meer hierover leest u in paragraaf 2.4.
beveiliging van persoonsgegevens
POP
verzuimgegevens
U doet er goed aan om de beveiliging van persoonsgegevens in uw organisatie nog eens goed onder de loep te nemen. Denk niet te snel dat dit buiten uw verantwoordelijkheid valt. Op grond van de Wet bescherming persoonsgegevens (WBP) is uw organisatie verplicht om passende maatregelen te nemen voor de beveiliging van persoonsgegevens. Dit betekent niet alleen dat de ICT-afdeling moet nadenken over de technische aanpassingen, maar ook dat u moet nadenken over organisatorische maatregelen: wat gebeurt er met het account van uw werknemer als zijn functie wijzigt of hij uit dienst treedt? Laten werknemers hun computer beveiligd achter als zij even gaan lunchen? Wie hebben er toegang tot gevoelige bestanden? En hoe gaat de arbodienst met de verzuimgegevens van uw werknemers om? Allemaal zaken waar u over moet nadenken.