Databeveiliging en privacybescherming urgenter dan ooit

Lees hier het interview uit de Clou van december 2016 ' Pas op voor datalekken' met onze Privacy Officer Ivo Langbroek

Databeveiliging en privacybescherming urgenter dan ooit

Onlangs werd de nieuwe MOA Richtlijn Databeveiliging geïntroduceerd en in 2018 wordt de (Europese) Algemene Verordening Gegevensbescherming van kracht. Ontwikkelingen die de urgentie van databeveiliging en privacybescherming laten zien. Ook al omdat de Autoriteit Persoonsgegevens onzorgvuldigheid kan sanctioneren met fikse boetes. Tijd voor de Data Protection Officer, de Privacy Officer en de Functionarissen gegevensbescherming. Een gesprek met ISO-expert Ed van Eunen die de MOA Richtlijn mede heeft helpen opstellen, en met Ivo Langbroek, Privacy Officer bij Blauw en kenner van de (nieuwe) Europese privacywetgeving.

Voor de helderheid trekken we twee thema’s uit elkaar. Je hebt de bescherming van de privacy van persoonsgegevens, en je hebt de beveiliging van data. Ze staan feitelijk los van elkaar maar lopen ook door elkaar heen. Ed van Eunen: ‘Databeveiliging gaat over alles wat je aan data hebt, en daar kan natuurlijk ook privacygevoelige data tussen zitten, maar dat hoeft niet.’ Over databeveiliging handelt de nieuwe MOA Richtlijn Databeveiliging en ISO 27001, de normering met gespecificeerde aanbevelingen over databeveiliging. Naast databeveiliging is er de privacywetgeving, nu nog de Wbp maar vanaf mei 2018 de AVG. Beide onderwerpen zijn nu extra belangrijk omdat sinds 1 januari 2016 de Meldplicht datalekken geldt. ‘Je moet heel voorzichtig zijn met gegevens die tot personen te herleiden zijn. Als je die data lekt, ben je strafbaar’, aldus Van Eunen.

Onbeveiligde bijlage

Ivo Langbroek is bij Blauw (naast Innovatie Manager) Privacy Officer, de eerste in de geschiedenis van dit bureau. ‘Vooruitlopend op de Europese wetgeving leek het ons slim om iemand aan te stellen die kon adviseren over privacy.’ Langbroek kreeg deze functie omdat hij zichzelf afvroeg of hij zich wel aan de privacyregels hield, bijvoorbeeld bij het scrapen van social media. Toen bleek dat niemand hét antwoord kon geven, verdiepte hij zich in de wetgeving. Hij opende intern een loket en besteedt nu gemiddeld vier tot acht uur per week aan zijn ‘privacy job’. Hij wijst collega’s op de risico’s en hoe ze die kunnen afdekken, en hij maakt opdrachtgevers attent op hun verantwoordelijkheid. ‘Niet lang geleden gebeurde het geregeld dat opdrachtgevers hun bestanden met e-mailadressen onbeveiligd als bijlage naar ons verstuurden. Al heel lang geldt dat die gegevens alleen gebruikt mogen worden als er een bewerkersovereenkomst ligt. Daarin moet staan waarom we de gegevens krijgen en hoe we ze gebruiken. Opdrachtgevers ervaren dat soms als ‘moeilijk doen’. Het is ook wel vertragend, maar het moet. Velen zijn nu wakker geworden door die meldplicht en kans op boetes, tot wel 820.000 euro.’ Sinds 1 januari kreeg Langbroek opeens zo’n 25 bewerkersovereenkomsten meer.

Wassen neus

Privacy Officers als Langbroek, ook wel aangeduid als de al lang bestaande Functionaris Gegevensbescherming (FG) worden onder de AVG mogelijk verplicht voor organisaties die ‘op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is’ (bron: autoriteitpersoonsgegevens.nl). Langbroek waarschuwt ervoor dat ‘inzien’ ook onder ‘verwerken’ valt. De FG is in feite een soort interne toezichthouder, waardoor de externe toezichthouder, de Autoriteit Persoonsgegevens, kan terugtreden.
Onder de AVG hoeven gegevensverwerkingen niet meer gemeld te worden bij de autoriteit (maar een datalek dus wél). Omdat de FG een soort interne klokkenluider is, vervult hij daarmee in de praktijk best een lastige positie. ‘Als de FG zijn taak heel goed doet, moet hij misschien wel dingen melden die het bedrijf kunnen schaden. Daarom hoor je weleens dat iemand die geen rol meer heeft in het bedrijf, en niet meer zo dicht op de processen zit en alles minder goed kan controleren, FG wordt.’ Hij erkent dat deze functionaris daardoor een wassen neus kan worden. De Wbp bevat veel uitzonderingen voor marktonderzoek. Langbroek: ‘Onderzoekers mogen mensen zomaar benaderen. Maar die uitzonderingspositie hebben we zolang we ons houden aan de gedragscode.’ Dat de Wbp plaatsmaakt voor de AVG zal volgens hem waarschijnlijk niet leiden tot een aantasting van die uitzonderingspositie. Des te belangrijker dat de sector zichzelf blijft reguleren en alles netjes blijft doen. ‘Anders zal Brussel ons minder positief benaderen.’ Netjes werken is volgens hem sowieso een aandachtspunt omdat veel marktonderzoekbureaus nog niet professioneel handelen op privacygebied. ‘Bijvoorbeeld het uitwisselen van persoonsgegevens via mail…, zorg dat daar een wachtwoord op zit. Geen data op een USB zetten die je kwijt kunt raken. Je pand beveiligen, want een harde schijf is zo weg.’

Attent op veiligheid

Hoe je missers kunt voorkomen, daarover gaat in feite de nieuwe MOA Richtlijn Databeveiliging. Van Eunen: ‘Er staat: gegevens moeten zodanig bewaard worden dat ze niet makkelijk op straat komen te liggen. Er was vraag naar een zwaardere notitie voor databeheer.’ Volgens hem zijn de implicaties vrij gering. ‘De richtlijn is er niet gekomen omdat het nu een rommeltje is, de meeste bureaus zijn al buitengewoon attent op veiligheid. Ik weet niet of ze ver van de norm af zitten, maar vele zijn al verder dan ze zelf denken.’ Langbroek: ‘Als je de richtlijn helemaal zou volgen, dan zit je echt veilig en eigenlijk op ISO 27001.’ Van Eunen denkt daar anders over: ‘Als je aan alle eisen voldoet, zit je nog lang niet op de ISO 27001. De richtlijn is juist bedoeld voor bureaus die de ISO niet willen. En 27001 halen is ook echt moeilijk, je moet er veel tijd en geld in steken.’ Desondanks verwacht Van Eunen dat het huidige aantal van tien gecertificeerde bureaus het komende jaar minstens zal verdubbelen. Vooralsnog is de vraag vanuit opdrachtgevers de enige reden voor deze toename. ‘Een bureau dat zich aan de richtlijn houdt, doet al een heleboel, maar de opdrachtgever eist gewoon ISO. Ik vind dat opdrachtgevers vaak makkelijk zeggen wat een bureau allemaal moet doen, maar als je kijkt wat ze zelf doen, is dat minimaal.’ Het risico op boetes kan ook een aanjager zijn van ISO 27001. Langbroek: ‘Je ziet nu dat de Autoriteit de boete oplegt aan de opdrachtgever, die hem vervolgens doorstuurt naar het bureau.’ Er bestaan weliswaar verzekeringen om dit risico af te dekken, maar volgens Langbroek zullen de kleine bureaus die paar honderd euro premie per maand niet willen missen.

WikiLeaks part II

Of de kans op datalekken nu groot is, is volgens Van Eunen lastig te zeggen. Het is moeilijk om te bepalen wat een lek is en wie er aansprakelijk is. Hij verwijst bijvoorbeeld naar het feit dat bureaus regelmatig meer klantgegevens van een opdrachtgever krijgen dan feitelijk nodig is, misschien wel simpelweg omdat het IT-systeem van de opdrachtgever geen andere selectie toestond. ‘Als het bureau dan gehackt wordt, zal de opdrachtgever er schande van spreken. Het bureau zal zeggen dat het niet om al die gegevens heeft gevraagd’. Kortom, wie is aansprakelijk? Daarom adviseert hij de bureaus vooraf alle procedures samen met de opdrachtgever goed vast te leggen. Geef aan welke gegevens je wel én niet wilt hebben. Zet in je voorstel hoe je communiceert per mail, hoe je omgaat met het vernietigen van gegevens.’ Als straks een datalek bij een gerenommeerd bureau breed wordt uitgemeten in de media, kan dat fikse imagoschade voor de branche opleveren. ‘Dan zouden mensen wel eens niet meer mee willen doen met onderzoek. Zeker als er data gelekt zijn mét persoonsgegevens.’ ‘En’, waarschuwt Van Eunen, ‘een WikiLeaks-achtige affaire die zich een volgende keer niet op de inmiddels goed beveiligde overheid richt maar op data van onderzoeksbureaus, valt nooit uit te sluiten.’