MELDPLICHT DATALEKKEN IS EEN SAMENSPEL

advertisement
WHITEPAPE
MELDPLICHT DATALEKKEN IS
EEN SAMENSPEL
MELDPLICHT DATALEKKEN IS EEN SAMENSPEL
Met ingang van het nieuwe jaar is er een wijziging doorgevoerd in de Wet Bescherming Persoonsgegevens (Wbp),
die in de volksmond bekend staat als de Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties een
melding moeten doen bij de Autoriteit Persoonsgegevens zodra zich een datalek voordoet. Soms moet het datalek
ook gemeld worden aan de betrokkenen wiens persoonsgegevens zijn gelekt
Er bestaat echter nog veel onduidelijkheid over de toepassing van deze aangescherpte wet. Men worstelt met de
beleidskaders vanwege het ontbreken van jurisprudentie en het gebrek aan context en duidelijkheid leidt tot angst.
Veel organisaties weten bovendien niet of zij met hun huidige beveiligingsmaatregelen voldoen aan de meldplicht
datalekken en op welke manier zij hun informatiebeveiliging desgewenst moeten uitbreiden.
Zeker is dat omgang met de meldplicht datalekken een complex geheel is van beleidsmaatregelen, bewustwording
en technische componenten. Alleen een technische beveiliging is vaak onvoldoende om er zeker van te zijn dat uw
organisatie aan de aangescherpte wet voldoet.
Deze whitepaper geeft u meer inzicht in de beleidskaders rondom de meldplicht datalekken en geeft u handvaten
waar u over na moet denken als u zelf uw maatregelen beoordeelt of uitbreidt om aan de aangescherpte wetgeving
te voldoen.
Beleidskaders
Om de impact van de meldplicht datalekken voor uw organisatie te kunnen beoordelen, is het nuttig de context van de
beleidskaders te snappen. De volgende paragrafen beschrijven daarom een aantal relevante ontwikkelingen en begrippen.
Historische ontwikkeling wetgeving
De grondslag van onze privacy wetgeving is dat iedereen recht heeft op eerbiediging en bescherming van zijn persoonlijke
levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. Persoonsgegevens die verwerkt worden moeten dan
ook beveiligd worden tegen verlies en tegen onrechtmatige verwerking. In de Europese Unie (EU) is de privacywetgeving van
elke lidstaat de nationale implementatie van de Europese privacyrichtlijn uit 1995. De ‘Wet Bescherming Persoonsgegevens’
(Wbp) is de Nederlandse uitwerking van de deze Europese richtlijn. De Wbp is sinds 1 september 2001 van kracht.
De ‘Meldplicht Datalekken’ is feitelijk een wijziging op de Wbp vanaf 1 januari 2016. Deze meldplicht houdt in dat
organisaties (zowel bedrijven als overheden) een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een
datalek hebben. In een aantal gevallen moet het datalek ook gemeld worden aan de betrokkenen, de personen van wie de
persoonsgegevens zijn gelekt.
1
Met de aanpassing van de wet is de rol van de Autoriteit Persoonsgegevens (voorheen College Bescherming
Persoonsgegevens) in belang toegenomen. Deze instantie houdt toezicht op de naleving van de wettelijke regels voor
bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Tot de aanpassing van de wet werd deze
instantie soms ook wel een tandeloze tijger genoemd, maar met de invoering van de meldplicht heeft de autoriteit een
verruimde boetebevoegdheid gekregen. Daarmee krijgt zij een steviger sanctiemiddel in handen om krachtiger op te treden
tegen overtreders.
Persoonsgegevens
In het kader van de meldplicht, is het van belang om de definitie van persoonsgegevens te bekijken. Volgens de wet geven
persoonsgegevens directe of indirecte informatie over een persoon, waarmee die te identificeren is.
Sommige persoonsgegevens geven directe en feitelijke informatie over een persoon. Denk hierbij aan iemands
geboortedatum, adres of geslacht. Dit geldt ook voor gegevens die een waardering geven over een bepaalde persoon,
bijvoorbeeld over het IQ. In deze gevallen spreken we van directe persoonsgegevens.
Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon, bijvoorbeeld informatie over de maatschappelijke
status. Zo zegt de winst van een eenmanszaak iets over het inkomen van haar eigenaar. Als deze gegevens zijn te
herleiden tot een specifieke persoon, dan is er sprake van persoonsgegevens. We spreken in dit verband van indirecte
persoonsgegevens.
Daarnaast zijn er nog bijzondere persoonsgegevens gedefinieerd, informatie die kan zorgen voor een grote inbreuk op de
privacy van de betrokken personen. Denk hierbij bijvoorbeeld aan gegevens als ras, gezondheid of strafrechtelijk verleden.
Voor de verwerking van dergelijke bijzondere persoonsgegevens gelden strengere voorwaarden en regels.
Datalek
De meldplicht datalekken is pas van kracht als er sprake is van het ‘lekken’ van persoonsgegevens. Maar wanneer is er nu
precies sprake van een datalek?
Niet ieder beveiligingsincident is óók een datalek.
De basis van een dergelijk lek is meestal een beveiligingslek, een dreiging of een tekortkoming in de beveiliging die
zou kunnen leiden tot een beveiligingsincident. Pas als die dreiging werkelijkheid wordt en preventieve maatregelen die
getroffen zijn niet toereikend waren om dit te voorkomen, is er daadwerkelijk sprake van een beveiligingsincident. Maar
2
niet ieder beveiligingsincident is óók een datalek. Er is pas sprake van een datalek als er bij het beveiligingsincident
persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs
uitgesloten kan worden.
Meldplicht
Wanneer een beveiligingsincident opgetreden is waarbij persoonsgegevens verloren zijn gegaan, of onrechtmatige
verwerking redelijkerwijs niet uit te sluiten valt, dan bent u verplicht een melding daarvan te doen bij de Autoriteit
Persoonsgegevens. De wet schrijft voor dat de melding zonder onnodige vertraging (onverwijld) moet gebeuren. De
autoriteit vertaalt dit naar de richtlijn om een melding niet later dan 72 uur na de ontdekking te doen, zodat de betrokkenen
de mogelijkheid hebben om maatregelen te treffen. Wanneer nader onderzoek noodzakelijk is, kan een melding ook
tussentijds ‘onvolledig’ worden gedaan.
Elk datalek moet weliswaar gemeld worden aan de autoriteit, maar het is niet altijd noodzakelijk om ook de betrokken
personen wiens data gelekt zijn te informeren. Dit is alleen noodzakelijk als het waarschijnlijk is dat het datalek ongunstige
gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Redelijkheid en billijkheid spelen daarom
een belangrijke rol bij de meldplicht aan de betrokkenen. Als gelekte gegevens bijvoorbeeld versleuteld zijn of op afstand
verwijderd zijn, dan kan het informeren van de betrokkenen achterwege worden gelaten.
Verantwoordelijkheid
Als zich een datalek binnen uw organisatie voordoet, kan dat vervelende gevolgen hebben. De meldplicht aan zowel de
autoriteit als aan de betrokkenen, kan reputatieschade opleveren voor uw organisatie. Daarnaast kunt u een boete krijgen
(zie volgende paragraaf).
In veel gevallen is er sprake van verschillende toeleveranciers die een rol spelen in de informatievoorziening. Denk
bijvoorbeeld aan de service provider waar u uw ICT-omgeving in beheer heeft of aan applicatieleveranciers die informatie
van uw klanten of gebruikers in hun systemen hebben staan. Wie is er dan verantwoordelijk, als zich een datalek voordoet?
Bij een datalek moet de verantwoordelijke altijd
de melding doen en niet de toeleverancier van
informatievoorzieningen.
De Autoriteit Persoonsgegevens is daarin eigenlijk heel duidelijk: de verantwoordelijke is altijd de partij die verantwoordelijk
is voor de gegevens verwerking. Als er sprake is van een datalek moet deze verantwoordelijke dan ook altijd een melding
doen en niet een toeleverancier van informatievoorzieningen. Een eventuele boete komt ook voor rekening van de
verantwoordelijke gegevensverwerker.
3
De hierboven genoemde service providers of applicatieleveranciers staan in het licht van deze wetgeving bekend als
bewerkers. Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het
rechtstreekse gezag van de verantwoordelijke is onderworpen. Van verwerking door een bewerker is bijvoorbeeld sprake bij
het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waar persoonsgegevens worden
verwerkt. Bewerken is een ruim begrip: het omvat het gehele proces van verkrijgen, combineren, bewerken, opslaan,
doorgeven en vernietigen van gegevens.
Natuurlijk kan een beveiligingsincident bij een bewerker wel de oorzaak zijn van een datalek. De autoriteit heeft echter
geen boodschap aan die relatie en zal zich altijd richten op de verantwoordelijke. Als organisatie dient u dan ook afspraken
te maken met uw bewerkers, waarbij er uiteraard juridische mogelijkheden zijn om eventuele boetes en/of gevolgschade
te verhalen bij nalatigheid. Anderzijds is het ook uw eigen plicht om u te verdiepen in de technische en procedurele
maatregelen die uw bewerkers hebben getroffen om beveiligingsincidenten te voorkomen. “Ik mag toch aannemen dat de
beveiliging van mijn leverancier goed geregeld is”, is voor de autoriteit in ieder geval geen acceptabele verklaring.
Boete
Hoewel er nog nauwelijks jurisprudentie is over de meldplicht datalekken en de kans op een boete daardoor nog niet reëel
bepaald kan worden, levert de boetebevoegdheid van de autoriteit vooralsnog de meeste angst op. Met boetebedragen die
kunnen oplopen tot honderdduizenden euro’s worden de mogelijkheden van de autoriteit in ieder geval stevig aangezet.
Niet elk datalek hoeft te resulteren in een boete. Alleen in het geval van ernstig verwijtbare nalatigheid en/of wanneer
er opzet in het spel is, wordt er een boete opgelegd. Ook als een “bindende aanwijzing” niet opgevolgd wordt door de
verantwoordelijke is dat een reden om een boete op te leggen.
De hoogte van deze boete wordt ontleend aan het Wetboek van Strafrecht. Er is sprake van diverse categorieën boetes,
beginnend bij een boete van € 410,- in de eerste categorie tot en met een boete van € 820.000,- in de zesde categorie.
Variabelen die een rol spelen bij het bepalen van de boetecategorie zijn onder meer of de privacybelangen van de
betrokkenen daadwerkelijk geschaad zijn en of de gelekte persoonsgegevens door derden zijn ingezien. Per saldo zal
uw organisatie het wel heel bont moeten maken met uw informatiebeveiliging, om de maximale boete van enkele tonnen
opgelegd te krijgen.
Maatregelen
Nu u de beleidskaders uit de vorige paragrafen wat beter in beeld heeft, is het onverstandig om achterover te leunen en
schouderophalend te denken dat het zo’n vaart niet zal lopen voor uw organisatie. Behalve een eventuele boete is immers
ook reputatieschade vanwege eventuele media-aandacht een belangrijk risico. Niemand wil in het nieuws komen met data
die op straat ligt, laat staan dat u dat persoonlijk aan uw klanten of gebruikers moet vertellen.
4
Een structurele oplossing is doorgaans alleen mogelijk
door een combinatie van risicomanagement, beleid,
verandermanagement en bewustwording.
Voorkomen is dus beter dan genezen, maar wie een datalek wil voorkomen zal adequate maatregelen moeten treffen of de
bestaande maatregelen moeten toetsen. Hoewel er verschillende standaard stappenplannen in omloop zijn om te voldoen
aan de wetgeving, is een structurele oplossing doorgaans alleen mogelijk door een combinatie van risicomanagement,
beleid, verandermanagement en bewustwording. Dit complexe geheel is voor elke organisatie maatwerk en verdient de
permanente aandacht in uw organisatie, want ‘ik mag toch aannemen dat’ blijkt in de praktijk niet voldoende.
Integraal risicomanagement
Als startpunt is het verstandig om risicomanagement centraal te stellen in uw informatiebeveiligingsbeleid. Hoewel hier veel
standaard ‘gap-analyse’ lijstjes voor circuleren, blijkt in de praktijk dat elke organisatie voor permanente bescherming zijn
eigen accenten heeft.
Integraal risicomanagement begint doorgaans bij de inventarisatie van de bedrijfsprocessen en bedrijfsmiddelen, waarbij
duidelijk wordt waar de gegevensverwerking plaatsvindt, waar gegevens de organisatie verlaten, in welke vorm en via welk
medium dat gebeurt. Hierbij speelt ook de aard van de gegevens een belangrijke rol, want bij bijzondere persoonsgegevens
gelden uiteraard hogere risico’s. Na inventarisatie van de bedrijfsprocessen volgt dan een gedegen analyse van de kans
dat een incident zich voordoet en de impact die een incident met zich meebrengt als het daadwerkelijk optreedt. Juist deze
analyse is voor elke organisatie verschillend en levert daarom ook voor elke organisatie andere maatregelen op. De kans
en de impact zorgen immers voor prioritering op basis van een risicoscore. Deze risicoscore bepaalt welke maatregelen u
vervolgens selecteert en implementeert.
Cruciaal bij de implementatie is verandermanagement, dat zorgt voor het draagvlak en de verantwoordelijkheid van uw
medewerkers. Zorg daarvoor voor commitment op het informatiebeveiligingsbeleid vanuit de directie, zorg voor borging bij
het management en leg de verantwoordelijkheid bij de juiste laag en gebruikers binnen uw organisatie neer. Maak voor
uzelf duidelijk waarom informatiebeveiliging voor uw organisatie belangrijk is, leg dat uit aan uw medewerkers, maar zorg er
ook voor dat uw medewerkers het belang en de noodzaak aan u kunnen uitleggen! Bewustzijn, vastlegging en periodieke
toetsing en aanpassing van het beleid zijn hierin wederom belangrijke aandachtspunten.
Soorten maatregelen
Het is nuttig na te denken over de verschillende soorten maatregelen die u naar aanleiding van uw risicoanalyse kunt
nemen. Er is vaak aandacht voor logische, preventieve en detectieve maatregelen die een technische beveiliging tegen
5
een lek bieden. Denk daarbij bijvoorbeeld aan cryptografie, antivirus software en intrusion prevention tooling. Ook over
fysieke beveiliging zoals alarmsystemen, rookmelders en toegangsbeveiliging is meestal goed nagedacht. Het voorkomen
en detecteren is doorgaans goed verankerd in het bedrijfsbeleid.
Minder aandacht is er vaak voor zogenaamde repressieve en correctieve maatregelen, het beperken van de gevolgen bij
een incident en het repareren van gebleken tekortkomingen. Veel maatregelen worden getroffen aan de hand van de actuele
status van de techniek en actuele bedreigingen, maar juist op technologisch gebied gaan de ontwikkelingen razendsnel en
ontstaan er dagelijks nieuwe vormen van bedreigingen die invloed kunnen hebben op uw informatiebeveiliging. Bovendien
speelt ook hier bewustwording onder al uw medewerkers een belangrijke rol: vaak zoeken die onbewust of bewust
naar mogelijkheden om beperkingen te omzeilen. Als de medewerkers niet worden meegenomen bij de totstandkoming
van het beleid en er geen verandermanagement wordt toegepast, wordt informatiebeveiliging niet op de juiste manier
geïmplementeerd en kunnen er alsnog risico’s ontstaan die voorkomen hadden kunnen worden.
Belangrijk is dus om ook organisatorische maatregelen te nemen, zoals een uitgeschreven informatiebeveiligingsbeleid,
verandermanagement, campagnes om het bewustzijn van de medewerkers te versterken en permanente periodieke
toetsing en screening om te testen of het beleid nog volstaat. Daarmee beperkt u de negatieve gevolgen wanneer zich toch
een beveiligingsincident voordoet en kunt u gebleken tekortkomingen in de beveiliging adequaat repareren.
Technische maatregelen
Sommige beveiligingsspecialisten doen het voorkomen alsof encryptie dé oplossing is om aan de meldplicht datalekken te
voldoen. Encryptie is zeker een nuttig technisch middel dat daaraan bijdraagt, maar is geen heilige graal. Alleen technische
middelen volstaan doorgaans niet, omdat de bron van een datalek daarmee niet aangepakt wordt. Een e-mail die encrypted
is verstuurd maar op papier onder de printer blijft liggen, kan alsnog in een datalek resulteren.
Encryptie is zeker een nuttig technisch middel, maar is
geen heilige graal.
Zeker is dat speciale software en technologische versleutelingen helpen in de naleving en de aantoonbaarheid van het
informatiebeveiligingsbeleid. Wie vanuit de technische maatregelen kan aantonen dat informatie encrypted is of een verloren
apparaat met persoonsgegevens op afstand leeggemaakt is, heeft een sterkere zaak bij de autoriteit dan organisaties die
deze technische maatregelen niet hebben toegepast.
Juist door de veranderende techniek is het echter gevaarlijk om alleen te vertrouwen op technische maatregelen. Methodes
en technologie op het gebied van versleuteling van nu, zijn over een paar jaar wellicht niet meer effectief. Met de juiste
6
sleutel is het bovendien nog steeds mogelijk om informatie leesbaar te maken en kan er dus nog altijd sprake zijn van het
‘lekken’ van persoonsgegevens.
Er kan ook gebruik worden gemaakt van de methode van het anonimiseren van persoonsgegevens, zodat ze niet direct
herleidbaar zijn. Dit lijkt inderdaad effectiever, maar ook hierin zitten risico’s verborgen zoals spontane herkenning of hybride
gegevensvormen waarbij diverse bronnen aan elkaar gekoppeld worden. Ook hierin staat de technologie niet stil en wordt
er met de dag meer aan gewenste en ongewenste koppeling van gegevens mogelijk.
Speciale software helpt zeker, maar vormt derhalve geen oplossing op zichzelf. Bovendien kunt u ook zonder speciale
software al beginnen met informatiebeveiliging van persoonsgegevens. Onbewust heeft u in uw bestaande ICT-omgeving al
verschillende middelen tot uw beschikking. Standaard tooling als Microsoft Word, PDF- en ZIP-software bieden bijvoorbeeld
mogelijkheden voor wachtwoordbeveiliging, met programma’s als Bitlocker kunt u informatiedragers versleutelen en veel
mobiele telefoons zijn standaard voorzien van encryptie, zonder dat speciale tooling nodig is.
Veelvoorkomende maatregelen
Hieronder vindt u enkele veelvoorkomende maatregelen die wij binnen onze klantenkring vaak terugzien. Besef u ook bij
dit overzicht echter dat elke organisatie eigen accenten heeft.
•
•
•
•
Awareness Campagne
•
Nieuwsbrieven, bedrijfsbijeenkomsten, Quick Reference Cards, Vragenlijst
•
Informatiebeveiliging voor nieuwe medewerkers, security-event- en incidentsysteem
Documentmanagement & Retentiebeleid
•
Hoe ga ik om met informatie binnen mijn organisatie?
•
Wie controleert de inhoud van mijn informatie?
•
Wanneer moet ik informatie weggooien, en wanneer juist niet?
Auditplan & Management Review
•
Heb ik een auditplan wat ik ook daadwerkelijk kan volgen?
•
Wie controleert mij dat ik dit ook naar behoren uitvoer?
Leveranciersselectie en –management
•
Wat zijn de eisen die ik aan mijn leverancier(s) stel op het gebied van informatiebeveiliging? Beschikken deze
bijvoorbeeld over certificeringen zoals ISO-27001 of NEN-7510?
•
Hoe worden de afspraken bewaakt en in hoeverre wordt dit transparant vastgelegd?
•
Welke diensten levert men in relatie tot informatiebeveiliging en hoe wordt hierover gerapporteerd?
•
Welke maatregelen heeft een leverancier zelf al getroffen?
7
•
•
Classificatie- en Labelling Beleid
•
Welke informatie is belangrijk en hoe ga ik hier mee om?
•
Hoe is de labelling, distributie maar ook de vernietiging vastgelegd?
•
Hoe worden computers of gegevensdragers afgevoerd?
Antivirus, patches & updates, anti-spam, etc..
•
Heb ik voldoende preventieve technische maatregelen toegepast?
•
Controleer ik ook periodiek de effectieve werking daarvan?
•
Kijk ik naar de beveiliging van mijn IT-infrastructuur en wordt deze rapportage aantoonbaar opgevolgd?
•
Is het remote wipen / encrypten van mobiele devices mogelijk?
Rol van een Service Provider
Natuurlijk worstelen organisaties met het thema informatiebeveiliging. De maatregelen zijn complex, vereisen vaak
technische kennis en zorgen bij onvoldoende verandermanagement soms voor weerstand bij de gebruikers die de gegevens
verwerken. Wie dit proces echter serieus wil aanpakken, ontkomt er niet aan om hierin zelf de regie in handen te nemen.
Het uitbesteden van dit beleid is in de praktijk niet mogelijk, aangezien de organisatie uiteindelijk altijd zelf
eindverantwoordelijk blijft. Welke maatregelen er precies getroffen moeten worden, wordt immers bepaald op basis
van de specifieke behoeftes van de organisatie zelf en niet door de producten of diensten van een service provider. De
opdrachtgever stelt het beleid vast, waar de service provider zich aan moet conformeren. De meldplicht schetst niet voor
niets heel duidelijk dat de organisatie zelf verantwoordelijk blijft voor het voorkomen van datalekken, ook als de gegevens
worden verwerkt door een bewerker. Elke organisatie die diensten van een service provider afneemt, dient dan ook vooraf
te toetsen of deze diensten voldoen aan de wet- en regelgeving en de eventuele certificering van deze diensten door
officiële instanties.
De opdrachtgever stelt het beleid vast, waar de service
provider zich aan moet conformeren.
Uiteraard helpt het wel als uw service provider(s) al over informatiebeveiliging hebben nagedacht en u hierover kunnen
adviseren. Unica Schutte ICT beschikt bijvoorbeeld over diverse toonaangevende certificeringen voor informatiebeveiliging
(ISO-270001, NEN-7510) en procesuitbesteding (ISAE-3402), zet een breed palet aan technische tooling in om
beveiligingsincidenten te voorkomen en bewustzijn te stimuleren en past integraal risicomanagement toe in haar
bedrijfsvoering. Toch zijn al die maatregelen onvoldoende om informatiebeveiliging bij onze klanten volledig voor onze
rekening te nemen. De maatregelen van Unica Schutte ICT zijn immers primair gericht op de informatiebeveiliging van
de eigen organisatie, en niet die van elke afzonderlijke klant die wordt bediend. Bovendien heeft elke branche ook zijn
eigen (wettelijke) eisen die de toepassing voor elke organisatie anders maakt. We hebben in de voorgaande paragrafen
8
al geconstateerd dat informatiebeveiliging voor elke organisatie maatwerk is, dus de voorzieningen die Unica Schutte ICT
heeft getroffen zullen niet bij elke organisatie passen.
Natuurlijk profiteert u doorgaans wel van de core componenten die service providers inzetten en die voldoen aan de
strengste eisen voor informatiebeveiliging. Ook de klanten die gebruik maken van de datacenters van Unica Schutte ICT
profiteren al van talrijke technische en procedurele maatregelen waarin ze zelf niet meer hoeven te investeren. Wie echter
zeker wil zijn dat zijn organisatie voldoet aan de beleidskaders, zal zelf een actief beleid moeten opzetten en blijven voeren.
Elke organisatie heeft immers eigen accenten en de wettelijke normen verschillen per branche, waardoor elke organisatie
en ander risicoprofiel kent. Uiteraard beschikken veel service providers wel over specialisten die u daarbij kunnen adviseren
of ondersteunen, maar een one-size-fits-all informatiebeveiligingsaanpak voor elke organisatie is een utopie.
Samenvatting
Wie bang is dat zijn organisatie niet voldoet aan de verscherpte ‘Meldplicht Datalekken’ wetgeving, doet er verstandig
aan de beleidskaders van die wet goed te bestuderen om de impact en de risico’s beter te kunnen beoordelen. Voor een
structurele bescherming tegen informatiebeveiligingsincidenten, is een combinatie nodig van toepassing van integraal
risicomanagement, het opstellen van een eigen informatiebeveiligingsbeleid, verandermanagement en het creëren van
bewustzijn bij medewerkers. Natuurlijk kunt u daarbij terugvallen op maatregelen en expertise van service providers en
applicatieleveranciers, maar uiteindelijk is informatiebeveiliging voor elke organisatie maatwerk dat permanente periodieke
aandacht en aanpassing nodig heeft. Basisvoorzieningen kunnen wellicht eenvoudig worden afgedekt met standaard
technische en procedurele maatregelen, maar als dat vertrouwelijke document alsnog op de printer blijft liggen of de tas
met vertrouwelijke persoonsgegevens uit de auto wordt gestolen, volstaan die maatregelen niet. Structurele bescherming
is dan ook een samenspel tussen technisch specialisten, beleidsdeskundigen en vooral uw eigen organisatie. De
wetgever richt zich bij de handhaving van de Meldplicht Datalekken immers niet voor niets alleen op de verantwoordelijke
gegevensverwerker van de persoonsgegevens.
9
Over de auteur - Dennis van Hoof
Dennis van Hoof is al ruim vijftien jaar actief op het snijvlak van techniek en bedrijfskunde. Vanuit
een technische achtergrond op het gebied van programmeren en IT-infrastructuren, verlegde hij
zijn expertisegebied in de loop der jaren richting business process management en consultancy.
Met de afronding van zijn opleiding ICT Management & Security specialiseerde hij zich in risk
management en beveiliging van ICT-omgevingen. Sinds 2011 brengt hij zijn kennis en ervaring
in de praktijk bij Unica Schutte ICT, eerst als manager van het Managed Services team van
de ICT-dienstverlener en later als programmamanager op het gebied van Business Process
management en Verandermanagement. Het afgelopen jaar werd Dennis volledig vrijgemaakt
voor de kwaliteitsbewaking en procesborging voor informatiebeveiliging. Onder zijn begeleiding
behaalde Unica Schutte ICT de ISO-27001 en NEN-7510 certificeringen en de ISAE-3402
standaard. In zijn huidige rol als Risk & Compliance Officer bewaakt hij bij Unica Schutte ICT
permanent de beveiliging en kwaliteit van de dienstverlening en geeft hij advies over compliance,
informatiebeveiliging en bijbehorende wet- en regelgeving.
Disclaimer
Deze whitepaper is samengesteld vanuit de ICT-expertise van Unica Schutte ICT en beoogt een globaal inzicht te geven in de interpretatie van de
Meldplicht Datalekken. Aan de inhoud van deze whitepaper kunnen geen juridische rechten ontleend worden. Laat u daarom bij expliciete vragen
of kwesties bijstaan door een gespecialiseerd juridisch adviseur.
10
Download