Sinds 1 januari 2016 is de nieuwe Wet bescherming persoonsgegevens (Wbp) van kracht. Een grote verandering voor organisaties is dat datalekken vanaf dat moment gemeld moeten worden bij de Autoriteit Persoonsgegevens (voormalig College bescherming persoonsgegevens). In bepaalde gevallen moeten ook de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt) ingelicht worden. Als een organisatie zich niet conformeert aan de wet, kunnen boetes oplopen tot 820.000 euro of 10 procent van de jaaromzet. De nieuwe wet geldt ook voor woningcorporaties. Om die reden is informatiebeveiliging ‘opeens’ een hot item binnen de branche. Reden genoeg om het daarover te hebben.

Waarom moeten datalekken gemeld worden?

De meldplicht van datalekken is ingevoerd om de schade aan betrokkenen als gevolg van een datalek te minimaliseren. Door betrokkenen op de hoogte te stellen van een datalek, zullen zij mogelijk kunnen anticiperen op de situatie. Als er bijvoorbeeld inloggegevens gelekt zijn, kunnen betrokkenen er voor kiezen hun wachtwoord te wijzigen.

Uiteraard is een datalek schadelijk voor het imago van een organisatie. Het is niet prettig om als organisatie te melden aan de buitenwereld dat er onzorgvuldig met persoonsgegevens is omgegaan. Dit terwijl de schade beperkt zou kunnen worden door het juist wel te melden. Door het invoeren van de meldplicht, worden organisaties gedwongen in ieder geval melding te maken van gevaarlijke datalekken bij de Autoriteit Persoonsgegevens. Afhankelijk van de situatie moeten ook de betrokkenen ingelicht worden. De Autoriteit Persoonsgegevens zal er op toezien dat organisaties hier de juiste keuzes in maken conform de beleidsregels van de Wbp.

Een indirect gevolg van de nieuwe Wbp is dat organisaties zich beter bewust zullen worden van de persoonsgegevens die ze verwerken. Er moeten afwegingen gemaakt worden tussen het doel van de verwerking van bepaalde persoonsgegevens en de risico’s die het met zich mee brengt. Als het dan toch noodzakelijk is bepaalde persoonsgegevens te verwerken, dan moeten mogelijk beveiligingsmaatregelen (her)overwogen worden zodat deze passend zijn.

Datalekken

Maar wat is een datalek? Volgens de website van de Autoriteit Persoonsgegevens is er sprake van een datalek op het moment dat persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking. En er niet redelijkerwijs kan worden uitgesloten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Onder verwerking valt het vastleggen, wijzigen, verspreiden en het vernietigen van gegevens.

Een woningcorporatie bezit veel gegevens van haar huurders, waaronder ook gevoelige persoonsgegevens zoals bankgegevens, inkomensverklaringen, kopieën van identiteitsbewijzen (die officieel niet opgeslagen mogen worden) en inloggegevens voor portalen. De Wbp maakt onderscheid tussen normale en gevoelige persoonsgegevens. Bij een lek van gevoelige persoonsgegevens moet er altijd een melding gedaan worden bij de autoriteit en de betrokkenen. In alle andere gevallen bepaalt de aard en omvang van het incident of het gemeld moet worden en zo ja, bij wie.

Bewerkersovereenkomst

Corporaties nemen tegenwoordig steeds meer diensten af via de cloud. Hardware en software worden door verschillende dienstverleners aangeboden via internet. Daarnaast worden er ook veel gegevens online uitgewisseld met leveranciers via portalen of rechtstreekse koppelingen tussen systemen.

Hierdoor kunnen er dus meerdere partijen zijn die persoonsgegevens verwerken in opdracht van de corporatie. Denk bijvoorbeeld aan de leverancier van het ERP-systeem, het documentmanagementsysteem, het huurdersportaal, de hosting van de automatisering of het (regionale) woonruimteverdeelsysteem. De corporatie blijft echter altijd eigenaar van deze gegevens en om die reden moet een corporatie er op toezien dat de meldplicht datalekken wordt nageleefd door deze andere partijen. Er moet met elke bewerker een overeenkomst gesloten worden waarin wordt vastgelegd wanneer, hoe en wat er bij een datalek gecommuniceerd wordt naar de corporatie.

Aanpakken bij de bron

Het is belangrijk om als corporatie je meldingsprocedure voor datalekken goed geregeld te hebben. Maar ook hier geldt dat voorkomen beter is dan genezen. Datalekken ontstaan namelijk vaak als gevolg van slordigheden of een beperkte bewustheid van informatiebeveiliging. Door een informatiebeveilgingsbeleid op te stellen, periodiek risicoanalyses uit te voeren en passende maatregelen in te voeren, kun je datalekken voorkomen of in ieder geval de schade beperken. Echter moet er altijd gewaarborgd worden dat beveiligingsmaatregelen op maat zijn. Er moet een juiste afweging gemaakt te worden tussen de ernst van het risico en de noodzaak om dit aan te pakken. Een overkill aan maatregelen zou namelijk kunnen leiden tot vermindering van de efficiëntie van de bedrijfsvoering, irritatie bij medewerkers of verspilling van geld.

Meer weten?

Wilt u meer weten over de meldplicht voor datalekken of heeft u behoefte aan een concreet stappenplan? Dan kunt u dat lezen in ons document met praktische richtlijnen voor woningcorporaties. Dit document is op aanvraag gratis beschikbaar. Of wilt u meer weten over het opstellen van een informatiebeveiligingsbeleid en risicoanalyses? Neem dan gerust contact met ons op. Als onafhankelijk adviseur kunnen wij uw organisatie hier bij helpen.