Nieuwe meldplicht legt bewijslast bij ondernemer

Een boete van € 820.000 of 10% van de jaaromzet en mogelijke schadeclaims. De Wet bescherming persoonsgegevens, die 1 januari 2016 ingaat, kan grote gevolgen hebben voor het midden- en kleinbedrijf. Pijnpunt is de meldplicht datalekken — een verplichting om direct een melding te doen bij het College bescherming persoonsgegevens (CBP) als er sprake is van een ernstig datalek waarbij persoonsgegevens zijn verloren of gestolen. Het gaat niet om alleen computerkrakers, ook het onrechtmatig verwerken van gegevens, een kwijtgeraakte usb-stick, of een gestolen laptop vallen onder het richtsnoer.

Bron: Rutger Betlem, FD Krantentitel: ‘Bedrijf moet veilige opslag data regelen’

Tot nu toe was gehackt worden pijnlijk en zorgde de computerkraak voor reputatieschade, maar bleef deze veelal zonder verdere gevolgen. In de nieuwe wet moeten ondernemers, het bedrijfsleven en de overheid aantonen dat ze niet nalatig zijn geweest. Wie ernstig blundert of verzuimt om een datalek te melden, kan rekenen op een boete van maximaal € 820.000 of 10% van de jaaromzet. ‘Die boete is de grootste vernieuwing in de wet’, aldus ICT-jurist Arnoud Engelfriet. ‘Je was altijd al verplicht om gegevens adequaat te beschermen.’

Daar stopt de richtlijn niet. Liggen klantgegevens op straat, dan zit daar een extra meldingsplicht aan vast. Het bedrijf moet dan ook zijn afnemers op de hoogte stellen, wat mogelijk tot extra schadeclaims kan leiden. En niet onbelangrijk: binnen 72 uur moet een ondernemer, organisatie of overheidsinstantie laten zien dat ze voldoende actie ondernomen hebben om zwaktes in het systeem te dichten.

Hackers

Henk Krol van de partij 50Plus kreeg in 2013 een boete opgelegd omdat hij met een kinderlijk eenvoudige ingreep bij patiëntendossiers van het Brabantse medisch laboratorium Diagnostiek voor U kwam. Een hack, concludeerde het Openbaar Ministerie. Het kostte Krol, die tot dan toe weinig bekendheid genoot als computerkraker, € 750. ‘Dat kan dus straks niet meer’, vertelt Bastiaan Bakker van internetbeveiliger Motiv.

De schuldvraag ligt straks niet meer bij de hacker, de aanbieder van de serverruimte of zelfs het beveiligingsbedrijf dat een mkb’er of instantie inhuurt. De eindverantwoordelijke voor gevoelige data, is ook eindverantwoordelijk voor de beveiliging daarvan. Dat legt een nieuwe uitdaging bij kleine bedrijven waar de IT-kennis vaak schraal is. Hoe bepaalt een ondernemer of de beveiliging door derden afdoende is? Juist op dat punt wordt de richtlijn vaag. De meldplicht datalekken is een zogenoemde open norm, de overheid schrijft niet voor wat de minimale eisen zijn.

Omdat voor een ondernemer niet te doorgronden is of de partijen waarmee hij samenwerkt de juiste maatregelen getroffen hebben, raadt ICT-jurist Engelfriet ze aan om een bewerkersovereenkomst op te stellen. Dat is een wettelijk verplicht document voor ondernemers die het verwerken van persoonsgegevens bij een andere partij willen uitbesteden. Het biedt de mogelijkheid om partijen vooraf verantwoordelijk te stellen bij mogelijke nalatigheid. ‘De vraag daarnaar neemt enorm toe’, aldus de ICT-jurist.

Risico's

Marc Welters, partner bij EY, is daar juist geen voorstander van. ‘Je kunt je verantwoordelijkheid niet wegmanagen met een bewerkersovereenkomst.’ Het accountants- en consultancykantoor ziet door de komst van de nieuwe richtlijn een sterke toename van ondernemers die een ‘IT-audit’ (een robuustheidstest) laten uitvoeren.

‘Dat is geen garantie dat het veilig genoeg is, maar brengt wel de risico’s in kaart.’ Volgens Welters is voor de meeste ondernemers reputatieschade de belangrijkste reden om zo’n onderzoek uit te laten voeren. ‘Als creditcardgegevens op straat liggen, dan brengt dat de continuïteit van je bedrijf in gevaar.’

Datadiefstalfilters

Om aan de richtlijn te voldoen moeten ondernemers drie punten in acht nemen. Een bedrijf moet voldoende maatregelen genomen hebben om ervoor te zorgen dat data veilig zijn. Denk bijvoorbeeld aan encryptie. Daarnaast moet het systeem goed beveiligd zijn tegen malware. ‘In de praktijk zien we dat negen van de tien bedrijven websurfen en downloaden niet scannen op malware’, aldus Bakker van internetbeveiliger Motiv. Dat scannen van internetgedrag is om de juiste redenen niet populair. Wie wil meekijken met inkomend verkeer, kan dat niet zonder ook de inhoud te bekijken, dan dringt zich al snel het privacyvraagstuk op. In de huidige tijd kan een bedrijf echter niet zonder, aldus Bakker. ‘Er is een enorme toename van malwarebesmettingen (een verzamelnaam voor boosaardige software, red.) en phishing (nepberichten waarmee getracht wordt persoonlijke gegevens van ontvangers te ontfutselen, red.) vanuit bijvoorbeeld Gmail. Bedrijven nemen daar te weinig actie op.’

Ten slotte raad Bakker ondernemers aan om ‘datadiefstalfilters’ te installeren. Deze controleren niet het inkomende verkeer, maar juist het uitgaande verkeer.