Digitalisering gaat niet zonder slag of stoot |
 |
Auteur: mr. Mareille Tol |
Uit een recente meting van de Autoriteit Persoonsgegevens blijkt opnieuw dat het aantal meldingen van datalekken (veroorzaakt door cyberaanvallen) flink is toegenomen in Nederland. Reden temeer om weer even stil te staan bij het onderwerp cybersecurity. Beschermen van persoonsgegevens is voor ieder bedrijf van belang. Daarnaast moeten bedrijven een kritische blik blijven werpen op de gegevens die ze opslaan. Hierna leest u meer over de meting van de Autoriteit Persoonsgegevens, wat beveiliging van persoonsgegevens en pseudonimisering ervan inhoudt en wanneer een datalek gemeld moet worden op het moment dat de beveiliging toch ondermijnd wordt.
Inhoud:
Door een cyberaanval (zoals hacking, malware of phishing) kan een bedrijf helemaal komen stil te liggen en persoonsgegevens kunnen openbaar worden met alle gevolgen van dien (van identiteitsfraude tot het plunderen van bankrekeningen). Het is heden ten dage voor bedrijven daarom zaak om voldoende aandacht te besteden aan cybersecurity. Dit blijkt ook uit de recente meting van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens laat met haar jaarlijks totaaloverzicht van gemelde datalekken wederom in de “Datalekkenrapportage 2021” een stijging zien van de gemelde datalekken die zijn veroorzaakt door cyberaanvallen. Daarmee staat Nederland in de top drie landen in Europa met meest gemelde datalekken. Deze plaats heeft Nederland te danken aan het feit dat het sterk gedigitaliseerd is, waardoor het risico op grote datalekken relatief hoog is. Met name IT-leveranciers vallen ten prooi aan cyberaanvallen. Dergelijke partijen, die bijvoorbeeld opslagruimte leveren aan organisaties, bewaren veel persoonsgegevens van meerdere organisaties op één plek waardoor ze een gewild doelwit zijn voor cybercriminelen.
Persoonsgegevens moeten dermate goed worden beschermd, dat ze niet ongeoorloofd of onrechtmatig verwerkt worden en niet verloren gaan. Daarvoor moeten bedrijven “passende technische en organisatorische maatregelen” treffen om op het risico afgestemd beveiligingsniveau te waarborgen. De maatregelen kunnen bijvoorbeeld inhouden:
Als het gaat om “passende technische en organisatorische maatregelen”, geeft het woord “passende” aan dat een bedrijf niet de zwaarst mogelijke beveiligingsmaatregelen hoeft te treffen. Van belang is dat de maatregelen in verhouding staan tot de persoonsgegevens en de bijbehorende risico’s voor de mensen waar het over gaat. Hoe groter het risico voor die mensen, des te zwaarder de te treffen beveiligingsmaatregelen.
Ook moet een bedrijf bij het vaststellen en treffen van passende beveiligingsmaatregelen onder andere de stand van de techniek, uitvoeringskosten en de omvang van de verwerking van persoonsgegevens in overweging nemen.
Het doel van pseudonimisering van persoonsgegevens is het maskeren van iemands identiteit voor derden, door identificerende gegevens te scheiden van niet-identificerende gegevens en ze te vervangen door letter- of cijfercombinaties. Denkt u aan de vervanging van NAW-gegevens van een patiënt in een database door een uniek patiëntennummer. De medische gegevens worden dan gekoppeld aan het patiëntennummer in plaats van aan de NAW-gegevens. Voor derden die de gegevens onder ogen krijgen is het hierdoor niet zichtbaar wie de persoon is achter de medische gegevens.
Als de getroffen beveiligingsmaatregelen niet afdoende blijken te zijn en persoonsgegevens onbedoeld openbaar worden, spreken we van een datalek. Ieder datalek dat een risico inhoudt voor de rechten en vrijheden van de mensen waar het over gaat, moet aan de Autoriteit Persoonsgegevens worden gemeld. In bepaalde gevallen moet het bedrijf ook aan de betreffende mensen mededelen dat er sprake is geweest van een datalek.
Bedrijven die persoonsgegevens verwerken, moeten persoonsgegevens goed beveiligen. Dit beperkt de risico’s voor mensen die persoonsgegevens aan organisaties toevertrouwen. Bedrijven moeten naast het treffen van passende beveiligingsmaatregelen ook steeds beoordelen of de persoonsgegevens die bewaard worden wel nodig zijn voor het leveren van producten of het verlenen van diensten. Ook moeten ze beoordelen of voor het bewaren van de gegevens een wettelijke grondslag bestaat. Door het bewaren van gegevens te beperken tot de strikt noodzakelijke gegevens, worden de gevolgen van een cyberaanval enigszins beperkt. Het is echter niet te verwachten dat in opvolgende datalekkenrapportages een afname van het aantal cyberaanvallen zichtbaar zal zijn. Als digitalisering toeneemt, zal dit vooralsnog leiden tot een stijging van het aantal cyberaanvallen.
Voor meer informatie over bescherming van persoonsgegevens kunt u contact opnemen met 0900-jurist op telefoonnummer 0900-8090. U krijgt direct een senior bedrijfsjurist aan de lijn die jarenlang werkte als advocaat en bedrijfsjurist die u helpt met juridisch advies.
Het treffen van passende maatregelen om persoonsgegevens te beveiligen is niet een eenmalige maar een terugkerende taak. Bedrijven moeten doorlopend en periodiek evalueren of getroffen beveiligingsmaatregelen passend zijn om in te spelen op nieuwe methoden die cybercriminelen toepassen.
Pseudonimisering van persoonsgegevens
Wanneer moet een datalek gemeld worden?
Een bedrijf dat te maken krijgt met een datalek, moet de Autoriteit Persoonsgegevens in principe binnen 72 uur na ontdekking van het lek in kennis stellen over het datalek.
Tot slot
Heeft u vragen?
|
