of 59054 LinkedIn

What the hack, een datalek

“1,2 miljard gebruikersgegevens zijn in handen gekomen van Russische hackers waarbij 5.600 Nederlandse websites zijn getroffen in de ‘grootste hack ooit”. Dit bericht las ik maandag 13 oktober 2014. Eerder dit jaar kwam een ander groot datalek aan het licht. “Hackers hebben de privégegevens van ongeveer 83 miljoen klanten van de Amerikaanse bank JP Morgan bemachtigd”. Indrukwekkende aantallen met uiteraard het gevaar dat de gegevens worden misbruikt voor toegang tot accounts, identiteitsdiefstal en/of misbruik van financiële gegevens.

Gesteld kan worden dat het risico op datalekken steeds groter wordt, zeker nu onze persoonsgegevens in steeds meer databanken en IT systemen zijn opgeslagen die verbonden zijn met het internet. Het is daarbij niet een kwestie of een gemeente wordt gehackt, maar meer de vraag wanneer en op welke wijze (zelf of via de pers) je er achter komt.

 

Wet Meldplicht datalekken

Gezien bovenstaande ontwikkelingen in het niet onlogisch dat vanuit de overheid wordt gewerkt aan een Wet meldplicht datalekken. Het doel van de meldplicht is tweeledig 1. voorkomen dat datalekken die persoonsgegevens betreffen zich voordoen en 2. in geval het toch gebeurt, de gevolgen voor betrokkenen zo veel mogelijk beperken. Als een gemeente niet voldoet aan de meldplicht, riskeert zij een boete die kan gaan oplopen tot maximaal  € 450.000,-. Ook de Europese Privacy Verordening die aanstaande is bevat een vergelijkbare meldplicht datalekken. De sancties in deze verordening, die rechtstreekse werking gaat hebben, zijn echter nog vele malen hoger (maximaal € 100.000.000).

 

Op dit moment wordt er nog uitgebreid parlementair vergaderd over de scope van de meldplicht.  Zo is onlangs besloten dat alleen een meldplicht bestaat indien de inbreuken ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens en dat er geen meldplicht bestaat indien de gelekte gegevens op passende wijze zijn beschermd. Denk hierbij onder meer aan versleuteling van data (encryptie) of een remote wipe van mobiele devices.

 

Risk based approach

Gezien de aanstaande meldplicht datalekken is mijn advies aan gemeenten vast te stellen waar je denkt het meest kwetsbaar te zijn. Met andere woorden: voer een risico analyse uit op de verwerking van persoonsgegevens binnen de gemeente processen. Zitten de risico’s op een datalek bijvoorbeeld in de opslag van data of meer in het transport van data naar burgers en derden? Kijk hierbij ook naar data classificatie: het indelen van data in risicoklassen, waarbij geldt hoe hoger de risicoklasse, hoe strenger de beveiligingsmaatregel. Is het voor een gemeente bedrijfsmatig bijvoorbeeld interessant en haalbaar om meer data versleuteld te verwerken?

 

Prevent, detect, respond

De meldplicht datalekken is tevens een belangrijk organisatorisch vraagstuk voor gemeenten.  Mijn advies is zorgen voor duidelijke procedures waarin taken, bevoegdheden en verantwoordelijkheden zijn benoemd. Zorg er ook voor dat dataprocessen vooraf in kaart zijn gebracht. Als een datalek zich voordoet dient de gemeente immers in staat zijn de omvang van het datalek te inventariseren en de benodigde maatregelen te nemen. Wie moet waar melden, welke maatregelen moeten binnen welke termijn worden genomen en wie is verantwoordelijk voor bijvoorbeeld communicatie omtrent het datalek. Denk vooraf goed na over hoe betrokkenen geïnformeerd worden en eventuele betrokken derden partijen. Vergeet daarnaast niet om te werken aan awareness van medewerkers omtrent de procedures en maatregelen en documenteer alles voor de audit trail.

 

De kans op datalekken kan worden verkleind door aanpassingen in ICT-systemen. Voor transport van data kun je denken aan email encryptie, waarmee privacy- en beveiligingsaspecten zijn te waarborgen met betrekking tot het uitwisselen van gevoelige informatie met burgers en instellingen of het gebruik van sterkere mogelijkheden van toegangsbeveiliging (identity en access management). Voor opslag van data kun je denken aan Network Perimeter Protection, waarmee netwerken en systemen worden beschermd tegen inbraak, oneigenlijk gebruik en grootschalige pogingen tot sabotage (DDoS). Maar denk ook aan Security & Compliance Monitoring, het bewaken van ICT-Infrastructuren op gebied van effectuering beveiligingsbeleid, bekende en onbekende kwetsbaarheden en pogingen tot misbruik.

 

De meldplicht datalekken staat aldus in nauw verband met de beveiligingsplicht uit de Wet bescherming persoonsgegevens (Wbp) op basis waarvan passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen. Mijn advies is om de huidige beveiligingsmaatregelen en het informatiebeveiligingsbeleid zowel vanuit organisatorische als technische optiek goed onder de loep te nemen.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers