Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Computable: “BYOD en Shadow IT vormen risico voor meldplicht datalekken”

29 december 2015 - 2 minuten leestijd

Computable publiceerde vandaag een artikel van kantoorgenoot Willem Balfoort (advocaat IT/privacy). In het artikel gaat mr. Balfoort in op de gevolgen van Bring Your Own Device (BYOD) en Shadow IT op de meldplicht datalekken die vanaf 1 januari 2016 van kracht wordt. Klik hier om het artikel op de website van Computable te lezen. 

Het zal niemand ontgaan zijn dat per 1 januari a.s. de meldplicht datalekken van kracht wordt. Vanaf deze datum is het verplicht een ‘inbreuk op de beveiliging die tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens leidt’ binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. In bepaalde gevallen moet een datalek bovendien gemeld worden aan de personen wiens gegevens zijn getroffen door het datalek. Op niet-naleving van deze verplichting staan zeer forse boetes (tot € 820.000 per overtreding). 

Hoe organisaties zich voor moeten bereiden op deze nieuwe wettelijke plicht is uitgebreid besproken. Kortgezegd komt het er op neer dat 1) de diverse gegevensverwerkingen in kaart moeten worden gebracht, 2) de beveiliging op orde moet zijn, 3) intern beleid moet worden opgesteld en 4) afspraken moeten worden gemaakt met bewerkers. In de praktijk lijkt de focus vooral op het tweede, derde en vierde punt te liggen. En niet geheel onterecht, want mocht de toezichthouder ooit de compliance controleren, dan zullen dit ongetwijfeld de punten zijn waarop de controle zich toespitst. Het te gemakkelijk denken over de eerste stap brengt echter een aantal serieuze risico’s met zich mee.

Het valt mij op dat de inventarisatie van de diverse gegevensverwerkingen te vaak is gericht op de ‘usual suspects’. Hierbij wordt vergeten dat de verwerking van persoonsgegevens niet beperkt is tot de klant-, debiteuren-, personeels- en salarisadministratie. Persoonsgegevens kunnen overal opgeslagen staan, niet in de minste plaats in de e-mailboxes van medewerkers, uiteraard vaak mede bereikbaar via ‘eigen apparatuur’ van de betreffende medewerker. Wie houdt toezicht op (de beveiliging van) deze apparatuur? En wie trekt aan de bel als via deze weg gegevens op straat belanden?

Voorgaande geldt niet alleen voor de problematiek die samenhangt met Bring Your Own Device. Een vergelijkbaar probleem doet zich voor door de toenemende aanwezigheid van Shadow IT. Het gemiddelde bedrijf zal ongetwijfeld een goed overzicht hebben van welke (IT-)dienstverleners en softwarepakketten het bedrijf gebruik maakt. Met deze partijen worden geheel volgens de regels bewerkersovereenkomsten gesloten, waarin onder meer specifieke afspraken worden gemaakt over de melding van datalekken. Maar hoe zit het met de software die bepaalde afdelingen of individuele werknemers uit eigen initiatief gebruiken? Hoe zit het met Dropbox, WhatsApp of GoogleDocs? Heeft iemand binnen de organisatie enig idee welke software door werknemers wordt gebruikt? En is bekend in hoeverre hiermee persoonsgegevens worden verwerkt? Hoe zit het met de beveiliging van deze applicaties? En vooral ook: hoe wordt een eventueel datalek tijdig geconstateerd?
Dergelijke vragen zijn uiteraard niet nieuw, maar de consequenties van het onbeantwoord laten van deze vragen wordt per 1 januari a.s. aanzienlijk groter. De invoering van de meldplicht datalekken is dan ook een goed moment om (weer eens) aandacht te besteden aan deze issues. Een groot deel van IT-beveiliging is immers ‘bewustwording’. Van het management, maar ook van de werknemers.

Voor vragen naar aanleiding van deze blog, kunt u contact opnemen met Willem Balfoort (advocaat IE/IT/Privacy).

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?