Gastexpert: Meldplicht datalekken biedt kansen voor ondernemers

Allereerst wat feitelijke informatie. Want wat is er nu eigenlijk aan de hand? Organisaties krijgen vanaf volgend jaar een grotere verantwoordelijkheid over de gevoelige data waarover zij beschikken. Het College Bescherming Persoonsgegevens mag bij overtredingen en nalatigheid boetes uitdelen.

Boete bij ernstige nalatigheid

Datalekken met ogenschijnlijk ernstige gevolgen voor de bescherming van persoonsgegevens moeten direct gemeld worden bij het CBP. Is het datalek ook mogelijk schadelijk voor de persoonlijke levenssfeer van de betrokkenen, dan moet de organisatie ook hen informeren. Het CBP oordeelt vervolgens of sprake is van een opzettelijke overtreding. In dat geval wordt direct een boete uitgedeeld. In alle andere gevallen krijgt een organisatie eerst bindende aanwijzingen. De toezichthouder moet duidelijk uitleggen wat de overtreding exact inhoudt en hoe deze te beëindigen. Wordt de aanwijzing binnen een gestelde termijn niet opgevolgd, dan volgt een boete.

Bij het lekken van versleutelde of anderzijds onleesbaar gemaakte gegevens is een melding niet verplicht. Organisaties moeten een register bijhouden van alle datalekken die zij hebben gemeld. Dat moet minimaal één jaar worden bewaard. De maximale boete bedraagt € 810.000 of 10% van de omzet over het voorafgaande jaar.

Betere bewustwording

Deze wetgeving dwingt ondernemers veel bewuster om te gaan met privacy van hun klanten. En bovendien houden zij ook hun leveranciers scherp. Die bewustwording is geen overbodige luxe, want uit onderzoek blijkt dat dit bewustzijn bij veel organisaties niet of nauwelijks aanwezig is. Alleen daarom al is de maatregel een lovenswaardig initiatief.

Angst voor torenhoge boetes is niet nodig. De boete geldt alleen bij ernstige nalatigheid, iets dat je als organisatie absoluut kunt voorkomen. Je IT-infrastructuur hoeft daarbij echt geen ondoordringbaar fort te zijn. Het nastreven van volledige waterdichtheid tegen lekken is überhaupt niet realistisch. Software bevat altijd fouten en cybercriminelen vinden uiteindelijk overal back-doors of komen via social engineering binnen. Maar dat wil niet zeggen dat je dan maar niets moet doen. Want juist nietsdoen kan jou en je klanten duur komen te staan.

Goede inventarisatie en beleid

De naderende wetswijziging biedt een goede reden voor een kritische blik op je huidige bedrijfsvoering. Over welke klantdata beschikt de organisatie eigenlijk? Is al die data echt nodig voor het bieden van een betere klantervaring? Risico's zijn eenvoudig te verkleinen door simpelweg afstand te doen van irrelevante gegevens. Meer is niet altijd beter. En wat er niet is, kan ook niet op straat belanden.

Begin met het schrijven van een beleid en het onderbouwen van de keuzes op het gebied van informatiebeveiliging. Dat dwingt je na te denken over de inrichting van de data-infrastructuur en de veiligheid ervan. Bovendien is het een instrument om aan te tonen dat je niet ernstig nalatig bent geweest, mocht het ooit toch fout gaan. Roep daarbij de hulp in van een externe partij, en laat eventueel je organisatie screenen op zwakke plekken.

Positieve profilering

De wetswijziging geeft bovendien de kans om je positief te profileren richting de buitenwereld. Formuleer een duidelijke visie rondom dataprivacy en communiceer die. Verstop die visie niet in de kleine lettertjes van de algemene voorwaarden, maar ruim daar een belangrijke plek voor in op de website. Laat je klanten en prospects zien dat je hen en dus hun privacy serieus neemt. En wat zij van jou kunnen verwachten. Daarmee win je vertrouwen en onderscheid je je van de concurrentie.

De wetswijziging is wat ons betreft een stap in de goede richting. Het geeft organisaties de broodnodige prikkel voor een bewustere en verantwoordelijkere omgang met persoonsgegevens. Voor organisaties zelf is paniek allesbehalve nodig. Het is een mooie kans voor een positieve profilering richting de buitenwereld en het op orde brengen van interne processen en procedures.