Lex Bruinhof, 14 februari 2012

Lekken, lekken, lekken…

… je kunt de krant niet meer openslaan, of beter – want wie slaat er eigenlijk nog een krant open?- je nieuws-app niet meer aanklikken, of er komt wéér een geval voorbij van een databestand met persoonsgegevens dat op straat ligt. Wat hebben we de afgelopen dagen al niet zien passeren? Kpn, die 2 miljoen accounts uit de lucht haalde vanwege een kraak die uiteindelijk bij Baby-dump vandaan bleek te komen. Privégegevens “van honderdduizenden” klanten van Brabantse ondernemers (waaronder Bavaria) die zijn gehackt. En dan vandaag Philips weer, waar een hacker 200.000 e-mail adressen buit wist te maken.

En het is eigenlijk alleen maar omdat kpn voor de zekerheid die twee miljoen mailadressen onbruikbaar maakte, dat het hacken (eigenlijk cracken, schijnt het) momenteel even in de belangstelling staat. Het kraken van bestanden met persoonsgegevens is namelijk al veel langer letterlijk aan de orde van de dag. Voornaamste reden: de bestanden zijn niet behoorlijk beveiligd. Afgelopen oktober herdoopte Webwereld de maand in “Lektober” en bracht iedere werkdag een bericht over een omvangrijk datalek. Vooral gemeentelijke websites bleken bijzonder slecht beveiligd. Maar ook webwinkels gaan vaak de mist in en daar valt nu juist voor de hacker met écht slechte bedoelingen zo veel te halen (passwords; creditcard- en adresgegevens).

Hacken mag natuurlijk niet, dat weet iedereen. Maar wordt de kat in de praktijk niet te zeer op het spek gebonden? Zouden bedrijven en instellingen niet gewoon verplicht moeten worden om deze kwetsbare bestanden beter te beveiligen?

Welnu: dat moeten ze al. De Wet Bescherming Persoonsgegevens (WBP) is daar heel duidelijk over. Iedereen die verantwoordelijk is voor het verwerken van persoonsgegevens moet technische én organisatorische maatregelen nemen om deze te beschermen ( art.13). Er moet een “passend beveiligingsniveau” worden bereikt, rekening houdend met de stand van de techniek, de kosten, de aard van de gegevens en de risico's. Totaal dichttimmeren hoeft dus niet, maar de verantwoordelijke moet wel zijn best doen.

En wat als dat niet gebeurt? Daar zit de kneep. Het College Bescherming Persoonsgegevens dat toezicht houdt op de naleving van de WBP kan al sinds de invoering van die wet (administratieve) boetes uitdelen. Maar vooralsnog niet voor het niet behoorlijk beveiligen van persoonsgegevens. Wat nu in de praktijk gebeurt als het CBP wordt geïnformeerd over een slechte beveiligings-situatie, is het opleggen van een zogenaamde “last onder dwangsom“. Dat wil zeggen dat het CBP het bedrijf opdraagt vóór een bepaalde datum de beveiliging op orde te brengen, bij gebreke waarvan een dwangsom verschuldigd wordt.

Hoewel dat op zichzelf voor verbetering zorgt, gaat er toch niet de dreiging van uit die een direct verschuldigde boete met zich meebrengt. Het CBP pleit hier dan ook voor en de regering heeft plannen in die richting.

Hoe zit het met de bescherming van persoonsgegevens in uw onderneming? Voldoet u aan de eisen? Verzamelt uw webwikel niet meer dan nodig is? Zijn de patiëntgegevens binnen uw instelling voldoende beveiligd? Heeft u verwerkingen die moeten worden aangemeld daadwerkelijk gemeld? WIj gaan het graag met u na.

Vragen?