Een datalek… Dat klinkt als de ver-van-mijn-bed-show. Toch gebeurt het sneller dan je denkt! Wanneer je bijvoorbeeld een USB stick in de trein laat liggen, in de haast je laptop vergeet op locatie of een email met persoonsgegevens naar een verkeerde persoon stuurt, is er per 25 mei 2018 sprake van een datalek. Vanaf dan is de nieuwe Europese wetgeving van kracht* en ben je als bedrijf verplicht een datalek te melden bij de Europese toezichthouder. Als blijkt dat je de data niet zorgvuldig hebt verwerkt en opgeslagen, loopt jouw organisatie kans op een hoge boete. In deze blog leggen we uit wat een datalek is, wat je moet doen als het gebeurt en - allerbelangrijkst - wat je kunt doen om het te voorkomen.
*Deze nieuwe wetgeving heet Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). Deze termen worden door elkaar gebruikt.
Wat is een datalek?
Wanneer je geen controle meer hebt over de bestemming van grote aantallen gevoelige persoonsgegevens, spreken we van een datalek. Denk hierbij aan (zeer) gevoelige informatie met betrekking tot gezondheid of geloofsovertuiging, maar ook financiële data of inloggegevens.
Wat gebeurt er na een datalek?
Wanneer er gegevens openbaar geworden zijn, meld je dit in eerste instantie bij de Security-afdeling van jouw organisatie. Zij schatten in of er sprake is van een datalek en hoe ernstig de situatie is. Als er sprake is van een datalek zal dat intern gedocumenteerd worden, maar ook publiekelijk bij de Europese toezichthouder.
De toezichthouder gaat dan aan de hand van de gevolgen/risico’s onderzoeken of de organisatie zorgvuldig met de persoonsgegevens is omgegaan. Wanneer dit niet het geval is kan de toezichthouder een boete uitdelen. Die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Daarnaast zijn de gevolgen wat betreft reputatieschade voor de organisatie niet te overzien.
Hoe voorkom je een datalek?
Als event manager werk je vaak op verschillende locaties, ben je veel met persoonsgegevens (bezoekersregistratie) bezig en werk je met verschillende leveranciers die ook persoonsgegevens verwerken. Wanneer één van deze schakels de controle verliest over de data, is er sprake van een datalek.
Het is dus van belang je bewust te zijn van de risico’s, zodat je samen met je collega’s van Security / Legal een werkwijze kunt bepalen waarin je gewoon je werk kunt doen, maar dan op een veilige manier. De volgende stappen zijn cruciaal (en in veel gevallen zelfs verplicht) om een datalek te voorkomen.
Buiten de organisatie: Duidelijke afstemming met leveranciers
- Stap 1: Inventariseer wie namens jouw organisatie de persoonsgegevens verwerkt: denk aan Email Service Providers en registratie(software) partners.
- Stap 2: Controleer hoe de bedrijven persoonsgegevens verwerken en opslaan. Gebeurt dit veilig? Als bedrijven zeggen gecertificeerd te zijn (bijvoorbeeld ISO 27001), vraag dan naar de scope van deze certificering. Controleer dit uiteraard ook binnen je eigen organisatie.
- Stap 3: Controleer waar de datacenters van jouw partners zich bevinden. Blijft de data die binnen de EU? Veel Europese bedrijven eisen dat de data binnen de EU blijft vanwege de betere bescherming van privacy ten opzichte van bijvoorbeeld Amerikaanse privacywetten.
- Stap 4: Sluit een verwerkersovereenkomst af met alle bedrijven die (namens jou) persoonsgegevens verwerken. Alle onderwerpen die thuishoren in een verwerkersovereenkomst behandelen we in de volgende blog.
- Stap 5: Wanneer je er niet aan ontkomt om (Excel)bestanden met persoonsgegevens te delen met externe leveranciers, beveilig het document dan altijd met een wachtwoord. Met name wanneer je deze bestanden per mail verstuurt. Stuur in dat geval het wachtwoord apart, per SMS. Zo weet je zeker dat alleen jij en de leverancier bij de gegevens kunnen.
Welke stappen neem je binnen de organisatie?
Voor iedere organisatie geldt een ander beveiligingsbeleid. Het is belangrijk dat je samen met je collega’s van Security & Privacy een beleid vormt voor het verwerken van persoonsgegevens rondom events. Dit vereist een open aanpak waarin alle partijen het eens zijn over de beveiliging, privacy, zonder dat jouw gebruiksgemak eronder lijdt!
Conclusie
Er is sprake van een datalek wanneer je de controle verliest over de bestemming van (grote aantallen) gevoelige persoonsgegevens. In mei 2018 gaat een nieuwe wetgeving in, waarbij bedrijven zelf verantwoordelijk worden gehouden wanneer er niet zorgvuldig is omgesprongen met de data. De organisatie loopt in dat geval het risico op een (hoge) boete. Het is goed om je te realiseren dat er bij het organiseren van events een behoorlijk hoog risico is op een datalek. Je kunt de risico’s minimaliseren door de procedure voor het verwerken van persoonsgegevens rondom events goed af te stemmen. Begin hier tijdig mee.
Dit is de 2e blog in een reeks van 3, lees ook: