Rond de nieuwe wet rond de meldingsplicht van datalekken onthouden de meeste it’ers en hun managers maar twee cijfers: 72 en 4. Hierbij gaat het om de 72 uur waarbinnen je een datalek moet melden. En de 4 procent van de omzet voor mogelijke boetes. Maar moet u dat al betalen?
De meldingsplicht is een onderdeel van de nieuwe privacyregels die op niveau van Europese wetgeving zijn doorgevoerd, en ze hebben ook impact op uw bedrijf en it-afdeling. Computable.be geeft een overzicht.
Waarover gaat het?
De totale Europese wetgeving komt voor uit een nieuw pakket van privacyregels. De vorige dateerde nog uit 1995, lang voor er sprake was van sociale media, apps of data breaches. Algemene teneur is dat de consument meer inzicht en controle moet krijgen over zijn persoonsgegevens. Elke klant moet voortaan zijn expliciete toestemming geven voor een bedrijf zijn gegevens kan gebruiken. De nieuwe privacyregels betonneren bijvoorbeeld het recht op inzage van gegevens.
Bovendien kan een consument of werknemer ten allen tijde van een bedrijf vragen om ‘vergeten te worden’. Dat principe gold al voor de zoekmachine Google na een uitspraak van het Europese Hof van Justitie. Daarnaast moeten ingrijpende datalekken binnen 72 uur gemeld worden.
Afhankelijk van de partij waar je mee praat, is de impact van deze wetgeving groot tot zeer groot. Sommigen spreken van de grootste tot meest ingrijpende wet uit de bedrijfsgeschiedenis. ‘Dat valt eigenlijk nogal mee’, nuanceert Marc Vael, chief audit executive bij Smals en president bij Isaca. ‘De Amerikaanse Sarbanes-Oxley-regelgeving was bijvoorbeeld veel ingrijpender’, vindt hij. Al zullen bedrijven en hun it-afdelingen wel een goed zicht op hun data moeten hebben. ‘Maar op zich is deze wet een logisch vervolg op de digitale evolutie’, vindt Vael.
Timing van deze wetgeving?
Enkele weken werd in het Europees parlement deze zogenaamde General Data Protection Regulation (GDPR) gestemd, de nieuwe Europese privacyregels. ‘Deze verordening is meteen in voegen. Lidstaten moeten deze wetgeving dus niet om te zetten naar lokale wetten’, stelt Marc Vael.
Belangrijk is dat er wel een overgangsperiode van ongeveer twee jaar is ingebouwd. De echte uitvoering van de maatregelen gaan dus pas in op 25 mei 2018. ‘Maar bedrijven die er nu pas mee beginnen zijn eigenlijk al te laat’, stelt Stewart Room, global head of cyber security and data protection, bij PwC op het recente Data Protect seminarie van Hewlett Packard Enterprises.
Wettelijke gevolgen bij datalekken?
Het meest opvallende onderdeel van de nieuwe wetgeving zijn de verplichtingen bij datalekken van persoonsgegevens. Dit geldt voor elk bedrijf dat Europese persoonsgegevens in zijn databank heeft zitten. Bij een datalek gaat het om een inbreuk op de beveiliging waarbij persoonsgegevens verloren gegaan die mogelijk onrechtmatig zijn verwerkt.
Vooral de eis dat bedrijven binnen de 72 uur een ernstig datalek moeten melden aan de privacyautoriteiten veroorzaakt de nodige nervositeit. De meldingsplicht op zich is niet nieuw, maar er komen nu meer instrumenten om het af te dwingen. Bedrijven die de regels schenden, riskeren een boete van 2 tot 4 procent van hun wereldwijde omzet. Voor grote bedrijven kan een boete al snel in de miljarden lopen.
Wordt er al gemeld (en beboet) in België of Nederland?
In ons land eigenlijk amper. Voor dit jaar gaat het slechts om een tiental meldingen die bij de Privacycommissie zijn binnengekomen. Van boetes voor een doorsnee bedrijf is al helemaal geen sprake. Bij de Privacycommissie wacht men hiermee tot de overgangsperiode afgelopen is.
In Nederland, waar de wetgeving wel officieel in voegen is, zijn er dit jaar al tweeduizend van dergelijke meldingen binnengekomen bij de Autoriteit Persoonsgegevens. Een groot verschil. Toch hebben de Nederlanders nog niet met mogelijke boetes staan zwaaien. ‘Zelf heb ik nog geen weet van dat er in Nederland al boetes zijn uitgereikt’, stelt Erik De Jong van it-bedrijf Fox-IT.
Andere IT-gevolgen?
Enerzijds moet een bedrijf zijn cybersecurity en databeheer veel beter in orde krijgen. Maar er blijken ook andere gevolgen van deze wetgeving. ‘Ooit is onderzocht wat de effecten waren van de eerste wetgeving die rond 2002 in California van kracht is geworden’, vertelt De Jong. ‘Toen bleek een van de belangrijkste effecten dat het gebruik van encryptie toegenomen was. Met andere woorden: een maatregel die niet per se het uitlekken van gegevens tegengaat, maar wel verhindert dat de gegevens bruikbaar zijn voor de aanvaller.’
Infosecurity Belgium
Computable.be is hoofdmediapartner van Infosecurity Belgium op woensdag 15 en/of donderdag 16 juni te Brussels Expo. Cybersecurity is hier een belangrijk thema.
