Wat betekent de meldplicht datalekken voor jouw site?
1 januari is de wet meldplicht datalekken ingegaan. Dit is een belangrijke wetswijziging voor iedereen die met persoonsgegevens werkt, en dus ook voor jou als beheerder van een website of webshop. Sinds 1 januari ben je namelijk verplicht om een melding te doen bij een datalek én kan het AP (Autoriteit Persoonsgegevens, het voormalige College Bescherming Persoonsgegevens, red.) je een forse boete opleggen bij nalatigheid. In dit artikel licht ik de wet kort toe en ga ik in op welke voorzorgsmaatregelen je moet nemen om een datalek, en daarmee ook een eventuele boete, te voorkomen.
De meldplicht datalekken in het kort
De meldplicht heeft een getrapt model dat, er als volgt uit ziet:
Dit model is afkomstig uit de officiële beleidsregels van het AP, zie ook de website voor de details.
Als organisatie ben je dus verplicht om een melding te doen bij het AP zodra er persoonsgegevens zijn gelekt door een beveiligingsincident. Het meest voor de hand liggende voorbeeld is een hack waarbij kwaadwillenden toegang hebben gekregen tot je klantgegevens. Maar de meldplicht datalekken gaat zelfs zover dat je het ook moet melden als je een USB-stick kwijtraakt met persoonlijke gegevens of een mailtje met persoonsgegevens naar de verkeerde persoon stuurt. Wanneer je er achter komt dat er sprake is van een datalek moet je dit, ‘voor zover mogelijk’ , binnen 72 uur melden bij het AP.
Als je andere gegevens verliest dan persoonsgegevens, dan hoef je dit niet te melden. Deze gegevens vallen namelijk niet onder datalekken. Denk hierbij aan de broncode van je software of een lijst met bedrijfsnamen uit je CRM-systeem.
Wanneer moet je ook de betrokkenen informeren?
Naast dat je een melding moet maken bij het AP, moet je in ernstige gevallen ook de betrokkenen (dus de mensen van wie de persoonsgegevens zijn gelekt) op de hoogte te stellen. Je bent hiertoe pas verplicht als ‘het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Je kunt hierbij denken aan discriminatie, identiteitsfraude of reputatieschade. Dit lijkt een beetje vaag omschreven, maar in de praktijk zal het altijd zo zijn dat het AP jou laat weten of je wel of niet de betrokkenen op de hoogte moet stellen.
Wanneer krijg je een boete opgelegd?
Wanneer je een melding hebt gemaakt bij het AP krijg je natuurlijk niet gelijk een boete opgelegd. Pas als het AP kan aantonen dat het datalek het gevolg is geweest van ernstige verwijtbare nalatigheid van jouw kant, zal het AP je een boete opleggen. Ook als je een datalek niet (tijdig) meldt, of als je zonder toestemming persoonsgegevens verwerkt, kun je een boete krijgen. De hoogte van de boete kan oplopen tot € 820.000 of 10 procent van de jaaromzet.
Voorkom een datalek met de juiste voorzorgsmaatregelen
Het mag duidelijk zijn: je wilt überhaupt niet bij het AP aan hoeven te kloppen. Maar we weten ook dat een volledig veilig internet een utopie is. Dat weet het AP ook. Het doel van de meldplicht is dus ook niet om lekken volledig te voorkomen, maar om awareness te creëren bij partijen die werken met persoonsgegevens en hiermee indirect zoveel mogelijk schade te voorkomen.
Met de juiste voorzorgsmaatregelen kun je de kans op een datalek, en een boete, zoveel mogelijk verkleinen.
- Stel een procedure op voor als het onverhoopt toch misgaat. Het scheelt de helft aan paniek als je weet wat je moet doen, en wie wat moet doen.
- Ga na of alle partijen die ook jouw persoonsgegevens verwerken, zoals een CRM-aanbieder, de juiste maatregelen hebben getroffen en de gegevens veilig opslaan. Maak ook goede afspraken met deze derde partijen over hoe ze jou op de hoogte stellen wanneer er sprake is van een datalek. Wanneer er sprake is van een datalek bij een derde partij moet jij als website-eigenaar nog steeds het datalek melden bij het AP.
- Neem de juiste veiligheidsmaatregelen voor je site en zorg ervoor dat deze goed beveiligd is tegen kwaadwillenden. Wanneer je de gangbare veiligheidsmaatregelen hebt getroffen, wordt het voor het AP ook lastiger om je ernstige nalatigheid te verwijten.
Bescherm je site tegen kwaadwillenden
Hackers ontwikkelen constant nieuwe technieken om in te breken in je site. Dagelijks worden er op de servers van Byte al 60.000 hackpogingen afgeweerd. Dit aantal zal bij andere hostingpartijen nagenoeg hetzelfde zijn. Het is daarom heel erg belangrijk om de veiligheid van je site goed op orde te hebben, en deze continu te updaten.
Eerder gaf ik al aan dat het meest voor de hand liggende voorbeeld van een datalek een hack is, waarbij kwaadwillenden toegang hebben gekregen tot je klantgegevens.. Ga dus na of jouw hostingpartij de basisveiligheid goed op orde heeft. Daarnaast zul je zelf nog extra veiligheidsmaatregelen moeten nemen om je site veilig te houden. Ben je zelf niet zo heel technisch, zoek dan een webdeveloper die het voor je kan doen.
Wat kun je als website-eigenaar zelf doen?
1. Zorg voor een SSL-certificaat
Met een SSL-certificaat wordt het verkeer tussen jouw server en de browser van je bezoeker versleuteld. Alle transactie- en/of persoonsgegevens die je klant invult, worden zo veilig verstuurd naar je server. Een SSL-certificaat is de norm voor het veilig versturen van gevoelige gegevens. Naast zekerheid biedt een SSL-certificaat (te herkennen aan de https in de url) ook vertrouwen voor de bezoeker. Een bijkomend voordeel is dat ook Google veel waarde hecht aan veilige websites, en website mét SSL-certificaat hoger plaatst in de zoekresultaten.
2. Houd je software up-to-date en installeer veiligheidsupdates zo snel mogelijk
Dit klinkt wellicht als een open deur. Toch zien we vaak dat maar weinig sites op de nieuwste softwareversies draaien en dat ook veiligheidsupdates lang niet altijd gelijk worden doorgevoerd. Vooral dat laatste is erg belangrijk. Zodra er een veiligheidsupdate uitkomt, zijn ook hackers hiervan op hoogte. Na bekendmaking van een lek zien we binnen 4 uur al actieve hackpogingen op ons hostingplatform.
3. Monitor je site
Monitor nauwlettend wat er op je site gebeurt. Als je hier strak op zit, ben je een eventuele hacker al op het spoor voordat hij/zij schade kan aanrichten. Daarnaast is het natuurlijk een nachtmerrie als niet jij, maar een journalist of een ethical hacker het lek voor je ontdekt.
4. Ga na of je persoonsgegevens versleuteld opslaat in databases
Je kunt persoonsgegevens beschermen door middel van encryptie of hashing. Hierdoor wordt de gelekte data ontoegankelijk voor kwaadwillenden. Je hoeft in dit geval ook niet de betrokkenen te informeren. Maar in de praktijk betekent dit wel dat je geregeld moet controleren of je encryptie nog intact is.
5. Beveilig de toegang naar je back-end
Elk CMS heeft zijn eigen standaard admin-pad, het adres waarmee je naar de backend van je site kunt. Voor Magento is dit bijvoorbeeld ‘www.jouwdomein.nl/admin’. Door dit adminpad te veranderen moeten hackers eerst nog op zoek naar de locatie van je back-end. Je maakt het ze dan dus extra moeilijk. Je kunt nog een stap verder gaan door het adres van je back-end te beveiligen met een wachtwoord en een maar een beperkt aantal IP-adressen toegang te geven.
Bescherm je site
Bovenstaande tips zijn nog maar een greep uit de vele veiligheidsmaatregelen die je kunt nemen om je site te beschermen tegen hackers. Als je zelf niet zo heel technisch bent, vraag dan een professionele partij naar tips voor jouw specifieke site.
Veel succes!