Managed hosting door True

‘Omgekeerde bewijslast bij Meldplicht Datalekken’

Organisaties weten niet welke data ze kwijt zijn

 

Boete

Sinds de invoering van de nieuwe Wet Bescherming Persoonsgegevens (Wbp) begin 2016 heeft Fox-IT meerdere incidenten onder de loep genomen. De securityspecialist signaleert hierbij een aantal zaken die vooral voortvloeien uit de invoering van de Meldplicht Datalekken. Zo blijkt er vooral een omkering van de bewijslast plaats te vinden en is vaak niet duidelijk welke data een organisatie zijn kwijtgeraakt.

De nieuwe Wet Bescherming Persoonsgegevens (Wbp) is begin dit jaar ingegaan. Met de nieuwe Wbp kwamen er een hogere boetebevoegdheid voor de Autoriteit Persoonsgegevens (AP) en een meldplicht voor datalekken waarbij persoonsgegevens betrokken zijn. Het afgelopen half jaar heeft Fox-IT ervaring opgedaan met incidenten waarop de meldplicht van toepassing was. Een van de belangrijkste bevindingen is dat de Autoriteit Persoonsgegevens een omgekeerde bewijslast hanteert. Dat betekent dat een organisatie verplicht is te melden als niet redelijkerwijs valt uit te sluiten dat een aanvaller zich toegang heeft verschaft tot persoonsgegevens.

Logging en netwerkmonitoring

Een tweede bevinding van Fox-IT is dat niet altijd duidelijk is welke data er gestolen en/of vernietigd zijn. Met uitgebreide logging en netwerkmonitoring kan echter veel worden onderzocht. Dat maakt het makkelijk om aan te tonen dat toegang tot persoonsgegevens niet heeft plaatsgevonden, zodat melding achterwege kan blijven. Dit kan bijvoorbeeld spelen als een laptop wordt gestolen. Als dan niet met zekerheid valt vast te stellen welke gegevens zich daarop bevinden, is melding onvermijdelijk. Versleutelen van laptops en door werknemers te laten werken vanaf centraal beheerde databronnen (netwerkmappen, documentmanagementsystemen, et cetera) kan dit voorkomen.

Tot slot blijkt volgens Fox-IT in het licht van de meldplicht zeer snelle detectie en respons cruciaal. Dat kan voorkomen dat malware daadwerkelijk actief wordt, en met de juiste loggegevens en gegevens over het netwerkverkeer kan de organisatie dat ook aantonen. Daarmee wordt voldaan aan de strenge eis van de AP: uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt.

Meldplicht: een half jaar datalekken

Kevin Jonkers, manager forensics en incident response bij Fox-IT, gaat in zijn opiniebijdrage ‘Meldplicht: een half jaar datalekken’ dieper op bovenstaande materie in.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/5808124). © Jaarbeurs IT Media.

?


Lees ook


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×

Ontvang gratis de nieuwste Computable 100

Doe mee aan het Computable 100 onderzoek!