Meldplicht datalekken: wat moet je ervan weten?

meldplicht-datalekken-emailmarketingEen kwijtgeraakte usb-stick, een gestolen laptop, een digitale inbraak in je computer of je netwerk. Gegevens die je organisatie gebruikt kunnen onbedoeld in handen van derden komen. Die datalekken brengen niet alleen je eigen organisatie schade toe, maar, als het om persoonsgegevens gaat, vooral de mensen van wie de gegevens zijn verloren of gestolen. Om die schade te beperken is sinds 1 januari is de meldplicht datalekken van kracht.

Autoriteit Persoonsgegevens

Een centrale rol in de meldplicht datalekken is weggelegd voor de Autoriteit Persoonsgegevens, vroeger het College Bescherming Persoonsgegevens. Zowel bedrijven als overheden moeten bij deze instantie direct melding doen van ernstige datalekken. Daarnaast moeten ze in de allerernstigste gevallen het incident melden aan de betrokken personen. Dat is aan regels gebonden. Wat betekent dat in de praktijk?

Beveiligingsincidenten en datalekken

Om te beginnen heb je om beveiligingsincidenten te voorkomen een goed beveiligingsbeleid nodig, zowel technisch als organisatorisch. Je moet je zaakjes op orde hebben. Toch kan er altijd iets gebeuren, zoals de beveiligingsincidenten die we hierboven beschreven. Zo’n incident betekent niet per se óók een datalek. Dat is het alleen als het duidelijk is dat er persoonsgegevens zoek zijn of als iemand iets onrechtmatigs kan doen met die gegevens.

Gevoelige aard

Kortom, niet ieder datalek hoeft gemeld te worden. Pas als het gaat om persoonsgegevens ‘van gevoelige aard’, moet je ermee naar de Autoriteit Persoonsgegevens. Gevoelig zijn bijvoorbeeld gezondheidsgegevens, financiële gegevens, gegevens over de persoonlijke levenssfeer, gebruikersnamen en wachtwoorden of gegevens die gebruikt kunnen worden voor identiteitsfraude.

Als het waarschijnlijk is dat het lek ook nadelige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen, moeten ook die op de hoogte gebracht worden. Denk bijvoorbeeld aan onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsfraude of discriminatie.

Wat doet CreateSend?

Het mailsysteem van CreateSend bevat gegevens op twee niveaus: alle gegevens van de gebruikers (onze klanten) en per gebruiker de verzendlijsten met e-mailadressen. Al onze klantgegevens zijn versleuteld opgeslagen op beveiligde servers, apart van de mailinglijsten. We hebben gelukkig nog nooit een beveiligingsincident meegemaakt, en we doen er alles aan om dat te voorkomen.

Ook Campaign Monitor, het bedrijf waar CreateSend de techniek ‘inkoopt’, volgt een strikt securitybeleid en maakt gebruik van streng beveiligde datacenters. Informatie over de identiteit en voorkeuren van individuele leden is afgeschermd en de beveiliging wordt voortdurend op peil gehouden.

Gebruikersniveau

Waar we veel minder invloed op hebben is het niveau van de gebruikers zelf: hun toegang tot het eigen account en de mailinglijsten die ze beheren. Iedere gebruiker is zelf verantwoordelijk voor de beveiliging van zijn eigen account, gebruikersnamen, wachtwoorden en documenten en voor het gebruik van het account.

Wees zorgvuldig

De meeste gebruikers van CreateSend zullen geen ‘gevoelige’ informatie in hun account bewaren zoals bedoeld in de meldplicht datalekken. Toch kunnen we niet genoeg benadrukken: spring zorgvuldig om met je account en de gegevens die je daar bewaart. E-mailadressen gekoppeld aan namen kunnen namelijk erg waardevol zijn voor criminele organisaties. Als ze zo’n lijst in handen hebben, kunnen ze phishingmails versturen om geadresseerden op slinkse wijze financiële gegevens afhandig te maken. Regel dus de autorisatie goed, geef niet iedereen toegang tot je account en kies sterke wachtwoorden die je veilig opslaat in een wachtwoordmanager als LastPass of 1Password.

Herziene Code E-mail

Per 1 januari 2012 is de herziene Code E-mail in werking getreden. In deze nieuwe Code E-mail staat omschreven hoe en wanneer organisaties (adverteerders, bestandseigenaren en bewerkers) commerciële e-mail mogen versturen. In de Code staan onder andere belangrijke bepalingen, waarin eisen gesteld worden aan transparantie in het vragen van toestemming, de afmeldprocedure en derdeverstrekking.

Wanneer je met regelmaat digitale nieuwsbrieven verstuurd, is het belangrijk om goed op te hoogte te zijn van de regelgeving voor het versturen van e-mail. Onze collega’s van Mailplus hebben een heldere video gemaakt waarin alles goed wordt uitgelegd. Zo weet je precies waar je op moet letten bij het versturen van je digitale nieuwsbrief.

Waar is de nooduitgang van je digitale nieuwsbrief?

Nooduitgang van je nieuwsbriefIk wilde me (tijdelijk) afmelden voor een nieuwsbrief. Dat vinden de afzenders van de nieuwsbrief niet leuk, dat snap ik. Maar waarom sturen ze me een doolhof in en versperren ze me de weg? Onderaan de nieuwsbrief vind ik de link ‘afmelden’. So far, so good. Klik.

Ik kom niet bij de pagina ‘afmelden’, maar op de homepage van de afzender. Fout #1. Goed zoeken, want helemaal onderaan verstopt, vind ik een link getiteld ‘aan/afmelden’. Klik. Ik kom op het aanmeldformulier. Fout #2. Mijn irritatie groeit. Hèhè, onderaan het aanmeldformulier (met vele velden, dropdownmenu’s en ja/nee-buttons, bij elkaar tien regels) staat heel klein: ‘afmelden voor de nieuwsbrief’. Ik bereik het juiste formuliertje en vul mijn e-mailadres in. Grrr, ik moet me legitimeren voor ik van ze af ben. Met een automatische link vanuit de nieuwsbrief was dat niet nodig geweest. Fout #3.

Eindelijk. Gelukt. Ik ben buiten! Inclusief een bedankje voor mijn belangstelling, dat dan weer wel. Maar terugkomen doe ik hier niet gauw. Want waar ik ook ben, ik wil altijd weten waar de uitgang is.

De nooduitgang van CreateSend

Voor CreateSend hebben we onszelf als uitgangspunt genomen. Hoewel we natuurlijk niemand een afmelding toewensen, moet het wel super simpel zijn. Eenvoudig, gemakkelijk, soepel, snel. Daarom kun je in CreateSend standaard de optie ‘afmelden’ aanvinken. Door een duidelijke nooduitgang aan te maken, voorkom je (op de valreep) een hele berg irritatie.