Meldplicht datalekken: wat moet je ervan weten?
Een kwijtgeraakte usb-stick, een gestolen laptop, een digitale inbraak in je computer of je netwerk. Gegevens die je organisatie gebruikt kunnen onbedoeld in handen van derden komen. Die datalekken brengen niet alleen je eigen organisatie schade toe, maar, als het om persoonsgegevens gaat, vooral de mensen van wie de gegevens zijn verloren of gestolen. Om die schade te beperken is sinds 1 januari is de meldplicht datalekken van kracht.
Autoriteit Persoonsgegevens
Een centrale rol in de meldplicht datalekken is weggelegd voor de Autoriteit Persoonsgegevens, vroeger het College Bescherming Persoonsgegevens. Zowel bedrijven als overheden moeten bij deze instantie direct melding doen van ernstige datalekken. Daarnaast moeten ze in de allerernstigste gevallen het incident melden aan de betrokken personen. Dat is aan regels gebonden. Wat betekent dat in de praktijk?
Beveiligingsincidenten en datalekken
Om te beginnen heb je om beveiligingsincidenten te voorkomen een goed beveiligingsbeleid nodig, zowel technisch als organisatorisch. Je moet je zaakjes op orde hebben. Toch kan er altijd iets gebeuren, zoals de beveiligingsincidenten die we hierboven beschreven. Zo’n incident betekent niet per se óók een datalek. Dat is het alleen als het duidelijk is dat er persoonsgegevens zoek zijn of als iemand iets onrechtmatigs kan doen met die gegevens.
Gevoelige aard
Kortom, niet ieder datalek hoeft gemeld te worden. Pas als het gaat om persoonsgegevens ‘van gevoelige aard’, moet je ermee naar de Autoriteit Persoonsgegevens. Gevoelig zijn bijvoorbeeld gezondheidsgegevens, financiële gegevens, gegevens over de persoonlijke levenssfeer, gebruikersnamen en wachtwoorden of gegevens die gebruikt kunnen worden voor identiteitsfraude.
Als het waarschijnlijk is dat het lek ook nadelige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen, moeten ook die op de hoogte gebracht worden. Denk bijvoorbeeld aan onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsfraude of discriminatie.
Wat doet CreateSend?
Het mailsysteem van CreateSend bevat gegevens op twee niveaus: alle gegevens van de gebruikers (onze klanten) en per gebruiker de verzendlijsten met e-mailadressen. Al onze klantgegevens zijn versleuteld opgeslagen op beveiligde servers, apart van de mailinglijsten. We hebben gelukkig nog nooit een beveiligingsincident meegemaakt, en we doen er alles aan om dat te voorkomen.
Ook Campaign Monitor, het bedrijf waar CreateSend de techniek ‘inkoopt’, volgt een strikt securitybeleid en maakt gebruik van streng beveiligde datacenters. Informatie over de identiteit en voorkeuren van individuele leden is afgeschermd en de beveiliging wordt voortdurend op peil gehouden.
Gebruikersniveau
Waar we veel minder invloed op hebben is het niveau van de gebruikers zelf: hun toegang tot het eigen account en de mailinglijsten die ze beheren. Iedere gebruiker is zelf verantwoordelijk voor de beveiliging van zijn eigen account, gebruikersnamen, wachtwoorden en documenten en voor het gebruik van het account.
Wees zorgvuldig
De meeste gebruikers van CreateSend zullen geen ‘gevoelige’ informatie in hun account bewaren zoals bedoeld in de meldplicht datalekken. Toch kunnen we niet genoeg benadrukken: spring zorgvuldig om met je account en de gegevens die je daar bewaart. E-mailadressen gekoppeld aan namen kunnen namelijk erg waardevol zijn voor criminele organisaties. Als ze zo’n lijst in handen hebben, kunnen ze phishingmails versturen om geadresseerden op slinkse wijze financiële gegevens afhandig te maken. Regel dus de autorisatie goed, geef niet iedereen toegang tot je account en kies sterke wachtwoorden die je veilig opslaat in een wachtwoordmanager als LastPass of 1Password.