Recent werden we door de media overspoeld met diverse nieuwsberichten omtrent het virus Wannacry. Dit virus verzegelt bestanden op uw computer en geeft die weer vrij tegen betaling. Experts zijn het er over eens dat bedrijven dikwijls niet bestand zijn tegen dergelijke virussen en dat het aantal datalekken in de toekomst alleen maar zal stijgen. Men doet er dus goed aan om zich te wapenen tegen dergelijke virussen.
Europa doet er nog een schepje bovenop. De General Data Protection Regulation (GDPR), die u in een vorige nieuwsbrief kort werd toegelicht en die in mei 2018 in werking treedt, poogt de privacy van personen nog meer te beschermen dan voorheen. Iedere onderneming die zogenaamde persoonsgegevens verzamelt en verwerkt, zal in de toekomst nog méér verplichtingen opgelegd krijgen. Eén van deze verplichtingen is het melden van een datalek aan de Privacycommissie binnen de 72 uur. Deze melding moet gebeuren, hoe klein het lek ook is.
Maar er is meer, wanneer het lek persoonlijke gegevens bevat, die een inbreuk kunnen vormen op de privacy van een persoon, dient die specifieke persoon ook op de hoogte gebracht te worden.
Wanneer dus een systeem met gevoelige persoonsgegevens wordt gegijzeld door een virus, zoals Wannacry, zijn deze gegevens in feite onbeschikbaar zodat men kan spreken van een datalek. Dit betekent dan ook concreet dat iedere specifieke persoon wiens gegevens de onderneming bezit, op de hoogte dient te worden gebracht dat zijn of haar gegevens zijn gelekt. Indien men opteert om deze melding niet te doen, voorziet de GDPR in hoge boetes. Men dient evenwel geen melding te doen wanneer de gelekte gegevens op de één of andere manier ontoegankelijk zijn gemaakt, zoals gecodeerde gegevens of wanneer de onderneming genoeg (technische) maatregelen heeft genomen om er voor te zorgen dat een risico op een lek niet meer zal voorkomen.
Desalniettemin hoeft het niet gezegd dat deze verplichte melding tot een serieuze reputatieschade kan leiden voor de betrokken onderneming.
Sterker nog, wanneer persoonsgegevens door het virus verzegeld zijn, is het soms niet mogelijk om iedereen te bereiken. De contactgevens zijn immers niet meer toegankelijk. De GDPR-regelgeving voorziet dan in een melding via een openbare mededeling, zoals de krant of de media. Dit zal de reputatie van de onderneming al zeker niet ten goede komen.
Het is dan ook belangrijk om zich voor te bereiden op de regelgeving van de GDPR. In eerste instantie dient men binnen de onderneming na te gaan waar de persoonsgegevens zich vinden, wie er toegang tot heeft en waar die gegevens eventueel naar toegestuurd worden. In tweede instantie dient men een risicoanalyse te maken: welke gegevens zijn het gevoeligst en hoe gaan we deze gegevens beschermen.
Het is derhalve ten zeerste aangewezen dat iedere onderneming van zichzelf weet op welke wijze zij gegevens verwerkt van haar (potentiële) klanten en waar deze gegevens werden opgeslaan. Eens men over deze ‘inventaris’ beschikt, kan men de gepaste maatregelen nemen om een adequate beveiliging of een actieplan bij een datalek te implementeren. Bovendien dient men dit na te gaan over de grenzen van de verschillende departementen heen, aangezien ieder departement op de één of andere manier persoonsgegevens verwerkt. Denk maar aan de HR-afdeling (personeelsbestanden), de Sales-afdeling (klantenbestanden), IT-afdeling (gegevens via website)…
Ter herinnering: D-Day van de GDPR is 25 mei 2018!