nieuws

810.000 euro boete voor hack personeelsdata

Organisatie & Strategie

Er komt een meldplicht voor bedrijven wanneer er persoonsgegevens gestolen, gehackt of verloren zijn.  Wat betekent dat voor HR?

810.000 euro boete voor hack personeelsdata

Op 10 februari stemde de Tweede Kamer in met een verandering in de Wet bescherming persoonsgegevens (WBP). Afgelopen dinsdag werd de wet besproken in de Eerste Kamer. En aangezien de Tweede Kamer unaniem met de verandering instemde, wordt aangenomen dat de verandering al op 1 juli 2015 in zal gaan. Voorbereiding is dus geboden.

Meldplicht voor datalekken

Maar goed, over welke verandering hebben we het hier? De belangrijkste verandering is een nieuwe meldplicht voor datalekken. Zodra een organisatie persoonsgegevens gehackt, gestolen of verloren raken, en er een kans bestaat dat betrokkenen daar ernstige nadelige gevolgen van gaan hebben, moeten zij dit melden aan de toezichthouder College Bescherming Persoonsgegevens (CPB). Er moet binnen 48 uur een rapport worden opgesteld over wat er precies is gebeurd en wat de organisatie heeft gedaan om het voorval te voorkomen. De meldplicht geldt voor organisaties die werken met meer dan 5000 verschillende persoonsgegevens. Maar met een klanten- en personeelsbestand ben je daar al zo.
Als het CPB meent dat het datalek voorkomen had kunnen worden of veroorzaakt wordt door ernstig verwijtbaar handelen, kan het de organisatie een boete opleggen. En brace yourself: die kan met de nieuwe wetgeving oplopen tot 810.000 euro. Een bedrag dat een bedrijf makkelijk om zeep kan helpen, of toch op z’n minst een flinke knauw geeft.
Een ‘datalek’ mag misschien groots klinken, maar we hebben het hier dus al over een medewerker die zijn werktelefoon met belangrijke klantnummers in de kroeg laat liggen, een verloren USB-stickje, maar ook klantenlijsten in de prullenbak die op de financiële afdeling en passant door een bezoeker worden meegenomen.
Een goede voorbereid is noodzakelijk en kan veel problemen voorkomen. Rob Koch van IT-beveiligingsbedrijf Sebyde, helpt organisaties bij het verhogen van de security awareness. Hij legt uit wat dit betekent voor HR.

Wat betekent dit voor HR-afdelingen?

‘Technisch gezien kun je veel doen aan IT-beveiliging, maar de mens en zijn gedrag blijft altijd de zwakke schakel in beveiliging. Werknemers moeten ‘security-aware’ worden. Marijke van de afdeling administratie moet weten dat de gegevens waarmee ze werkt een godsvermogen waard zijn voor kwaadwillenden en daarom goed beschermd dienen te worden. En daar speelt HR een belangrijke rol in.’

Lees ook: Wat HR moet weten over IT-beveiliging
Lees ook: Zo beschermt HR tegen diefstal

Is dit niet meer een taak voor IT?

‘Wat wij in de praktijk vaak zien is dat HR zegt: security, daarvoor moet je bij IT zijn. Vervolgens zeggen de computerjongens: ja maar wij zijn niet verantwoordelijk voor het gedrag van het personeel. Ze wijzen naar elkaar en vervolgens gebeurt er niets. En ondertussen zijn de medewerkers onbewust van de gevaren, klikken op phishing emails en gebruiken onveilige passwords. Hierdoor blijft de organisatie erg kwetsbaar voor cybercriminaliteit.
HR en IT moeten samen om tafel gaan zitten om een plan te maken hoe ze dat bewustzijn van medewerkers gaan verhogen. Cybercriminelen vallen niet het netwerk aan, ze vallen de mensen in de organisatie aan. Die mensen moeten daarom weerbaar gemaakt worden.’

Hoe kan HR de organisatie voorbereiden op de wet?

‘HR gaat veel meer betrokken worden bij de bescherming van dit soort gegevens. HR kan trainingen geven in het weerbaar maken van medewerkers om de juiste cultuur te creëren. Maar je kunt je ook voorstellen dat HR in het toekomstige arbeidscontract een paragraafje opneemt over het securitybeleid van de organisatie. Bijvoorbeeld dat een medewerker niet zomaar klantgegevens naar zijn eigen e-mail mag sturen, of dat er richtlijnen komen dat er niet met privételefoons ingelogd mag worden op het bedrijfsnetwerk. Veiligheid moet op de agenda komen van de hele organisatie. Dat is niet alleen een verantwoordelijkheid van HR of IT, maar een verantwoordelijkheid van iedereen.’

TIP: Lees meer over IT-beveiliging en big data op het platform Overehrm.nl

 

 

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels