De gegevens van personen komen voor in heel veel bestanden, zowel binnen het bedrijfsleven als bij de overheid. Het er op kunnen vertrouwen dat persoonsgegevens voldoende worden beveiligd (niet worden misbruikt) wordt steeds belangrijker gevonden. Slecht beveiligde gegevens kunnen leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Zoals bijvoorbeeld identiteitsfraude.

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat organisatie de persoonsgegevens die zij verwerken moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp).

Op 01 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.

Wat is een datalek?

Wanneer derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, die informatie toch in handen krijgen, is er sprake van een datalek. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Als alleen sprake is van een zwakke plek in de beveiliging, wordt er gesproken van een beveiligingslek en niet van een datalek.

Datalekken zijn het gevolg van een beveiligingsprobleem. Hierbij kan het gaan om:

• Uitgelekte of gestolen persoonsinformatie. Bijvoorbeeld door cyberaanvallen of het hacken van een systeem. Maar ook een geprinte lijst met persoonsgegevens die wordt gestolen.
• E-mails verzonden naar verkeerde adressen
• Gestolen laptops of verloren usb-stick met persoonsgegevens
• Ook het onrechtmatig verwerken van gegevens door een organisatie valt onder een datalek. Hier kan ook het testen met productiedata onder worden verstaan.

Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. De bedoeling van deze regels is om organisaties te helpen bij het vaststellen of er sprake is van een datalek en of zij deze moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Voorkomen van datalekken bij het testen van software

Er zijn meerdere oplossingen mogelijk om datalekken bij het testen van software te voorkomen. We noemen er hier 2:

• De OTA (ontwikkel-, test, en acceptatieomgeving) op dezelfde wijze inrichten en beveiligen als de Productieomgeving. Dus met o.a. autorisatiemodellen en firewalls. Dit wordt door organisaties vaak ervaren als omslachtig en duur. Tevens worden de testers beperkt in hun flexibiliteit.
• Plaats geen productiedata in een minder goed beveiligde OTA-omgeving. Of beter nog gebruik geen productiedata om te testen. Een organisatie kan er wel voor kiezen om binnen de kaders van de WPB en de nieuwe General Data Protection Regulation (GDPR) de productiedata te anonimiseren of te pseudonimiseren.

A