Op 1 januari 2016 treedt de EU Meldplicht Datalekken in werking. Wat houdt dit nu in, en wat zijn de gevolgen voor uw organisatie en hoe bereidt u zich hierop voor?
De meldplicht Datalekken (Data breach) is een aanvulling op al bestaande wetgeving. Duidelijke regels over de omgang met persoonsgegevens zijn essentieel voor het ondernemersklimaat en het vertrouwen in ICT. Met een aantal nieuwe regels wil de overheid en de EU de gevolgen van een datalek zoveel mogelijk beperken. De nieuwe meldplicht Datalekken moet bijdragen aan het behoud van vertrouwen in de omgang met persoonsgegevens.
Houd zelf controle over je persoonsgegevens
De nieuwe meldplicht Datalekken bestaat uit twee delen
- Meldplicht voor inbreuken op de beveiliging: Dit deel van de wet verplicht organisaties om melding te maken van een datalek van persoonsgegevens. Deze melding moet gedaan worden bij het College bescherming persoonsgegevens (CBP). De Privacy commissie zorgt ervoor dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaarborgd blijft.
- Bestuurlijke boetebevoegdheid: Organisaties die zich niet aan de meldplicht houden, of geen adequate maatregelen hebben getroffen voor de beveiliging van persoonsgegevens, kunnen een boete krijgen van het DPA. Deze kan oplopen tot 810.000,- € of 10% van de (wereldwijde) jaaromzet.
De gevolgen voor uw organisatie
De nieuwe meldplicht maakt de opvolging van een datalek een stuk minder vrijblijvend. Behalve voorkomen en constateren van datalekken, is het belangrijk om tijdig stil te staan bij de te nemen stappen, in geval zich daadwerkelijk een incident met persoonsgegevens voordoet. Naast technische consequenties zijn er organisatorische en communicatieve aspecten om over na te denken. Een plan met actiepunten voorbereiden, is daarom geen overbodige luxe.
Vergroot uw inzicht
Hiermee krijgt u meer inzicht in de manieren om persoonsgegevens doeltreffend te beveiligen en de kans op datalekken te minimaliseren:
- Heeft u binnen uw organisatie maatregelen getroffen die als specifiek doel hebben om de persoonsgegevens te beveiligen (zowel technische, organisatorische als communicatieve maatregelen)?
- Wordt de IT-infrastructuur periodiek getest op bekende en onbekende kwetsbaarheden, zowel automatisch als handmatig?
- Zijn er maatregelen getroffen om inbreuken op de beveiliging te detecteren, en ook real-time?
- Vindt er regelmatig een risico-analyse plaats om kritische gegevens te identificeren en ook veilig te stellen?
- Heeft u al een (calamiteiten- en communicatie)plan gereed voor wanneer zich een datalek voordoet, inclusief technische en communicatieve opvolging en afhandeling?
- Is er binnen uw management en bij uw medewerkers voldoende aandacht voor het belang van informatiebeveiliging en worden de interne regels en afspraken voldoende gevolgd?
Melding van gegevenslekken
Als blijkt dat persoonsgegevens die u beheert ook door iemand anders bekeken zijn, of misschien wel gekopieerd of gestolen, welke stappen onderneem je dan best?
Een gegevenslek kan eigenlijk mooi vergeleken worden met een waterlek. Wanneer je ineens met je voeten in het water staat, dan probeer je vanzelfsprekend eerst de watertoevoer af te sluiten, anders heeft dweilen geen zin. Verder zoek je natuurlijk ook naar de oorzaak van het waterlek, en gaat even bij de buren kijken of zij waterschade hebben. Ten slotte zorg je ervoor dat er in de toekomst geen water meer kan lekken.
Zo gaat het ook met gegevenslekken. Je brengt zo snel mogelijk de gelekte persoonsgegevens opnieuw in veiligheid, en gaat na waarheen ze gelekt zijn. De personen van wie de gegevens gelekt zijn, breng je op de hoogte van wat er gebeurd is, en je bekijkt wat je kan doen om een dergelijk gegevenslek in de toekomst te vermijden.
Het enige verschil tussen het waterlek en het gegevenslek, is dat je dit laatste ook moet melden. De autoriteit kan dan inschatten wat de impact van het gegevenslek is, en eventueel een aantal maatregelen aanbevelen.
Peter Witsenburg – Cloud Makelaar
