Infoslot biedt inzicht in digitale inbraakbeveiliging
Direct Contact

Blog

Meldplicht Datalekken vanaf 1 januari 2016

[december 2015]     [Leestijd 1m30]

Vanaf 1 januari 2016 is een nieuwe wet van kracht, de AVG (algemene verordening gegevensbescherming). Een belangrijk onderdeel hierin is de Meldplicht Datalekken. Ook voorheen werd van een organisatie verwacht dat ze netjes met persoonsgegevens omgingen. Dat betekent onder andere dat er voor moet worden gezorgt, dat deze gegevens afdoende zijn beveiligt en niet op straat komen te liggen of gestolen kunnen worden. Het CBP (college bescherming persoonsgegevens) zag hier op toe. Vanaf 2016 is deze situatie veranderd. Dit zal voor veel organisaties hopelijk niet als een verrassing komen, aangezien dit al geruime tijd speelt in de tweede kamer en het Europees parlement.

Vanaf 2016 moet een organisatie een 'datalek' onverwijld melden aan het AP (autoriteit persoonsgegevens = voorheen CBP). Allereerst moet een organisatie willen dat ze nooit een datalek hebben en dus hiermee nooit te maken krijgen door kwaliteit van de technische en administratieve organisatie serieus te nemen. Echter dat kan nooit gegarandeerd worden. Dus hoe bereid je je dan voor?

Allereerst moet vastgesteld worden wat een datalek is. Hierover zijn diverse bronnen te vinden. Echter heeft het AP deze week een beleidsdocument gepubliceerd. Op basis daarvan kan een organisatie vaststellen of er sprake is van een datalek. Niet elk beveiligingsincident is ook een datalek. Organisaties die onder toezicht van de AFM en DNB vallen hebben andere richtlijnen hiervoor.

Een datalek is aanwezig zodra gegevens zijn gelekt die herleidbaar zijn naar een natuurlijk persoon. Lekken is in dit geval heel breed bijv: geraadpleegd door een onbevoegde, gekopieerd, verdwenen etc. Een organisatie moet dit probleem binnen 72 uur melden aan het AP. Hierbij geldt omgekeerde bewijslast een organisatie moet aantonen welke maatregelen zijn genomen om dit te voorkomen. Het AP kan via het OM een boete opleggen als zij van oordeel zijn dat een organisatie bijvoorbeeld nalatig is geweest.

Het is belangrijk voor een organisatie om grip te krijgen op deze situatie. Hieronder enkele tips om u aan het denken te zetten, dit is geen uitsluitende lijst:

  • Zorg voor een responsible disclosure regeling voor uw organisatie
  • Laat uw IT omgeving beoordelen op problemen
  • Zorg ervoor dat uw medewerkers zich bewust zijn hun gedrag en verantwoordelijkheden
  • Bepaal waar de persoonsgegevens worden opgeslagen en met welke bescherming
  • Bepaal waar persoonsgegevens worden verwerkt en met welke bescherming
  • Stel bewerkersovereenkomsten op met leveranciers/partner die persoonsgegevens verwerken voor u

Het beleidsdocument is op de volgende locatie te vinden:
Beleidsdocument

Ga hier serieus mee aan te slag! U blijft zelf verantwoordelijk voor de beveiliging van deze gegevens. Ook als u de uitvoering ergens anders belegd bijv. bij een IT partner of in de Cloud. Een Cloud leverancier of een printerleverancier verwerkt ook uw persoonsgegevens. Daarvoor is dus een bewerkersovereenkomst nodig.

Share on Linkedin


© Infoslot Informatiebeveiliging