Vanaf 1 januari 2016 is een nieuwe wet van kracht, de AVG (algemene verordening gegevensbescherming). Een belangrijk onderdeel hierin is de Meldplicht Datalekken. Ook voorheen werd van een organisatie verwacht dat ze netjes met persoonsgegevens omgingen. Dat betekent onder andere dat er voor moet worden gezorgt, dat deze gegevens afdoende zijn beveiligt en niet op straat komen te liggen of gestolen kunnen worden. Het CBP (college bescherming persoonsgegevens) zag hier op toe. Vanaf 2016 is deze situatie veranderd. Dit zal voor veel organisaties hopelijk niet als een verrassing komen, aangezien dit al geruime tijd speelt in de tweede kamer en het Europees parlement.
Vanaf 2016 moet een organisatie een 'datalek' onverwijld melden aan het AP (autoriteit persoonsgegevens = voorheen CBP). Allereerst moet een organisatie willen dat ze nooit een datalek hebben en dus hiermee nooit te maken krijgen door kwaliteit van de technische en administratieve organisatie serieus te nemen. Echter dat kan nooit gegarandeerd worden. Dus hoe bereid je je dan voor?
Allereerst moet vastgesteld worden wat een datalek is. Hierover zijn diverse bronnen te vinden. Echter heeft het AP deze week een beleidsdocument gepubliceerd. Op basis daarvan kan een organisatie vaststellen of er sprake is van een datalek. Niet elk beveiligingsincident is ook een datalek. Organisaties die onder toezicht van de AFM en DNB vallen hebben andere richtlijnen hiervoor.
Een datalek is aanwezig zodra gegevens zijn gelekt die herleidbaar zijn naar een natuurlijk persoon. Lekken is in dit geval heel breed bijv: geraadpleegd door een onbevoegde, gekopieerd, verdwenen etc. Een organisatie moet dit probleem binnen 72 uur melden aan het AP. Hierbij geldt omgekeerde bewijslast een organisatie moet aantonen welke maatregelen zijn genomen om dit te voorkomen. Het AP kan via het OM een boete opleggen als zij van oordeel zijn dat een organisatie bijvoorbeeld nalatig is geweest.
Het is belangrijk voor een organisatie om grip te krijgen op deze situatie. Hieronder enkele tips om u aan het denken te zetten, dit is geen uitsluitende lijst: