Op 1 januari 2016 treedt de EU meldplicht datalekken in werking. Maar wat houdt dit nu in, en wat zijn de gevolgen voor uw organisatie en hoe bereidt u zich hierop voor?
De meldplicht Datalekken (data breach) is een toevoeging op de bestaande Wet bescherming persoonsgegevens (Belgische en Nederlandse privacy wetgeving). Duidelijke regels over de omgang met persoonsgegevens zijn essentieel voor het ondernemersklimaat en het vertrouwen in ict. Met een aantal nieuwe regels wil de overheid en de EU de gevolgen van een datalek zoveel mogelijk beperken. De nieuwe meldplicht datalekken moet bijdragen aan het behoud van vertrouwen in de omgang met persoonsgegevens.
Deze nieuwe meldplicht datalekken bestaat uit twee delen:
- Meldplicht voor inbreuken op de beveiliging: Dit deel van de wet verplicht organisaties om melding te maken van een datalek van persoonsgegevens. Deze melding moet gedaan worden bij het Commissie van de Bescherming van de Persoonlijke Levenssfeer (CBPL) en in de meeste gevallen ook aan betrokkenen. In Nederland is dit het College bescherming persoonsgegevens (cbp). De Privacy commissie zorgt ervoor dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaarborgd blijft.
- Bestuurlijke boetebevoegdheid: Organisaties die zich niet aan de meldplicht houden of geen adequate maatregelen hebben getroffen voor de beveiliging van persoonsgegevens, kunnen een boete krijgen van het DPA. Deze kan oplopen tot 810.000 euro of 10 procent van de (wereldwijde) jaaromzet.
De gevolgen voor uw organisatie
De nieuwe meldplicht maakt de opvolging van een datalek een stuk minder vrijblijvend. Behalve voorkomen en constateren van datalekken, is het belangrijk om tijdig stil te staan bij de te nemen stappen, ingeval zich daadwerkelijk een incident met persoonsgegevens voordoet. Naast technische consequenties zijn er organisatorische en communicatieve aspecten om over na te denken. Een plan met actiepunten voorbereiden, is daarom geen overbodige luxe.
Vergroot uw inzichten
Hiermee krijgt u meer inzicht in de manieren om persoonsgegevens doeltreffend te beveiligen en de kans op datalekken te minimaliseren:
- Heeft u binnen uw organisatie maatregelen getroffen die als specifiek doel hebben om de persoonsgegevens te beveiligen (zowel technische, organisatorische als communicatieve maatregelen)?
- Wordt de it-infrastructuur periodiek getest op bekende en onbekende kwetsbaarheden, zowel automatisch als handmatig?
- Zijn er maatregelen getroffen om inbreuken op de beveiliging te detecteren, en ook in real-time?
- Vindt er regelmatig een risico analyse plaats om kritische gegevens te identificeren en ook veilig te stellen?
- Heeft u al een (calamiteiten- en communicatie) plan gereed voor wanneer zich een datalek voordoet, inclusief technische en communicatieve opvolging en afhandeling?
- Is er binnen uw management en bij uw medewerkers voldoende aandacht voor het belang van informatiebeveiliging en worden de interne regels en afspraken voldoende gevolgd?
Melding van gegevenslekken
Als blijkt dat persoonsgegevens die u beheert ook door iemand anders bekeken zijn, of misschien wel gekopieerd of gestolen, welke stappen onderneemt u dan best?
Een gegevenslek kan eigenlijk mooi vergeleken worden met een waterlek. Wanneer je ineens met je voeten in het water staat, dan probeer je vanzelfsprekend eerst de watertoevoer af te sluiten, anders heeft dweilen geen zin. Verder zoek je natuurlijk ook naar de oorzaak van het waterlek, en gaat even bij de buren kijken of zij waterschade hebben. Ten slotte zorg je ervoor dat er in de toekomst geen water meer kan lekken.
Zo gaat het ook met gegevenslekken. Je brengt zo snel mogelijk de gelekte persoonsgegevens opnieuw in veiligheid, en gaat na waarheen ze gelekt zijn. De personen van wie de gegevens gelekt zijn, breng je op de hoogte van wat er gebeurd is, en je bekijkt wat je kan doen om een dergelijk gegevenslek in de toekomst te vermijden.
Privacy commissie
Het enige verschil tussen het waterlek en het gegevenslek, is dat je dit laatste best ook meldt bij de Privacy commissie. Vanaf één januari 2016 is het zelfs wettelijk verplicht om dit te doen. Zo kan de Privacy commissie inschatten wat de impact van het gegevenslek is, en eventueel een aantal maatregelen aanbevelen. Daarom is het raadzaam het gegevenslek te melden op nu volgende registratie adres:
Commission for the Protection of Privacy
Drukperssstraat 35 1000 Brussels
T +32 (0)2 274 48 78
F +32 (0)2 274 48 35
Email : commission@privacycommission.be
Meer informatie over de melding van gegevenslekken en een meldingsformulier kan u vinden op de pagina Melding van gegevenslekken.
Tot slot verwijzen we ook naar de aanbeveling die de Privacy commissie uitbracht over het voorkomen van gegevenslekken. Want voorkomen is nog altijd beter dan genezen.
Peter Witsenburg, eigenaar van Witsenburg Consultancy