Wees voorbereid op de nieuwe meldplicht bij datalekken in 2016

meldplicht bij datalekken - Autoriteit Persoonsgegevens

Per 1 januari 2016 is de Wet Bescherming Persoonsgegevens (Wbp) gewijzigd. De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Dit klinkt wellicht ver-van-je-bed, maar het is relevanter voor jou dan je wellicht denkt. Niet alleen moet je als ondernemer ‘passende beveiligingsmaatregelen’ ter bescherming van je data nemen, je moet vanaf nu ook melding maken van een datalek. Oh… en niet-nakoming van deze verplichting kan leiden tot een boete van dik € 800.000 of 10% van je jaaromzet. Genoeg reden om hier even in te duiken?

Meldplicht bij datalekken: wat houdt het in?

De Wbp bestaat om de privacy van jou, mij en alle andere burgers van Nederland te waarborgen. De wet voorziet o.a. in een verplichting tot beveiliging van persoonsgegevens. Bijna iedere ondernemer heeft hiermee te maken, want klantgegevens en personeelsgegevens vallen hier ook onder. Met de toevoeging van de meldplicht bij datalekken is nu bepaald dat je tevens melding moet maken wanneer een datalek zich heeft voorgedaan.

Wat is een datalek

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, óf als ‘onrechtmatige verwerking redelijkerwijs niet is uit te sluiten’. Een datalek is altijd het gevolg van een beveiligingsincident. De Autoriteit Persoonsgegevens illustreert dit als volgt: meldplicht bij datalekken

Doorgaans betreft het digitale data, maar geprinte gegevens vallen hier ook onder. We geven je enkele voorbeelden van situaties die een beveiligingsincident zijn en mogelijk een Datalek;

  • Een gestolen of vergeten USB stick of andere informatiedrager met daarop persoonsgegevens (van bijv. klanten of personeel)
  • Een Malware besmetting van een computer/laptop waarbij een hacker toegang verkrijgt tot data op het bedrijfsnetwerk (waar persoonsgegevens staan)
  • Privacygevoelige bedrijfsinformatie (bijv. klantenlijst) die in de privé Dropbox van een ex-werknemer achterblijft (je kunt niet uitsluiten dat deze niet onrechtmatig verwerkt gaan worden)
  • Een gerichte hack op een Webshop of Bedrijfsnetwerk

Wanneer moet ik melding maken?

De meldplicht bij datalekken geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of daarvan sprake is, moet je volgens de wet zelf beoordelen, maar de Autoriteit geeft wel richtsnoeren. Hierin valt te lezen dat er in ieder geval persoonsgegevens verloren moeten zijn gegaan of dat onrechtmatige verwerking niet uit te sluiten is. Daarnaast moeten de gegevens van ‘gevoelige aard’ zijn. Hierbij moet je denken aan bijzondere persoonsgegevens zoals ras, politieke voorkeur, gezondheid, lidmaatschap van een vakvereniging, e.d. Gegevens over de financiële situatie zoals schulden, salaris of betalingsgegevens. Gebruikersnamen of wachtwoorden en gegevens die kunnen worden misbruikt voor (identiteits)fraude, zoals Burgerservicenummer, kopietjes van identiteitsbewijzen, etc. Het maakt overigens niet uit of het gelekte gegevens van één of van meerdere personen betreft. Van een meldplicht zal waarschijnlijk eerder sprake zijn bij een (gerichte) hack dan bij het laten liggen van een USB-stick in de trein. Tenzij de gelekte gegevens van gevoelige aard zijn, dan is dit vrijwel altijd aanleiding om te melden. Een beveiligingslek (zwakke plek in de beveiliging) hoeft dus niet gemeld te worden.

Gevolgen van het niet melden

Meldplicht bij datalekken - Autoriteit PersoonsgegevensOf je een melding moet maken, hangt af van de ernst van het datalek. Alleen wanneer deze nadelige gevolgen heeft voor de bescherming van persoonsgegevens moet je melding maken bij het Meldloket datalekken Autoriteit Persoonsgegevens. Wanneer je dit niet tijdig doet bedraagt de maximale boete ruim € 800.000,- euro of 10% van de jaaromzet. De melding moet uiterlijk op de tweede werkdag na de ontdekking van het incident worden gedaan.

Voorkom een datalek: enkele tips

Als je klanten of medewerkers hebt is de kans groot dat de Wbp op jou van toepassing is. Dit brengt dus verplichtingen (en risico’s) met zich mee. Op z’n minst moet je de volgende zaken goed geregeld hebben;

  • Gebruik moderne beveiligingssoftware op ál je computers en servers (antivirus, anti-malware) en een up-to-date firewall om hackers buiten te houden
  • Verplicht een pincode op mobiele telefoons/tablets van medewerkers als ze daarmee toegang hebben tot bedrijfsgegevens
  • Verplicht medewerkers minimaal 2 keer per jaar een nieuw netwerk wachtwoord te kiezen
  • Gebruik encryptie bij de opslag en transport van privacygevoelige data (bijv. SSL certificaten, encryptie van externe backups, encryptie van e-mailverkeer)
  • Maak medewerkers bewust van de risico’s op het gebied van informatiebeveiliging (nieuwsbrief, training, reglementen, etc.)
  • Zorg voor structurele en regelmatige software- en beveiligingsupdates op al je servers en werkstations
  • Verwerk je gegevens in zelf ontwikkelde programmatuur (CRM, ERP, e-commerce database, etc.), laat deze dan auditten door een gespecialiseerd bedrijf
  • Maak een beleidsdocument voor informatiebeveiliging
  • Beslis welke persoon binnen de organisatie datalekken beoordeelt (en meldt)
  • Log relevante beveiligingsgebeurtenissen (zoals pogingen om ongeautoriseerd toegang te krijgen) en controleer daarop (meten=weten)
  • Registreer niet meer persoonsgegevens dan noodzakelijk voor de uitvoering van de taak
  • Beperk de toegang tot de persoonsgegevens tot uitsluitend bevoegde medewerkers (o.a. toegangsrechten op het netwerk, goed wachtwoorden beleid)
  • Implementeer een proces om je organisatie periodiek te controleren op al deze punten

Meer informatie

Richtsnoeren Beveiliging Persoonsgegevens (pdf)
Richtsnoeren Meldplicht Datalekken (pdf)
meldplicht bij datalekken (officiële pagina)
Meldloket datalekken

 

Heb je vragen over de meldplicht bij datalekken of wil je een security scan laten uitvoeren voor jouw netwerk, neem dan contact met ons op. Het IT beheerproces van Campai voorziet in controle op bovenstaande punten en nog 200+ andere best-practices en richtlijnen.

 

Vond je dit bericht interessant? Deel het met je netwerk.