Op 1 januari 2016 is de wet Meldplicht Datalekken ingegaan. Maar wat betekent dit nu eigenlijk? Voor uw organisatie? En voor uw medewerkers?

Organisaties dienen direct melding te doen bij de Autoriteit Persoonsgegevens, zodra er een ernstig datalek is. Als vervolgens blijkt dat de gelekte persoonsgegevens onvoldoende beveiligd waren of onrechtmatig werden verwerkt, dan kan je dat forse boetes opleveren. Deze boetes kunnen oplopen tot maximaal €820.000,- of 10% van de jaaromzet. Het nalaten van het melden van een datalek bij de toezichthouder kan een boete van €500.000,- opleveren.

Reden genoeg om er eens verder in te duiken.

Wat is een Datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Eh…en in de praktijk?

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Dit geldt dus voor de systemen in uw eigen organisatie maar ook bij bijvoorbeeld de cloudleverancier, waar alle data staat opgeslagen. Dit heet de bewerker. En in dit geval is het belangrijk dat er een bewerkersovereenkomst wordt opgesteld, waarin staat wie welke verantwoordelijkheden heeft in geval van een datalek. Ook derde partijen die u persoonsgegevens ter beschikking stelt zijn zogenaamde bewerkers. Bijvoorbeeld de leverancier/transporteur van kerstpakketten en/of een marketingbureau dat een actie voor u gaat doen naar uw klanten.

Datalogging

Je weet nooit wanneer je gehacked wordt. Het is daarom belangrijk om alle events te loggen die zich hebben voorgedaan tijdens een datalek. Primair bijvoorbeeld van wie was ingelogd in welke systemen.

Wat moet u doen? Welke maatregelen kunt u nemen?

Allereerst is het belangrijk om in kaart te brengen welke gegevens u gebruikt. Alle persoonsgegevens die privacy gevoelig zijn moeten goed beveiligd worden;

  1. Sluit overeenkomsten af met uw partners/leveranciers die uw gegevens gebruiken. De zogenaamde bewerkersovereenkomsten;
  2. Spreek met uw medewerkers af wat ze moeten doen als ze bijvoorbeeld een usb-stick verliezen, of een datalek ontdekken;
  3. Maak een plan HOE te handelen als uw gegevens wel op straat komen te liggen. Zodat u vooraf weet hoe te handelen maar zeker ook hoe te communiceren naar medewerkers en klanten.

Wilt u meer weten of hier eens over doorpraten? Altijd welkom om ons te contacten via info@ictconsultant.nl of 070 – 323 63 26