Help, mijn cloud is lek?
De meldplicht Datalekken (Data breach) is een toevoeging op de bestaande Wet Bescherming Persoonsgegevens (Belgische privacywetgeving). Duidelijke regels over de omgang met persoonsgegevens zijn essentieel voor het ondernemersklimaat en het vertrouwen in ICT. Met een aantal nieuwe regels wil de overheid en de EU de gevolgen van een datalek zoveel mogelijk beperken. De nieuwe meldplicht Datalekken moet bijdragen aan het behoud van vertrouwen in de omgang met persoonsgegevens.
Deze nieuwe meldplicht Datalekken bestaat uit twee delen
- Meldplicht voor inbreuken op de beveiliging: Dit deel van de wet verplicht organisaties om melding te maken van een datalek van persoonsgegevens. Deze melding moet gedaan worden bij de Commissie van de Bescherming van de Persoonlijke Levenssfeer (CBPL) en in de meeste gevallen ook aan de betrokkenen. In Nederland is dit het College Bescherming Persoonsgegevens (CBP). De privacycommissie zorgt ervoor dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaarborgd blijft.
- Bestuurlijke boetebevoegdheid: Organisaties die zich niet aan de meldplicht houden of geen adequate maatregelen hebben getroffen voor de beveiliging van persoonsgegevens, kunnen een boete krijgen van het DPA. Deze kan oplopen tot 810.000,- € of 10% van de (wereldwijde) jaaromzet.
De gevolgen voor uw organisatie
De nieuwe meldplicht maakt de opvolging van een datalek een stuk minder vrijblijvend. Behalve voorkomen en constateren van datalekken, is het belangrijk om tijdig stil te staan bij de te nemen stappen, ingeval zich daadwerkelijk een incident met persoonsgegevens voordoet. Naast technische consequenties zijn er organisatorische en communicatieve aspecten om over na te denken. Een plan met actiepunten voorbereiden, is daarom geen overbodige luxe.
Vergroot uw inzichten
Hiermee krijgt u meer inzicht in de manieren om persoonsgegevens doeltreffend te beveiligen en de kans op datalekken te minimaliseren:
– Heeft u binnen uw organisatie maatregelen getroffen die als specifiek doel hebben om de persoonsgegevens te beveiligen (zowel technische, organisatorische als communicatieve maatregelen)?
– Wordt de IT-infrastructuur periodiek getest op bekende en onbekende kwetsbaarheden, zowel automatisch als handmatig?
– Zijn er maatregelen getroffen om inbreuken op de beveiliging te detecteren, en ook in real-time?
– Vindt er regelmatig een risico-analyse plaats om kritische gegevens te identificeren en ook veilig te stellen?
– Heeft u al een (calamiteiten- en communicatie)plan gereed voor wanneer zich een datalek voordoet, inclusief technische en communicatieve opvolging en afhandeling?
– Is er binnen uw management en bij uw medewerkers voldoende aandacht voor het belang van informatiebeveiliging en worden de interne regels en afspraken voldoende gevolgd?
Melding van gegevenslekken
Als blijkt dat persoonsgegevens die u beheert ook door iemand anders bekeken zijn, of misschien wel gekopieerd of gestolen, welke stappen onderneemt u dan best?
Een gegevenslek kan eigenlijk mooi vergeleken worden met een waterlek. Wanneer u ineens met uw voeten in het water staat, dan probeert u vanzelfsprekend eerst de watertoevoer af te sluiten, anders heeft dweilen geen zin. Verder zoekt u natuurlijk ook naar de oorzaak van het waterlek, en gaat u even bij de buren kijken of zij waterschade hebben. Ten slotte zorgt u ervoor dat er in de toekomst geen water meer kan lekken.
Zo gaat het ook met gegevenslekken. U brengt zo snel mogelijk de gelekte persoonsgegevens opnieuw in veiligheid, en gaat na waarheen ze gelekt zijn.
Het enige verschil tussen het waterlek en het gegevenslek, is dat u dit laatste best ook meldt bij de privacycommissie. Vanaf 1 januari 2016 is het zelfs wettelijk verplicht om dit te doen. Zo kan de privacycommissie inschatten wat de impact van het gegevenslek is, en eventueel een aantal maatregelen aanbevelen. Daarom is het raadzaam het gegevenslek te melden op het volgende registratieadres:
NATIONAL DATA PROTECTION AUTHORITY
Commission for the Protection of Privacy
Drukperssstraat 35
1000 Brussels
T +32 (0)2 274 48 78
F +32 (0)2 274 48 35
e-mail : commission@privacycommission.be
Meer informatie over de melding van gegevenslekken en een meldingsformulier kan u vinden op de pagina “Melding van gegevenslekken“.
Tot slot verwijzen we ook naar de aanbeveling die de privacycommissie uitbracht over het voorkomen van gegevenslekken. Want voorkomen is nog altijd beter dan genezen…