Per 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen, oftewel de mensen van wie de persoonsgegevens zijn gelekt. Ondanks dat het onderwerp al veel aandacht in de pers heeft gekregen, is de meldplicht aan veel bedrijven voorbijgegaan.
Een datalek hoeft niet altijd gemeld te worden bij de Autoriteit Persoonsgegevens. Dit moet alleen als het betreffende lek leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens, of wanneer een aanzienlijke kans bestaat dat die gevolgen inderdaad realiteit worden. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd die u kunnen helpen om te bepalen of er inderdaad sprake is van ernstige nadelige gevolgen.
Wanneer spreken we van een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet alleen om het vrijkomen (lekken) van gegevens, maar ook bijvoorbeeld om onrechtmatige verwerking van gegevens. Voorbeelden zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Daarnaast is er sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens, zoals beschreven in artikel 13 van de Wet bescherming persoonsgegevens. Kortom, persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, en dat is precies de beveiligingsmaatregelen hen tegen moest beschermen.
Wat kunt u doen?
U kunt onder andere de volgende stappen ondernemen:
- Inventariseer en classificeer de vertrouwelijkheid van de informatie die binnen uw organisatie wordt gebruikt en leg vast wie welke informatie mag zien en/of bewerken. Een hulpmiddel hierbij is de handreiking dataclassificatie die door de Nederlandse gemeenten wordt gehanteerd. De onderscheiden niveaus van vertrouwelijkheid zijn:
- Openbaar: Alle informatie die algemeen toegankelijk is voor eenieder. Er is geen schending van deze classificatie mogelijk.
- Bedrijfsvertrouwelijk: Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen.
- Vertrouwelijk: Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen.
- Geheim: Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen.
- Stel een plan op over hoe u omgaat met een datalek, gekoppeld aan bovenstaande classificaties. Leg hierin vast wie welke rollen en verantwoordelijkheden heeft, en welke procedures er gevolgd dienen te worden.
- Beslis wie binnen uw organisatie datalekken beoordeelt en meldt bij de Autoriteit Persoonsgegevens.
- Denk na en leg vast hoe u betrokkenen informeert in het geval van een datalek.
- Denk na over hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken, tweederde van de hacks wordt door iemand van buiten de organisatie gemeld.
- Controleer afspraken met de partijen die data voor u bewerken: heeft u de juiste overeenkomst met hen gesloten (zgn. bewerkersovereenkomsten)?
- Laat doorlopend uw IT-omgeving controleren op kwetsbaarheden die bijvoorbeeld door achterstallig beheer zijn ontstaan. Zorg ervoor dat deze controles aantoonbaar geschieden (goede dossiervorming).
- Zorg voor een adequate opvolging van datalekken of zelfs signalen in de richting van een datalek. Aanpassing van uw beveiligingsmaatregelen voorkomt immers toekomstige datalekken.
- Maak niet de fout door te denken dat het enkel een IT-gerelateerd probleem is: de juiste cultuur binnen uw organisatie en de houding en het gedrag van uw medewerkers vormen de basis voor een afdoende bescherming tegen datalekken.
Het begint met een goed gesprek
Het meest belangrijk is dat het onderwerp informatiebeveiliging binnen uw organisatie op de agenda komt te staan. Maak uw organisatie bewust van het belang van een goede beveiliging en wees daarbij pragmatisch; inspelen op angst zorgt voor een verkeerde motivatie. Omdat niet iedereen het budget heeft van een grote bank is het belangrijk te bekijken hoe de ‘kroonjuwelen’ van een bedrijf het beste kunnen worden beschermd. De hiervoor genoemde stappen vormen een goed startpunt.
Contact
Neem contact op met Wil Peters of Dennis Verhaert als u ondersteuning zoekt bij het voldoen aan de eisen voor gegevensbescherming