• Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de voettekst
JUYST

JUYST

JUYST Accountancy Belastingadvies, IT-audit, HR-advies, Business Coaching

Formulier

    Nieuwsbrief

    ZoekSluit
    LoginSluit
    MenuSluit
    • Home
    • MKB
    • Non-profit
      • Gemeenten
      • Woningcorporaties
      • Zorg en welzijn
    • Software
    • Over ons
    • Bij ons werken
    • Nieuws
    • Contact
    • Mijn Juyst
    • HR & Salaris gemak
    meldplicht-datalekken-it-auditing-juyst

    Hoe te handelen in het kader van de meldplicht datalekken?

    Per 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen, oftewel de mensen van wie de persoonsgegevens zijn gelekt. Ondanks dat het onderwerp al veel aandacht in de pers heeft gekregen, is de meldplicht aan veel bedrijven voorbijgegaan.

    Een datalek hoeft niet altijd gemeld te worden bij de Autoriteit Persoonsgegevens. Dit moet alleen als het betreffende lek leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens, of wanneer een aanzienlijke kans bestaat dat die gevolgen inderdaad realiteit worden. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd die u kunnen helpen om te bepalen of er inderdaad sprake is van ernstige nadelige gevolgen.

    Wanneer spreken we van een datalek?

    Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet alleen om het vrijkomen (lekken) van gegevens, maar ook bijvoorbeeld om onrechtmatige verwerking van gegevens. Voorbeelden zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Daarnaast is er sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens, zoals beschreven in artikel 13 van de Wet bescherming persoonsgegevens. Kortom, persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, en dat is precies de beveiligingsmaatregelen hen tegen moest beschermen.

    Wat kunt u doen?

    U kunt onder andere de volgende stappen ondernemen:

    • Inventariseer en classificeer de vertrouwelijkheid van de informatie die binnen uw organisatie wordt gebruikt en leg vast wie welke informatie mag zien en/of bewerken. Een hulpmiddel hierbij is de handreiking dataclassificatie die door de Nederlandse gemeenten wordt gehanteerd. De onderscheiden niveaus van vertrouwelijkheid zijn:
      • Openbaar: Alle informatie die algemeen toegankelijk is voor eenieder. Er is geen schending van deze classificatie mogelijk.
      • Bedrijfsvertrouwelijk: Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen.
      • Vertrouwelijk: Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen.
      • Geheim: Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen.
    • Stel een plan op over hoe u omgaat met een datalek, gekoppeld aan bovenstaande classificaties. Leg hierin vast wie welke rollen en verantwoordelijkheden heeft, en welke procedures er gevolgd dienen te worden.
    • Beslis wie binnen uw organisatie datalekken beoordeelt en meldt bij de Autoriteit Persoonsgegevens.
    • Denk na en leg vast hoe u betrokkenen informeert in het geval van een datalek.
    • Denk na over hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken, tweederde van de hacks wordt door iemand van buiten de organisatie gemeld.
    • Controleer afspraken met de partijen die data voor u bewerken: heeft u de juiste overeenkomst met hen gesloten (zgn. bewerkersovereenkomsten)?
    • Laat doorlopend uw IT-omgeving controleren op kwetsbaarheden die bijvoorbeeld door achterstallig beheer zijn ontstaan. Zorg ervoor dat deze controles aantoonbaar geschieden (goede dossiervorming).
    • Zorg voor een adequate opvolging van datalekken of zelfs signalen in de richting van een datalek. Aanpassing van uw beveiligingsmaatregelen voorkomt immers toekomstige datalekken.
    • Maak niet de fout door te denken dat het enkel een IT-gerelateerd probleem is: de juiste cultuur binnen uw organisatie en de houding en het gedrag van uw medewerkers vormen de basis voor een afdoende bescherming tegen datalekken.

    Het begint met een goed gesprek

    Het meest belangrijk is dat het onderwerp informatiebeveiliging binnen uw organisatie op de agenda komt te staan. Maak uw organisatie bewust van het belang van een goede beveiliging en wees daarbij pragmatisch; inspelen op angst zorgt voor een verkeerde motivatie. Omdat niet iedereen het budget heeft van een grote bank is het belangrijk te bekijken hoe de ‘kroonjuwelen’ van een bedrijf het beste kunnen worden beschermd. De hiervoor genoemde stappen vormen een goed startpunt.

    Contact

    Neem contact op met Wil Peters of Dennis Verhaert als u ondersteuning zoekt bij het voldoen aan de eisen voor gegevensbescherming

    Copyright © 2023 · TCC JUYST op Genesis Framework · WordPress · Log in

    Footer

    Legal

    Algemene voorwaarden
    Privacy verklaring
    © 2023 JUYST all rights reserved

    Linkedin
    Facebook


    Contact

    Heerlen

    Kruisstraat 56, 6411 BW

    +31 (0)88 004 38 00

    Echt

    Peijerstraat 68-70, 6101 GE

    +31 (0)47 550 30 33

    Swalmen

    Reubenberg 2, 6071 PS

    +31 (0)47 550 30 33

    Rosmalen

    De Grote Elst 52, 5246 JR

    +31 (0)88 004 38 00

    Log in

    info@juyst.nl

    We gebruiken cookies om je de beste ervaring op onze site te bieden.

    Je kunt meer informatie vinden over welke cookies we gebruiken of deze uitschakelen in de .

    Powered by  GDPR Cookie Compliance
    Privacyoverzicht

    Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.

    Strikt noodzakelijke cookies

    Strikt noodzakelijke cookie moet te allen tijde worden ingeschakeld, zodat we je voorkeuren voor cookie instellingen kunnen opslaan.

    Als je deze cookie uitschakelt, kunnen we je voorkeuren niet opslaan . Dit betekent dat elke keer dat je deze site bezoekt het nodig is om cookies weer in te schakelen of uit te schakelen.