Datalekken

Meldplicht Datalekken

Sinds 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens (Wbp) van kracht die een meldplicht regelt voor datalekken. Het niet voldoen aan deze wetgeving kan boetes opleveren tot 820.000 euro (of 10% van de jaaromzet). Deze gelden direct bij opzettelijkheid en ernstig verwijtbare nalatigheid. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens), en in bepaalde gevallen ook aan de betrokkene. De betrokkene is diegene van wie persoonsgegevens zijn gelekt. Het gaat hierbij om datalekken waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens.

De Autoriteit Persoonsgegevens heeft beleidsregels voor de meldplicht datalekken opgesteld. De bedrijven, overheden en andere organisaties tot wie de meldplicht datalekken zich richt, moeten zelf een beredeneerde afweging maken of een concreet datalek dat hen ter kennis komt onder het bereik van de wettelijke meldplicht valt. Doel van deze beleidsregels is om hen daarbij te ondersteunen. Deze beleidsregels dienen tevens als uitgangspunt voor het handhavingsbeleid van de Autoriteit Persoonsgegevens.

Wat dienen bedrijven te doen

  • Voorkomen: een datalek wordt voorkomen door zicht te hebben op nut en noodzaak van een verwerking van persoonsgegevens. Daarnaast is risicomanagement nodig om te bepalen wat passende beveiligingsmaatregelen zijn;
  • Detecteren: signaleren dat een datalek heeft plaatsgevonden. De organisatie zal maatregelen moeten treffen om vast te stellen dat een inbreuk op de beveiliging heeft plaatsgevonden;
  • Beperken: als een datalek plaatsvindt dient de organisatie zo snel mogelijk het lek te dichten en acties te nemen om het verlies van data en de gevolgen voor de individuen en de organisatie te beperken. Vervolgens zal via een efficiënt proces het datalek geregistreerd, beoordeeld, afgewogen en gemeld dienen te worden.
  • Corrigeren: Nadat het lek is gedicht zijn er maatregelen ingericht om te leren van bestaande datalekken en het stelsel van maatregelen te verbeteren.
  • Herstellen: nadat het lek heeft plaatsgevonden worden maatregelen getroffen die eventuele negatieve gevolgen voor het individu verhelpen. Hierbij kan bijvoorbeeld gedacht worden aan (tijdelijke) kredietmonitoring of intensievere monitoring van loggings.

Raadpleeg OrangeOaks

IT-auditing is het vakgebied dat zich bezighoudt met de beoordeling van en/of advisering over kwaliteitsaspecten van informatietechnologie.

De IT-auditors van OrangeOaks kunnen een uitstekende rol vervullen bij de gevolgen van de meldplicht datalekken, o.a. door:

  1. Het inventariseren van verwerkingen van persoonsgegevens;
  2. Het beoordelen van de gevoeligheid van de aanwezige gegevens;
  3. Het uitvoeren of beoordelen van risicoanalyses;
  4. Het beoordelen van de opzet, bestaan en werking van het stelsel van getroffen maatregelen gericht op de bescherming van persoonsgegeven;
  5. Het beoordelen van de aanwezigheid van datalekken;
  6. Het opstellen of beoordelen van procedures voor het ontdekken, beoordelen en opvolgen van eventuele datalekken.
  7. Het adviseren over en beoordelen van verbetermaatregelen na geconstateerde datalekken.

OrangeOaks beschikt over kennis en ervaring om het risico dat de meldplicht datalekken met zich meebrengt voor bedrijven, overheden en andere organisaties te verminderen naar een beheersbaar niveau. Alle IT-auditors van Orange Oaks zijn geregistreerd in het NOREA-register en voldoen aan de opleidings- en ervaringseisen zijn ingeschreven in het NOREA-register als gekwalificeerde IT-auditors (RE’s).

Bel of mail Marcel Woltjes voor meer informatie.