Meldplicht Datalekken: wat u écht moet weten

Op 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) in werking getreden. U heeft als organisatie de plicht om bij een datalek melding te maken bij de toezichthouder en in sommige gevallen ook bij uw klant. Lekt er data en houdt u zich niet netjes aan de wet? Dan riskeert u een boete die kan oplopen tot € 820.000 of 10% van de jaaromzet – per overtreding.

Voordat u nu in blinde paniek de stekkers uit systemen trekt, is het verstandig verder te lezen. In dit artikel wordt uitgelegd wat een datalek precies is, de actie die u moet ondernemen bij een datalek en belangrijker: wat uw organisatie kan doen om datalekken te voorkomen.

Meldplicht Datalekken

Wat is een datalek?

De definitie van een datalek is breed. De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.

U bent wettelijk verplicht om maatregelen te treffen die verlies of onrechtmatige verwerking voorkomen, op technisch en organisatorisch gebied. Nu is dit niets nieuws, de verplichting om netjes om te gaan met persoonsgegevens bestond al. De bevoegdheid van de toezichthouder – per 1 januari heet het College Bescherming Persoonsgegevens (CBP) de Autoriteit Persoonsgegevens (AP) – om boetes uit te schrijven is de voornaamste wetswijziging.

De gevolgen wanneer er geen actie ondernomen wordt zijn een stuk groter geworden en gaan nu dus verder dan enkel reputatieschade. Voorbeelden van een datalek zijn:

  • Een hacker die zich toegang verschaft tot uw systemen en hierbij persoonsgegevens in handen krijgt;
  • Het versturen van een mailing waarbij per ongeluk alle adressen in het CC-veld zijn geplaatst in plaats van het BCC-veld;
  • Een USB-stick of laptop met gevoelige informatie die gestolen wordt.

Ook verlies van gegevens valt onder de meldplicht datalekken, of dit door een menselijke fout komt of door een datacenter dat afbrandt maakt niet uit.

Lees ook: Wat is een DDoS-aanval en wat zijn de gevolgen?

Datalekken tegengaan

Alle organisaties zijn verplicht maatregelen te nemen om de beveiliging op orde te krijgen en datalekken te voorkomen. Dat kan een uitdaging zijn wanneer binnen uw organisatie de IT-kennis niet up-to-date is of als er simpelweg onvoldoende tijd is of resources beschikbaar zijn. Onderstaande acties helpen om goed voorbereid te zijn op de meldplicht datalekken:

Risicoanalyse:

Met een audit op uw IT-omgeving verkrijgt u inzichten die nodig zijn voor eventuele vervolgacties. Het brengt de risico’s in kaart en geeft zicht op informatiestromen. U wilt weten waar persoonsgegevens worden gebruikt zodat u hier een overzicht van kunt maken. Een risicoanalyse geeft een goed zicht op de huidige staat van beveiliging van persoonsgegevens en laat zien waar u nog maatregelen moet nemen.

Het CBP geeft richtlijnen (PDF) over de beveiliging van persoonsgegevens.

Techniek op orde:

U dient passende technische beschermingsmaatregelen te nemen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Het onbegrijpelijk maken van deze gegevens kan door encryptie toe te passen.

Gebruik op uw website bijvoorbeeld een SSL-certificaat wanneer om gegevens van gebruikers wordt gevraagd. Zorg dat de wachtwoorden maar ook andere gegevens versleuteld opgeslagen worden in de database. Bij verlies of diefstal van deze gegevens kunnen onbevoegden geen toegang krijgen tot de oorspronkelijke data.

Zorg er ook in ieder geval voor dat alle beschikbare updates voor besturingssystemen, CMS’en en webstacks doorgevoerd worden. Hackers zitten niet stil en nieuwe bedreigingen steken continu de kop op. Softwaremakers komen daarom constant met nieuwe patches om softwarelekken te dichten. Het is zeer belangrijk om deze snel door te voeren.

De beveiliging van een online platform kan worden verbeterd door de veiligheidsrisico’s te beperken. Denk hierbij aan het verwijderen of uitschakelen van onnodige software, het invoeren van een wachtwoord policy op het systeem of het beperken van informatie op openstaande poorten. Dit proces wordt hardening genoemd en uw hosting- of cloudprovider kan u hier doorgaans meer over vertellen.

De organisatie:

Binnen uw organisatie dient een protocol opgesteld te zijn dat taken en verantwoordelijkheden duidelijk maakt bij een datalek. Hoe groot is het datalek en wat is de impact ervan? Wanneer moet de toezichthouder ingelicht worden? Dienen ook de getroffen personen een melding te krijgen van het incident? Verwerk dit indien mogelijk in uw bestaande procedures.

Maak de nieuwe datalekmeldplicht bekend binnen uw organisatie. U wilt niet dat datalekken onder de pet worden gehouden, uit angst voor een waarschuwing van de leidinggevende of om anderszins gezichtsverlies te voorkomen.

Bewerkingsovereenkomst

Een bewerkingsovereenkomst is een wettelijk verplichte overeenkomst wanneer een organisatie het verwerken van persoonsgegevens bij een andere partij belegt. Er worden afspraken in vastgelegd over het gebruik en de verwerking van gegevens en welke beveiligingsmaatregelen moeten worden genomen.

Let op: de eindverantwoordelijke voor persoonlijke data is ook verantwoordelijk voor de beveiliging daarvan. De schuldvraag ligt dus niet meer bij de partij die uw systemen beveiligt of het datacenter waar uw servers draaien. Het is daarom nog belangrijker om heldere afspraken te maken over verantwoordelijkheden rond het bewerken van persoonsgegevens.

De DHPA, de branchevereniging voor Nederlandse hosting- en cloudproviders, biedt haar leden een standaard bewerkersovereenkomst die de rechten en plichten van beide partijen waarborgt. Vraag uw cloudprovider om zo’n bewerkersovereenkomst en ga direct na welke maatregelen nog meer getroffen zijn.

Voorkomen is beter dan genezen

Bovenstaande stappen helpen u om te kunnen voldoen aan de nieuwe wetgeving. Met een veilig platform creëert u een solide fundament voor uw online dienstverlening. Tip: wacht niet met opvolging. Neem bij twijfel over de juiste te nemen stappen contact op met een specialist die uw beveiliging kritisch kan beoordelen. Wij zitten in ieder geval voor u klaar.

Neem contact op met een specialist

Neem nu contact op met een van onze specialiasten op het gebied van security en datamanagement. Wij kunnen u alles vertellen over de uitdagingen van de meldplicht datalekken en hoe uw omgeving hierop voorbereid kan worden. Laat hieronder uw gegevens achter, dan nemen wij contact met u op.