01-03-2016

Een datalek, het kan u (zo) overkomen!

Een datalek het kan u overkomen - KroeseWevers

Per 1 januari 2016 is de Meldplicht Datalekken opgenomen in de Wet Bescherming Persoonsgegevens als toevoeging op de reeds bestaande wet (artikel 34a). Met de meldplicht wil de overheid de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud van vertrouwen in de omgang met persoonsgegevens. Om niet lichtzinnig met de wet om te gaan is besloten dat het niet naleven van de kernverplichtingen uit de WBP kan leiden tot hoge boetes, oplopend tot ruim €820.000 of 10% van de jaaromzet!

Wanneer is er sprake van een datalek?

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan, maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Denk aan een hack, een medewerker die per ongeluk of door social engineering gevoelige data naar buiten stuurt, of iemand die al dan niet tegen betaling opzettelijk data naar buiten brengt. Denk ook aan verlies van een laptop, tablet, smartphone, usb-stick of andere gegevensdrager met daarop niet-encrypted data. Er hoeft niet eens misbruik van de gegevens gemaakt te worden. Alleen al het feit dat er een inbreuk is, is voldoende om het te kwalificeren als een datalek waarvoor de meldplicht geldt.

Meldplicht

De wet houdt in dat als binnen de organisatie een datalek optreedt, deze verplicht (binnen 72 uur) bij de Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens) dient te worden gemeld. Afhankelijk van de ernst van het datalek dienen ook betrokkenen te worden geïnformeerd. De wet geeft aan dat een melding aan de betrokkene dient te worden gemaakt als het lek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (bijv. identiteitsfraude, salarisgegevens, kwetsbaarheid van website met medische gegevens). Bij een datalek met gebruikersnamen, wachtwoorden en inloggegevens moet bij het bepalen van de mogelijke gevolgen voor betrokkenen worden afgewogen waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

Twee verplichtingen

De meldplicht betreft derhalve twee losse verplichtingen: een meldplicht aan de toezichthouder en een meldplicht aan de betrokkenen. De gevolgen van een datalek kunnen groot zijn: een onderzoek door de AP, aansprakelijkheidsclaims, boetes of inkomstenderving. Verder dienen de gevolgen van negatieve publiciteit niet te worden onderschat.

Persoonsgegevens beveiligen

De WBP eist dat u passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen. Maar ook bij gebruikmaking van externe IT- en clouddiensten blijft de organisatie zelf verantwoordelijk voor naleving van de WBP. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt. Als u persoonsgegevens laat verwerken door een bewerker, dan moet u ervoor zorgen dat deze voldoende gewaarborgd blijven ten aanzien van de naleving van de meldplicht voor datalekken. In veel gevallen is de bewerker namelijk de eerste die kennis krijgt van een opgetreden datalek. Uw zorgplicht, als verantwoordelijke voor de verwerking, strekt zich expliciet uit over datalekken waarvan een bewerker kennis krijgt. Dat betekent dat u ervoor moet zorgen dat u, ook als u persoonsgegevens laat bewerken door een bewerker, in staat bent om uw wettelijke verplichtingen na te komen. In ieder geval moet u zorgen dat de bewerker u tijdig en adequaat informeert over de datalekken waarvan hij kennis krijgt. De afspraken die u hierover met de bewerker maakt legt u schriftelijk vast (in bijvoorbeeld een bewerkersovereenkomst). Een mondelinge afspraak volstaat niet.

Adequaat beveiligen

Het is essentieel dat organisaties voorbereid zijn op een datalek en een scenario klaar heeft liggen voor wanneer een datalek optreedt. De meldtermijnen zijn te kort om pas met deze processen te beginnen zodra een datalek geconstateerd is. Om bij datalekken schade en boetes te voorkomen, is het van belang dat organisaties hun systemen, applicaties en gegevensstromen in kaart brengen. Wat doen ze met persoonsgegevens en is alles wel adequaat beveiligd? De gevolgen van een datalek kunnen sterk geminimaliseerd worden door ervoor te zorgen dat alle data beveiligd wordt opgeslagen, bijvoorbeeld via encryptie. Want het nieuwe wetsartikel bepaalt dat organisaties een datalek niet hoeven te melden aan betrokkenen als de data onleesbaar is voor een onbevoegde derde (door bijvoorbeeld een adequate remote wipe). Door bijvoorbeeld encryptie te gebruiken kan een organisatie in voldoende mate aantonen dat melden aan betrokkenen niet nodig is, ondanks dat er sprake is van een datalek.

Maar het draait niet alleen om het juist inrichten van systemen. Ook bewustzijn en gedrag van medewerkers speelt een grote rol bij het voorkomen van datalekken. Echter een datalek kan niet volledig worden uitgesloten.

Een datalek, het kan u (zo) overkomen!
Meer weten? Neem contact op.
Erwin Kleise - KroeseWevers
Erwin Kleise drs. RA EMITA
Accountant
Stuur een mail +31 (0)5 38 50 49 74
Hulp nodig? +31 (0)53 850 49 00
Contact opnemen
KroeseWevers maakt gebruik van cookies

Om u beter en persoonlijker te helpen, gebruiken wij cookies. Wij gebruiken cookies voor het bijhouden van statistieken, maar ook voor marketingdoeleinden. Door op ‘zelf instellen’ te klikken, kunt u meer lezen over onze cookies en uw voorkeuren aanpassen. Door op ‘Accepteren’ te klikken, gaat u akkoord met het gebruik van alle cookies zoals omschreven in onze cookieverklaring.

Functionele cookies
Wij plaatsen functionele cookies om te zorgen dat basisfuncties van onze website goed werken en om uw cookie-instellingen goed vast te kunnen leggen.
Ingeschakeld Uitgeschakeld
Analyserende cookies
Elke dag meten en analyseren wij het gebruik van onze online kanalen om onze bezoekers de beste ervaring te bieden. Met de analyserende cookies doen we kennis op. Deze informatie gebruiken we om onze sites elke dag weer een beetje beter te maken, in het voordeel van de bezoekers van onze website.
Ingeschakeld Uitgeschakeld
Marketingcookies
Deze cookies gebruiken we voor marketingdoeleinden, waardoor u onze online kanalen persoonlijker kan ervaren. Denk hierbij aan gepersonaliseerde content of gepersonaliseerde communicatie op social media.
Ingeschakeld Uitgeschakeld