Inloggen

Mijn KroeseWevers

Welkom bij Mijn Kroesewevers!
Met Mijn KroeseWevers maakt u uw persoonlijke website op basis van úw voorkeuren.

Uw voordelen:

  • Informatie op maat en als eerste op de hoogte
    Direct overzicht van de meest recente blogs, publicaties en whitepapers die aansluiten op uw interesses
  • Persoonlijke aanbiedingen
    Wanneer u zich registreert bieden wij u graag persoonlijke aanbiedingen aan op gebied van accountancy en (belasting)advies

Veranderen uw interesses? Dan kunt u uw voorkeursinstellingen altijd wijzigen bij ‘voorkeuren’.

Ik ben Zakelijk geïnteresseerd in
Ik ben Privé geïnteresseerd in


Registeren

Door te registreren kunt u uw aangegeven interessegebieden op meerdere apparaten gebruiken.

Door op ‘opslaan’ te klikken gaat u akkoord met onze algemene voorwaarden.

Instellingen opslaan

Door uw instellingen op te slaan kunt u uw aangegeven interessegebieden op meerdere apparaten gebruiken.

Door op ‘opslaan’ te klikken gaat u akkoord met onze algemene voorwaarden.

Inloggen



Wachtwoord vergeten?

Bent u uw wachtwoord vergeten? Vul dan hieronder uw e-mailadres in. U ontvangt van ons een e-mail met daarin een link waarmee u uw wachtwoord opnieuw kunt instellen.



De site van KroeseWevers maakt gebruik van cookies. Lees hier onze privacyvoorwaarden.
Accepteren
  • drs. Erwin Kleise RA EMITA
  • Audit
  • +31 (0)53-8504900
  • +31 (0)6-10958931
drs. Erwin Kleise RA EMITA
Een datalek, het kan u (zo) overkomen!
Opgeslagen in 'Mijn KroeseWevers'

01.03.2016

  • Audit
  • Online privacy
  • Data

Een datalek, het kan u (zo) overkomen!

Per 1 januari 2016 is de Meldplicht Datalekken opgenomen in de Wet Bescherming Persoonsgegevens als toevoeging op de reeds bestaande wet (artikel 34a). Met de meldplicht wil de overheid de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud van vertrouwen in de omgang met persoonsgegevens. Om niet lichtzinnig met de wet om te gaan is besloten dat het niet naleven van de kernverplichtingen uit de WBP kan leiden tot hoge boetes, oplopend tot ruim € 820 000 of 10% van de jaaromzet!

Wanneer is er sprake van een datalek?

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan, maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Denk aan een hack, een medewerker die per ongeluk of door social engineering gevoelige data naar buiten stuurt, of iemand die al dan niet tegen betaling opzettelijk data naar buiten brengt. Denk ook aan verlies van een laptop, tablet, smartphone, usb-stick of andere gegevensdrager met daarop niet-encrypted data. Er hoeft niet eens misbruik van de gegevens gemaakt te worden. Alleen al het feit dat er een inbreuk is, is voldoende om het te kwalificeren als een datalek waarvoor de meldplicht geldt.

Meldplicht

De wet houdt in dat als binnen de organisatie een datalek optreedt, deze verplicht (binnen 72 uur) bij de Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens) dient te worden gemeld. Afhankelijk van de ernst van het datalek dienen ook betrokkenen te worden geïnformeerd. De wet geeft aan dat een melding aan de betrokkene dient te worden gemaakt als het lek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (bijv. identiteitsfraude, salarisgegevens, kwetsbaarheid van website met medische gegevens). Bij een datalek met gebruikersnamen, wachtwoorden en inloggegevens moet bij het bepalen van de mogelijke gevolgen voor betrokkenen worden afgewogen waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

De meldplicht betreft derhalve twee losse verplichtingen: een meldplicht aan de toezichthouder en een meldplicht aan de betrokkenen. De gevolgen van een datalek kunnen groot zijn: een onderzoek door de AP, aansprakelijkheidsclaims, boetes of inkomstenderving. Verder dienen de gevolgen van negatieve publiciteit niet te worden onderschat.

Persoonsgegevens beveiligen

De WBP eist dat u passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen. Maar ook bij gebruikmaking van externe IT- en clouddiensten blijft de organisatie zelf verantwoordelijk voor naleving van de WBP. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt. Als u persoonsgegevens laat verwerken door een bewerker, dan moet u ervoor zorgen dat deze voldoende gewaarborgd blijven ten aanzien van de naleving van de meldplicht voor datalekken. In veel gevallen is de bewerker namelijk de eerste die kennis krijgt van een opgetreden datalek. Uw zorgplicht, als verantwoordelijke voor de verwerking, strekt zich expliciet uit over datalekken waarvan een bewerker kennis krijgt. Dat betekent dat u ervoor moet zorgen dat u, ook als u persoonsgegevens laat bewerken door een bewerker, in staat bent om uw wettelijke verplichtingen na te komen. In ieder geval moet u zorgen dat de bewerker u tijdig en adequaat informeert over de datalekken waarvan hij kennis krijgt. De afspraken die u hierover met de bewerker maakt legt u schriftelijk vast (in bijvoorbeeld een bewerkersovereenkomst). Een mondelinge afspraak volstaat niet.

Adequaat beveiligen

Het is essentieel dat organisaties voorbereid zijn op een datalek en een scenario klaar heeft liggen voor wanneer een datalek optreedt. De meldtermijnen zijn te kort om pas met deze processen te beginnen zodra een datalek geconstateerd is. Om bij datalekken schade en boetes te voorkomen, is het van belang dat organisaties hun systemen, applicaties en gegevensstromen in kaart brengen. Wat doen ze met persoonsgegevens en is alles wel adequaat beveiligd? De gevolgen van een datalek kunnen sterk geminimaliseerd worden door ervoor te zorgen dat alle data beveiligd wordt opgeslagen, bijvoorbeeld via encryptie. Want het nieuwe wetsartikel bepaalt dat organisaties een datalek niet hoeven te melden aan betrokkenen als de data onleesbaar is voor een onbevoegde derde (door bijvoorbeeld een adequate remote wipe). Door bijvoorbeeld encryptie te gebruiken kan een organisatie in voldoende mate aantonen dat melden aan betrokkenen niet nodig is, ondanks dat er sprake is van een datalek.

Maar het draait niet alleen om het juist inrichten van systemen. Ook bewustzijn en gedrag van medewerkers speelt een grote rol bij het voorkomen van datalekken. Echter een datalek kan niet volledig worden uitgesloten.

Een datalek, het kan u (zo) overkomen. Maar zorg wel dat u weet hoe u dan moet handelen!

Gerelateerd aan deze whitepaper