Meldplicht datalekken
Ron Aarnink
Sinds 1 januari 2016 geldt de nieuwe meldplicht datalekken. Als je met persoonsgegevens werkt, moet je deze beveiligen tegen verlies en onrechtmatig gebruik.
Een datalek moet je zowel aan de Autoriteit Persoonsgegevens als aan de betrokkenen (de mensen van wie de gegevens zijn gelekt) melden. Niet in alle gevallen, maar wel als het lek ‘waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer’. Denk aan fraude, diefstal of aantasting van iemands goede naam.
Hoe voorkom je een datalek in jouw bedrijf?
Het voorkomen van een datalek begint met bewustwording. Niet alleen bij iedereen binnen jouw organisatie, maar ook bij externe partijen waar je gegevens mee deelt. Bijvoorbeeld jouw ICT partner of Google analytics partner; bedrijven die vaak toegang hebben tot jouw (klant)gegevens. Na deze bewustwording zet je de volgende stappen:
Analyseer de gegevens in jouw bezit.
Om welke gegevens gaat het, waar staan ze opgeslagen, hoe krijg je toegang en wie heeft er nog meer toegang?
Breng mogelijke risico’s in kaart.
Zoals diefstal van apparatuur waar klantgegevens op staan, het verliezen van datadragers (USB-sticks, externe harddrive), of hackers die zich toegang willen verschaffen tot jouw datastorage of webshop. Zelfs het printen van een debiteurenlijst en in de papierbak gooien, kan tot een lek leiden.
Stel een duidelijk beleid op om risico’s te minimaliseren.
In dit beleid kun je regels opnemen voor het gebruik van datadragers en van een papierversnipperaar, voor het periodiek updaten van software en het uitvoeren van beveiligingsscans. In de praktijk betekent dit vaak het aanpassen van bepaalde processen binnen jouw organisatie.
Handhaaf het beleid.
Help jouw medewerkers eerst om zich de nieuwe werkwijzen eigen te maken en zorg dat het belang breed in de organisatie wordt gedeeld. Voer dan periodiek controles uit om het beleid top of mind te houden.
Zelfs met uitstekende voorzorgsmaatregelen is een datalek niet uit te sluiten. Maak dus ook een draaiboek voor het geval er een datalek wordt gevonden. Dan weet iedereen wat er moet gebeuren en kun je snel en effectief handelen.
Wat is een datalek precies?
We spreken van een datalek als persoonsgegevens zijn blootgesteld aan verlies of onrechtmatig gebruik. Bijvoorbeeld: een kwijtgeraakte USB stick, gestolen apparatuur, inbraak door een hacker, malware (een virus) of een brand. Is er alleen sprake van een zwakke plek in de beveiliging, dan is dat geen datalek, maar een beveiligingslek.
Hoe weet ik of ik een datalek heb?
Je wordt verondersteld dat te weten, al is dat in de praktijk niet altijd haalbaar. Toch: de wet eist dat bedrijven bewust met hun gegevens omgaan, de risico’s en gevolgen van datalekken kennen en er alles aan doen om datalekken te voorkomen. Door zowel technische als organisatorische maatregelen te treffen.
Wat zijn de gevolgen van een datalek?
De exacte gevolgen van een lek verschillen per situatie. De Autoriteit Persoonsgegevens kan je een boete opleggen van (in het uiterste geval) € 820.000 bij overtreding en/of nalatigheid. Daarnaast is het mogelijk dat:
De Autoriteit Persoonsgegevens een onderzoek instelt.
Jouw bedrijf reputatieschade leidt, met omzet- en/of klantverlies tot gevolg.
Slachtoffers van het datalek een claim tegen je indienen.
Je het slachtoffer wordt van afpersing.
DIGITAAL
INNOVEREN?
Meer weten wat wij voor jouw business kunnen betekenen?
Deel jouw wensen met ons
Kan ik mijn bedrijf tegen een datalek verzekeren?
Je kunt je uiteraard verzekeren tegen de gevolgen van datalekken, zoals een schadeclaim. Maar deze verzekeringen zijn vaak duur en stellen ook zeker eisen aan jouw beleid en het naleven hiervan. Bovendien zijn immateriële zaken, zoals reputatieschade, niet gedekt.
Ik heb een datalek, wat nu?
Zodra je een datalek ontdekt moet je het lek dichten en achterhalen welke gegevens zijn gelekt. Afhankelijk van de ernst dien je het lek binnen 24 uur te melden bij de Autoriteit Persoonsgegevens, en eventueel bij de betrokkenen. Zo kunnen betrokkenen hun eigen maatregelen treffen om erger te voorkomen, zoals het veranderen van wachtwoorden. Om te beslissen of de meldplicht voor je geldt, maakt je een aantal afwegingen.
Neem contact op
Wij verkleinen het risico op een datalek voor onze klanten. Dat doen we onder meer door periodiek en proactief jouw (web)applicaties te updaten, en/of te scannen op mogelijke beveiligingslekken. We bekijken per bedrijf welke voorzorgsmaatregelen er allemaal mogelijk zijn.
Neem contact op voor de beste beveiligingsmaatregelen voor jouw bedrijf