Wat houdt de meldplicht datalekken in?
Vanaf 1 januari geldt de meldplicht datalekken. In dit kennisartikel staat de vraag "wat houdt de meldplicht datalekken in" centraal. Lees meer!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlIedereen die regelmatig zijn Nu.nl app checkt, het journaal bekijkt of op zaterdagochtend de ‘krant van wakker Nederland‘ bij het ontbijt leest, heeft regelmatig nieuwsberichten voorbij zijn komen over DDOS-aanvallen, hackers, malware etc. In de digitale wereld van tegenwoordig is data geld waard. Goud waard. Sinds 1 januari 2016 is daarom de meldplicht datalekken actief. Omdat de grootste bedrijven hun informatiebeveiliging vaak al op orde hebben, rijst de vraag of ook MKB Nederland weet wat voor gevolgen deze meldplicht heeft.
Wat houdt de meldplicht datalekken in? Samenvatting:
De meldplicht datalekken houdt in dat (afhankelijk van de ernst) een datalek gemeld dient te worden als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, óf als dit niet kan worden uitgesloten. Deze meldplicht geldt voor zowel private als publieke organisaties die te maken hebben met de verwerking van persoonsgegevens. Een datalek dient gemeld te worden bij de Autoriteit Persoonsgegevens.
Wat is een datalek?
Zoals genoemd, is er sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, óf als dit niet kan worden uitgesloten. Zelfs een onrechtmatige verwerking van gegevens valt hieronder! Met alle webwinkels van tegenwoordig, formulieren op websites waarin om persoonsgegevens wordt gevraagd en alle andere data dat wordt verstuurd over het web, heeft dit een behoorlijke impact.
Maar wat is een beveiligingsincident dan?
Een beveiligingsincident is een gebeurtenis waardoor mogelijk de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of het systeem in gevaar is, of kán komen. Voorbeelden van beveiligingsincidenten:
- De diefstal van een laptop.
- Het verliezen van een USB-stick.
- Een hacker die het systeem binnen is gedrongen.
Hoe vaak horen we hier niet van? Niet voor niets blijkt uit onderzoek dat bedrijven cyberincidenten als groot risico zien! Bovenstaande voorbeelden zijn allemaal beveiligingsincidenten waarop de meldplicht datalekken van toepassing kanzijn. Want niet elk datalek hoeft gemeld te worden.
In welke gevallen moet ik een datalek melden?
Als je twijfelt of gewoon uit voorzorg wilt weten wanneer je een datalek moet melden, kijken we naar de ernst van het datalek. Het is van belang je het volgende te realiseren:
Bij het beoordelen van de ernst van een datalek, maakt het feitelijk niet uit of er een enkele persoon of mogelijk miljoenen personen bij betrokken zijn!
Je moet een datalek melden als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, óf als hier een aanzienlijke kans op is. De aard van de gegevens is hierbij natuurlijk van belang.
Gevoelige gegevens zijn bijvoorbeeld:
- Bijzondere persoonsgegevens (geloof, gezondheid, ras, seksueel leven, enz.).
- Financiële gegevens (schulden, salaris, betalingen, enz.).
- Stigmatiserende gegevens (verslaving, werk- of relatieproblemen, enz.).
- Inloggegevens (gebruikersnamen en wachtwoorden).
- Identiteitsgegevens (burgerservicenummer, kopie van een identiteitsbewijs, enz.).
Waar moet een datalek gemeld worden?
Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens. Vroeger was dit het College Bescherming Persoonsgegevens (CBP). Daarnaast kan het ook nog zo zijn dat de betrokkenen op de hoogte moeten worden gesteld van het datalek.
Als er technische beheersmaatregelen zijn genomen (bijvoorbeeld Cryptografie) waardoor de verloren gegevens ontoegankelijk zijn, is het melden aan de betrokkenen niet noodzakelijk. Uiteraard is het wel het overwegen waard om dit desondanks toch te doen. Het kan immers schadelijk zijn voor je reputatie als betrokkenen er achteraf achter komen.
Om over na te denken: zou je een datalek melden aan de betrokkene terwijl dit geen verplichting is?
Wanneer moeten betrokkenen wel worden ingelicht?
De betrokkenen (de personen waarvan de gegevens verloren zijn gegaan), moeten wel worden ingelicht als het verlies van de gegevens waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Zwaarwegende redenen om dit (voorlopig) achterwege te laten, kunnen hier mogelijk een uitzondering op vormen.
Het melden van een datalek
Een datalek moet na constatering zo snel mogelijk worden gemeld worden bij de Autoriteit Persoonsgegevens. Daarvoor ga je naar het Meldloket datalekken Autoriteit Persoonsgegevens. Als er directe negatieve gevolgen voor de betrokkenen zijn, moet het datalek ook bij hen worden gemeld. Een datalek moet in ieder geval binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld zijn.
Het kan voorkomen dat je binnen die 72 uur niet met zekerheid heeft kunnen vaststellen dat er sprake is van een datalek, maar dat je dit ook niet kunt uitsluiten. In dat geval zal er met de reeds bekende informatie toch een melding gedaan moeten worden.
Wat gebeurt er na het melden van een datalek?
Zodra het datalek gemeld wordt, zal de Autoriteit Persoonsgegevens het datalek verifiëren. Vervolgens zal de inhoudelijke afhandeling plaatsvinden. De Autoriteit Persoonsgegevens zal beoordelen of een melding aan de betrokkenen vereist is en of het datalek mogelijk verwijtbaar is.
Als geconstateerd wordt dat de beveiliging van de persoonsgegevens niet op orde was, of dat het datalek niet is gemeld, kan je een boete krijgen. Deze kan oplopen tot € 810.000,-. Voor grote bedrijven kan de boete zelfs oplopen tot wel 10% van de omzet!
Let op: Als organisatie ben je zelf verantwoordelijk voor het opsporen en oplossen van het datalek!
Wat houdt de meldplicht datalekken in voor mijn organisatie?
Zeker binnen het MKB houdt bovenstaande vraag veel ondernemers bezig. De grote organisaties hebben vaak de informatiebeveiliging al op orde. De meldplicht datalekken is voor het MKB echter een ingrijpende wet. Balans is daarom het toverwoord. Enerzijds hoef je je niet bang te laten maken met enge verhalen over hoge boetes en fanatieke hackers. Anderzijds ontkomt u er ook niet meer aan om na te denken over uw informatiebeveiliging.
Een eerste stap die je hierbij kunt zetten is het in kaart brengen van de persoonsgegevens die binnen en buiten (cloud, externe hosting, etc.) jouw organisatie aanwezig zijn. Beoordeel welke beheersmaatregelen met betrekking tot informatiebeveiliging genomen zijn en of deze afdoende zijn. Op basis hiervan kun je eventuele aanvullende maatregelen nemen.
Voor welke oplossing je ook kiest, het gaat erom dat deze in dienst staat van jouw organisatie!
Hoe kan CertificeringsAdvies Nederland hierbij helpen?
In dit artikel heeft de vraag “wat houdt de meldplicht datalekken in?” centraal gestaan. Een onderwerp dat sinds de komst van de AVG wet meer aandacht heeft gekregen. We hebben in dit blogartikel de theorie behandeld. De kracht van CertificeringsAdvies Nederland is echter eenvoud. Wij vertalen de theorie naar de praktijk van alle dag. Naar de mens ‘achter’ de oplossing.
Wij kunnen je helpen de impact van de meldplicht datalekken in kaart te brengen. Op de voor ons kenmerkende pragmatische werkwijze voeren we een risicoanalyse informatiebeveiliging uit. Hieruit volgen eventuele acties om de risico’s aan te pakken. Een vervolgstap kan zijn om een ISO 27001 managementsysteem op te zetten. Onlangs hebben wij een ISO 27001 traject bij Phylax ICT. Het managementsysteem hebben we op aanvraag geïntegreerd in Sharepoint.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Meer weten over ISO 27001?
Download de handige informatiegids!
- Alles over informatiebeveiliging
- Stap voor stap inzicht
- Antwoord op al je vragen
