Bent u klaar voor de meldplicht datalekken?

meldplichtdatalekOp 1 januari 2016 wordt de meldplicht datalekken van kracht. Het blijkt dat veel organisaties nog niets hebben gedaan om zich voor te bereiden. Wat houdt de meldplicht eigenlijk in en hoe kun/moet je je voorbereiden?

 

Over het “wat”

De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens (Bron: CBP).

Voorbeelden van datalekken die door het CBP worden genoemd zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Het CBP heeft inmiddels echter ook richtsnoeren opgesteld die bedoeld zijn om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij het CBP en eventueel aan de betrokkenen. Deze zijn echter nog wel in de conceptuele fase. Ze zijn terug te vinden op de website van het CBP.

Over het “hoe”

Het CBP geeft op haar website ook aan hoe organisaties ervoor kunnen zorgen dat zij voorbereid zijn op de meldplicht datalekken:

  • persoonsgegevens dienen goed beveiligd te zijn
  • incidentenbeheer dient adequaat ingericht te zijn;
  • bepaald dient te worden wie in de organisatie datalekken gaat beoordelen en melden bij het CBP;
  • nagedacht dient te worden over hoe betrokkenen geïnformeerd gaan worden bij een datalek;
  • nagedacht dient te worden over hoe omgegaan wordt met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met bewerkers dienen gecontroleerd te worden.

 

De tijd dringt

Voor organisaties die niet structureel aandacht besteden aan informatiebeveiliging dringt de tijd. Zij voldoen hoogstwaarschijnlijk niet aan de eisen die bijvoorbeeld de Code voor Informatiebeveiliging (best practice) stelt.Weet u of en hoe u de risico’s met betrekking tot de vertrouwelijkheid van persoonsgegevens heeft afgedekt? Zo nee, dan zult u snel aan de slag moeten. Alleen al zorgen dat voor alle persoonsgegevens adequate bewerkersovereenkomsten van toepassing zijn is een tijdrovende klus in de huidige tijd van cloudcomputing.

En dan heb ik het nog niet eens over het borgen van de vertrouwelijkheid van de informatie intern. Hoeveel onderwijsinstellingen hebben de vertrouwelijkheid van persoonsgegevens geborgd middels een informatiebeveiligingsplan waarin ook aandacht wordt besteed aan de interne bedreigingen? Het opstellen van een dergelijk plan en het doorvoeren van de bijbehorende maatregelen neemt als snel een half jaar tot een jaar in beslag. Degenen die nog niet begonnen zijn zijn dus eigenlijk al te laat en zullen echt als een speer uit de startblokken moeten komen.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *