94% bedrijven heeft te maken met datalek

Wederom in het nieuws dat het niet langer de vraag is OF je met datalek te maken krijgt maar WANNEER.

De vraag is niet OF je met datalek te maken krijgt maar WANNEER

Uit een onderzoek uit 2015 was dit ook al de conclusie. Dus wat dat betreft is er niets nieuws onder de zon.

Er wordt gesproken over een datalek wanneer er zich een beveiligingsincident heeft voorgedaan waarbij gegevens verloren zijn gegaan OF wanneer onrechtmatige verwerking van deze gegevens redelijkerwijs niet is uit te sluiten. Dit heb ik eerder toegelicht in een blog.

Het is daarom voor alle bedrijven belangrijk om een procedure in te stellen, waarin zowel het voorkomen, als ook het detecteren en opvolgen van een datalek wordt opgenomen. Hierbij is de samenwerking tussen de disciplines IT, security en legal essentieel.

Advertenties

Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.