datalekken
25.10.2016

Bij datalekken trekken privacybeheerder en CISO samen op

Sinds 1 januari 2016 geldt de meldplicht datalekken. Jouw organisatie moet voldoen aan de plicht om een ernstig datalek te melden bij de Autoriteit Persoonsgegevens (AP). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is.

Er is pas sprake van een datalek als bij een beveiligingsincident ook persoonsgegevens betrokken zijn. Dat kan al een kwijtgeraakte USB-stick of een gestolen laptop zijn. Een melding aan de AP is verplicht als er ernstige gevolgen zijn voor de privacybescherming van de betrokkenen. Naarmate de ernst van de gevolgen moeten ook de betrokkenen in kennis worden gesteld.

De rol van de CISO

Aan het besluit om te melden, gaat dus een vaststelling en een afweging vooraf. De vaststelling of persoonsgegevens in het incident (kunnen) zijn betrokken, ligt bij de CISO. De CISO beoordeelt bijvoorbeeld of een verloren USB-stick voldoende beveiligd was en wat de mogelijke inhoud ervan is. De afweging over de ernst van de privacygevolgen is een rol voor de privacybeheerder. Als op de stick alleen de namen van de leden van een overleggroep voor de WMO voorkomen, dan zijn de privacygevolgen al snel minder ernstig dan in het geval het gaat om de dossiers van zorgbehoevenden. De privacybeheerder adviseert op basis van de inhoud van de gegevens en de context waarbinnen ze worden gebruikt om al dan niet te melden.

Wees voorbereid op de afhandeling van een beveiligingsincident

Binnen 72 uur na ontdekking moet de verantwoordelijke een ernstig datalek melden bij de AP. Dat kan in de praktijk voor ingewikkelder incidenten nogal kort blijken te zijn. Een register met verwerkingen van persoonsgegevens is dan heel nuttig. De organisaties die over zo’n register beschikken, kunnen snel zien tot welke risicoklasse de gegevens behoren die bij het incident betrokken zijn. In het register is namelijk vastgelegd voor welk doel welke persoonsgegevens de organisatieonderdelen verwerken.

Boetes AP gaan niet alleen over datalekken

Bij gelegenheid van de Wet meldplicht datalekken krijgt de AP de mogelijkheid om hoge boetes uit te delen. Die bevoegdheid beperkt zich niet uitsluitend tot de meldplicht datalekken, maar betreft de totale uitvoering van de Wet bescherming persoonsgegevens. Dat betreft onder meer de rechtmatige grondslag, doelbinding, bewaartermijn, proportionaliteits- en subsidiariteitseisen, meldingen van gegevensverwerkingen, etc. Reden dus om nog eens na te gaan of uw organisatie op adequaat uitvoeringsniveau is.

Is jouw beveiliging aan optimalisatie toe?

Neem contact met ons op via e-mail of door te bellen naar 085 208 208 9. Dan kijken we samen hoe jouw organisatie ervoor staat met het voorkomen van datalekken en hacks.

Categorie: IT security

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2019

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2019

Download nu »