Is uw organisatie voorbereid op de wetswijziging omtrent datalekken?

31-01-2016

De Wet bescherming persoonsgegevens (Wbp) is gewijzigd. Op 1 januari 2016 geldt een meldplicht bij datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek constateren. En soms moeten zij het datalek ook melden aan degenen van wie de persoonsgegevens zijn gelekt. Bij het niet voldoen aan deze wetgeving kan jouw organisatie een omvangrijke boete worden opgelegd tot maximaal € 810.000 of 10% van de (wereldwijde) jaaromzet. Ben je voldoende voorbereid op deze wetswijziging?

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. De wet definieert een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn deze gegevens blootgesteld aan verlies of onrechtmatige verwerking  dus aan datgene waartegen beveiligingsmaatregelen bescherming (hadden) moeten bieden. Denk hierbij aan diefstal van een laptop, het per ongeluk foutief adresseren van een brief of e-mail, het kwijtraken van een USB-stick of een inbraak in een databestand door een hacker.

De belangrijkste wetswijzigingen per 1 januari 2016

  • Meldplicht bij toezichthouder en eventueel betrokkene: een datalek dient te worden gemeld bij het CBP, zodra er sprake is van ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens of de kans daarop aanzienlijk is. Heeft het datalek ook ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, dan dient deze ook te worden geïnformeerd. Indien uitgelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor derden, hoeft de betrokkene niet te worden ingelicht.
  • Administratieplicht: bij datalekken die onder de meldplicht vallen, zijn organisaties verplicht te registreren wanneer deze hebben plaatsgevonden en hoe omvangrijk het lek is geweest.
  • Bewerkers van informatie: bewerkers van informatie (derden) worden verplicht om alle datalekken, in de zin van de meldplicht, tijdig te melden aan de verantwoordelijke organisatie (aan jou dus).
  • Verruiming boetebevoegdheid: de boetebevoegdheid wordt flink verruimd. Zo krijgt het CBP de bevoegdheid om overtredingen van de Wbp te bestraffen met een boete tot maximaal € 810.000 of 10% van de (wereldwijde) jaaromzet.

Hoe kun je jouw organisatie zo goed mogelijk voorbereiden op deze wetswijziging?

Door als organisatie te voldoen aan de volgende aspecten wordt de kans op een datalek verkleind en kunnen de gevolgen van een datalek zoveel mogelijk worden beperkt:

  • Gegevensstromen in kaart brengen en beveiligingsscan uitvoeren: als jouw organisatie een duidelijk inzicht heeft in de data (welke persoonsgegevens worden verwerkt) kan eenvoudig worden bepaald welke data tegen datalekken beveiligd dienen te worden en wat de mogelijke gevolgen zijn van een eventueel datalek (ook voor de betrokkene). Door het uitvoeren van een beveiligingsscan kan worden vastgesteld of de data op adequate wijze zijn beveiligd en zo nee, welke verbetermaatregelen nodig zijn.
  • Opstellen calamiteitenplan: dit plan beschrijft hoe je moet handelen wanneer er sprake is van een datalek. Het calamiteitenplan beschrijft de interne processen en richtlijnen omtrent datalekken.

Tot slot

Gesteld kan worden dat organisaties zich bewust moeten worden van privacy van data en de beveiliging daarvan. 

Indien je vragen hebt over bovenstaande of ondersteuning wenst bij het in kaart brengen van gegevensstromen, uitvoeren van een beveiligingsscan en/of opstellen van een calamiteitenplan, neem dan gerust contact met mij op (telefoonnummer 0652022911 of info@cbsa.nl)

Terug naar blogoverzicht