Met het wetsvoorstel voor Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp toegevoegd aan de Wet bescherming persoonsgegevens  wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Wat is het doel van de brede meldplicht?

  • Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen.
  • De sanctie op niet-naleving van de meldplicht is een maximale boete van EUR 810.000.
  • Personen van wie de gegevens zijn uitgelekt zullen waarschijnlijk sneller op de hoogte worden gesteld van het feit dat hun gegevens in verkeerde handen zijn gevallen. Vaak zullen zij naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om loginnaam en wachtwoord die veranderd moeten worden of een rekening die geblokkeerd moet worden.

De verplichtingen zijn van toepassing op de verantwoordelijke, niet op de bewerker (zie: bewerking persoonsgegevens). Het is aan een bedrijf of instituut om te beoordelen of een datalek ernstig genoeg is.

 

Voorwaarden voor melding aan het CBP

Onder de volgende drie voorwaarden moet een inbreuk op de beveiliging worden gemeld bij het CBP.

  • Er is sprake van een inbreuk op de beveiliging van persoonsgegevens. Opvallend is dat uitsluitend lekken ten gevolge van inbreuken op de beveiliging moeten worden gemeld, ook als de beveiliging summier is.
  • De inbreuk doet zich voor bij een organisatie in de publieke of private sector. Denk hierbij aan bedrijven, banken, verzekeringsmaatschappijen, belastingdienst, UWV enz.
  • De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt. Met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens.

Wanneer is er sprake van inbreuk op de beveiliging?

Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. In de toelichting bij het wetsvoorstel worden als voorbeeld genoemd: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.

Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Als voorbeelden in de toelichting worden genoemd: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. 

Op de hierboven genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. In de toelichting bij het wetsvoorstel wordt het voorbeeld genoemd van een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.

Wat kan uw organisatie ondernemen om een datalek te voorkomen?

  1. Lees het Whitepaper van Sophos om meer te weten te komen over het Europese wetsvoorstel.  Whitepaper Datalekken
  2. Stel een Data protecton policy op.
  3. Pas encryptie toe op laptops en mobiele telefoons. En leg dit centraal vast.
  4. Encrypt data in de cloud , USB sticks of portable media. Met bijvoorbeeld Safeguard Encryption.
  5. Verstuur persoonlijke data via de mail alleen met email encryption. Bijvoorbeeld met Sophos UTM / SG of email security oplossingen.
  6. Gebruikt Sterke Authenticatie ( token , software token, sms ) om in te loggen op cloud applicaties zoals SalesForce, Google Apps en Office365. Bijvoorbeeld de HID Global ActivID appliance met Federation Server.
  7. Neem contact op met Virtual Security om de beveiliging van uw omgeving te verbeteren via +31(0)357511035

  compliancy check