Meldplicht Datalekken: 5 concrete stappen

11 december 2015 10:51 | Gerard Stroeve |

Per 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit geeft veel organisaties de nodige actiepunten. Heeft u nog geen voorbereidingen getroffen of nog helemaal niet van de meldplicht gehoord? Dan is het de hoogste tijd om aan de slag te gaan.

Wat is die meldplicht precies? Op zijn website schrijft het College bescherming persoonsgegevens (CBP): 'Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het CBP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).'

Van toepassing?

Allereerst is het natuurlijk de vraag of de meldplicht op jouw organisatie van toepassing is. In de basis geldt: als voor of door jouw organisatie persoonsgegevens worden verwerkt in Nederland, dan geldt de meldplicht voor jou als je daarbij de zogenaamde verantwoordelijke bent. Dat ben je als je het doel van de verwerking en/of de middelen ervoor hebt bepaald.

Onder het verwerken van persoonsgegevens verstaan we elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Kortom, de meldplicht is vrij algemeen van aard en de kans is groot dat deze ook op jouw organisatie van toepassing is.

Wat is een datalek?

Bij een datalek denken we vaak aan het ongewenst openbaar worden van vertrouwelijke gegevens. Maar de wet hanteert een veel bredere definitie. Wettelijk ben je verplicht om 'verlies of onrechtmatige verwerking' van persoonsgegevens te voorkomen met passende technische en organisatorische maatregelen. Een datalek is dus een incident waarbij de bescherming van persoonsgegevens is doorbroken en waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dat kan van alles zijn: van het 'op straat belanden' tot het per ongeluk deleten van een belangrijk overzicht met persoonsgegevens, zonder dat er een reservekopie van het bestand is.
Of het betreffende datalek ook daadwerkelijk aan het CBP en de betrokkenen gemeld moet worden, hangt af van diverse factoren. De belangrijkste afweging is of er ernstige nadelige gevolgen voor de betrokkenen te verwachten zijn. Een nadere toelichting op wat een datalek is en wanneer en hoe je een lek moet melden, geeft het CBP in speciale beleidsregels rond de meldplicht.

Hoe voldoet u aan de meldplicht?

Het niet nakomen van de meldplicht kan leiden tot hoge boetes. Hiertoe is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. De maximale boete is 820.000 euro. Hieronder geef ik vijf concrete stappen die je kunt zetten om te voldoen aan de Meldplicht. Voorkom boetes: zorg dat je voorbereid bent!
Zicht op informatiestromenAllereerst wil je zicht hebben op de diverse persoonsgegevens die jouw organisatie gebruikt. Hierbij is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kan dus van alles zijn. Persoonlijke gegevens als naam, adres of gezondheid, bijvoorbeeld, maar ook minder voor de hand liggende informatie als het kenteken van een auto. Breng deze informatie in kaart en maak er een duidelijk overzicht van. Het is verstandig de gegevens ook meteen te classificeren op de eisen rondom vertrouwelijkheid, integriteit en beschikbaarheid.
Toets de passende beveiligingDe Wbp stelt dat persoonsgegevens beveiligd moeten zijn met passende technische en organisatorische maatregelen. Passend betekent onder andere dat de betreffende beveiligingsmaatregelen zijn gebaseerd op een gedegen risicoanalyse. Vraag je security officer hoe de beveiliging is ingericht. Heb je (nog) geen security officer dan kun je quickscan uitvoeren, eventueel aangevuld met specifieke tests die de kwetsbaarheid van de gegevens in kaart brengen. Meer weten over passende beveiligingsmaatregelen? Zie ook de richtsnoeren voor de beveiliging van persoonsgegevensvan het CBP.
Stel een meldingsprotocol opDe meldplicht vraagt om een protocol waarin staat wie welke taak en verantwoordelijkheid heeft in het meldingsproces. Wie beoordeelt de aard van een datalek en de impact ervan? Is dat ook degene die uiteindelijk beslist om wel of niet tot melding aan het CBP over te gaan? En waar wordt dit geregistreerd? Zorg bij voorkeur dat het protocol aansluit bij het bestaande incidentmanagementproces.
Informeer medewerkersEen belangrijke stap is het informeren van de medewerkers. Het is namelijk belangrijk dat er geen datalekken gemist worden. Individuele medewerkers moeten datalekken kunnen herkennen en weten wat de te nemen stappen zijn. Dit vraagt om heldere instructies.
Maak afspraken met bewerkersOok de rol van eventuele bewerkers buiten je organisatie moet aandacht krijgen. Een bewerker verwerkt persoonsgegevens voor de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website die persoonsgegevens verwerkt. Het is belangrijk dat deze bewerker jou als verantwoordelijke in staat stelt om aan de meldplicht te voldoen. Dat wil zeggen dat ook de bewerker passende beveiligingsmaatregelen moet treffen en jou in geval van een datalek tijdig informeert.

Stappen gezet

Met deze activiteiten zijn vijf belangrijke stappen om te voldoen aan de meldplicht gezet. Maar uiteraard begint daarna pas de praktijk van het melden. En vergeet niet: voorkomen is beter dan melden!

News regarding data security and compliance

Friday, December 11, 2015