Wat betekent de nieuwe meldplicht datalekken
| Sieuwert van Otterloo |
Contracten
Security
Op 1 januari 2016 gaat de nieuwe meldplicht datalekken in. Bedrijven zijn dan verplicht om bepaalde security-incidenten te melden. Lees hier wat er precies verandert en hoe u hiermee om moet gaan.
Waarom een meldplicht datalekken
De nieuwe meldplicht datalekken is een uitbreiding op de Wet Bescherming Persoonsgegevens (WBP). De wet bescherming persoonsgegevens bestaat al sinds 2001 en heeft als doel om de privacy van mensen te beschermen. Dit doet de wet door bedrijven te verplichten om zorgvuldig met persoonsgegevens om te gaan. Of organisaties dit ook werkelijk doen is vaak moeilijk na te gaan: veel bedrijven houden hacks en andere security-incidenten stil om negatieve publiciteit te voorkomen. Met een wetswijziging op 1 januari hoopt men privacy en gegevensbescherming meer aandacht krijgt.
Wat verandert er precies?
Er zijn in principe twee belangrijke wijzigingen die in 2016 ingaan: de meldplicht datalekken en uitbreiding van de boetebevoegdheden van het College Bescherming Persoonsgegevens (CBP). De hoofdpunten zijn als volgt:
- Organisaties moeten onmiddellijk melden bij CBP als er een security-incident ontdekt is met een aanzienlijke kans dat er persoonsgegevens zijn gestolen.
- Organisaties moeten ook aan de betrokken waarvan de gegevens mogelijk gestolen zijn onmiddellijk een melding doen
- Organisaties moeten een register bijhouden van al dit soort security-incidenten
- Het CBP mag boetes opleggen bij niet naleven van de wet bescherming persoonsgegevens tot ongeveer 810.000 euro (de wet gebruikt geen bedragen maar categoriën, dit is de zesde categorie).
De rest van de wet bescherming persoonsgegevens verandert niet. Omdat de boetes echter wel omhoog gaan, zullen veel bedrijven wel goed moeten kijken of ze al aan de volgende verplichtingen voldoen:
- Geen persoonsgegevens verzamelen zonder duidelijk doel en zonder toestemming of noodzaak
- Persoonsgegevens voldoende beveiligen
- Met alle leveranciers die toegang hebben bewerkersovereenkomsten sluiten zodat ook de leveranciers de persoonsgegevens goed behandelen
Het is niet verplicht maar wel mogelijk om een aparte functionaris gegevensbescherming aan te wijzen. Dit kan helpen om ervoor te zorgen dat de wet goed nageleefd wordt. Met de nieuwe meldplicht kan het handig zijn voor veel organisaties om nu wel een functionaris gegevensbescherming aan te wijzen.
Wat betekent dit voor organisaties?
Organisaties zullen in ieder geval de volgende stappen moeten nemen om te kunnen voldoen aan de nieuwe wet:
- Het installeren van goede monitoring en logging, zodat vast te stellen is of er is ingebroken en welke gegevens mogelijk gestolen zijn. Als een bedrijf dit niet doet, zul je bij elke melding elke klant moeten informeren omdat je niets kunt uitsluiten.
- Het nemen van in ieder geval de basismaatregelen van beveiliging om niet nalatig te zijn. Denk aan wachtwoorden, firewalls, virus-scanners, regelmatige securitytesten en training van medewerkers.
- Het scannen van alle bedrijfsprocessen om te voorkomen dat er per ongeluk teveel persoons-gerelateerde gegevens worden verzameld. Dit voorkomt dat er gegevens worden gestolen die je niet had horen te hebben. Let met name ook op het echt permanent verwijderen van gegevens van bijvoorbeeld gebruikers die zich uitschrijven.
- Het aanwijzen van een vast aanspreekpunt voor iedereen in de organisatie waar security-incidenten moeten worden gemeld. Dit kan bijvoorbeeld bij het hoofd beveiliging, de Chief Security Officer, de Functionaris Gegevensbescherming en bij de CIO.
- Het bijwerken van alle bewerkersovereenkomsten met alle leveranciers. Hier moet ook een meldplicht aan worden toegevoegd van leverancier aan opdrachtgever.
Meer informatie
Op dit moment is alleen de wettekst beschikbaar, die hierboven is samengevat. Het CBP zal waarschijnlijk nog richtlijnen publiceren waarin staat wat zij van organisaties verwachten. Zodra die beschikbaar zijn worden die hier toegevoegd.
Voor mensen die meer willen weten over alle regelgeving, organiseert SoftwareZaken een workshop gegevensbescherming, waarin we alle principes en regels op een praktische manier behandelen.
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.