Help, mijn Cloud is lek?

door 28 november 2015

Vanaf januari 2016 treedt de EU Meld­plicht Data­lekken in werking. Maar wat houdt dit nu in, en wat zijn de gevolgen voor uw orga­ni­satie en hoe bereidt u zich hierop voor? De meld­plicht Data­lekken (Data breach) is een toevoe­ging op de bestaande Wet Bescher­ming Persoons­ge­ge­vens (Belgische Privacy Wetgeving). 

Duide­lijke regels over de omgang met persoons­ge­ge­vens zijn essen­tieel voor het onder­ne­mers­kli­maat en het vertrouwen in ICT. Met een aantal nieuwe regels wil de overheid en de EU de gevolgen van een datalek zoveel mogelijk beperken. De nieuwe meld­plicht Data­lekken moet bijdragen aan het behoud van vertrouwen in de omgang met persoonsgegevens.

Houd zelf controle over je persoonsgegevens

Deze nieuwe meld­plicht Data­lekken bestaat uit twee delen

  1. Meld­plicht voor inbreuken op de bevei­li­ging: Dit deel van de wet verplicht orga­ni­sa­ties om melding te maken van een datalek van persoons­ge­ge­vens. Deze melding moet gedaan worden bij het Commissie van de Bescher­ming van de Persoon­lijke Levens­sfeer (CBPL) en in de meeste gevallen ook aan betrok­kenen. In Nederland is dit het College bescher­ming persoons­ge­ge­vens (CBP). De Privacy commissie zorgt ervoor dat persoons­ge­ge­vens zorg­vuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaar­borgd blijft.
  2. Bestuur­lijke boete­be­voegd­heid: Orga­ni­sa­ties die zich niet aan de meld­plicht houden of geen adequate maat­re­gelen hebben getroffen voor de bevei­li­ging van persoons­ge­ge­vens, kunnen een boete krijgen van het DPA. Deze kan oplopen tot 810.000,- € of 10% van de (wereld­wijde) jaaromzet.

De gevolgen voor uw organisatie.

De nieuwe meld­plicht maakt de opvolging van een datalek een stuk minder vrij­blij­vend. Behalve voorkomen en consta­teren van data­lekken, is het belang­rijk om tijdig stil te staan bij de te nemen stappen, ingeval zich daad­wer­ke­lijk een incident met persoons­ge­ge­vens voordoet. Naast tech­ni­sche conse­quen­ties zijn er orga­ni­sa­to­ri­sche en commu­ni­ca­tieve aspecten om over na te denken. Een plan met actie­punten voor­be­reiden, is daarom geen over­bo­dige luxe.

Vergroot uw inzichten

Hiermee krijgt u meer inzicht in de manieren om persoons­ge­ge­vens doel­tref­fend te bevei­ligen en de kans op data­lekken te minimaliseren:

  • Heeft u binnen uw orga­ni­satie maat­re­gelen getroffen die als specifiek doel hebben om de persoons­ge­ge­vens te bevei­ligen (zowel tech­ni­sche, orga­ni­sa­to­ri­sche als commu­ni­ca­tieve maatregelen)?
  • Wordt de IT-infra­struc­tuur periodiek getest op bekende en onbekende kwets­baar­heden, zowel auto­ma­tisch als handmatig?
  • Zijn er maat­re­gelen getroffen om inbreuken op de bevei­li­ging te detec­teren, en ook in real-time?
  • Vindt er regel­matig een risico analyse plaats om kritische gegevens te iden­ti­fi­ceren en ook veilig te stellen?
  • Heeft u al een (cala­mi­teiten- en commu­ni­catie) plan gereed voor wanneer zich een datalek voordoet, inclusief tech­ni­sche en commu­ni­ca­tieve opvolging en afhandeling?
  • Is er binnen uw mana­ge­ment en bij uw mede­wer­kers voldoende aandacht voor het belang van infor­ma­tie­be­vei­li­ging en worden de interne regels en afspraken voldoende gevolgd?

Persoonsgegevens kunnen vrij circuleren vanuit België en binnen de Europese Unie zolang de algemene principes van de Belgische Privacywet worden nageleefd.

Melding van gegevenslekken

Als blijkt dat persoons­ge­ge­vens die u beheert ook door iemand anders bekeken zijn, of misschien wel geko­pi­eerd of gestolen, welke stappen onderneem je dan best?

Een gege­venslek kan eigenlijk mooi verge­leken worden met een waterlek. Wanneer je ineens met je voeten in het water staat, dan probeer je vanzelf­spre­kend eerst de water­toe­voer af te sluiten, anders heeft dweilen geen zin. Verder zoek je natuur­lijk ook naar de oorzaak van het waterlek, en gaat even bij de buren kijken of zij water­schade hebben. Ten slotte zorg je ervoor dat er in de toekomst geen water meer kan lekken.

Zo gaat het ook met gege­venslekken. Je brengt zo snel mogelijk de gelekte persoons­ge­ge­vens opnieuw in veilig­heid, en gaat na waarheen ze gelekt zijn. De personen van wie de gegevens gelekt zijn, breng je op de hoogte van wat er gebeurd is, en je bekijkt wat je kan doen om een dergelijk gege­venslek in de toekomst te vermijden.

Het enige verschil tussen het waterlek en het gege­venslek, is dat je dit laatste best ook meldt bij de Privacy commissie. Vanaf 20161 wordt het zelfs wettelijk verplicht om dit te doen. Zo kan de Privacy commissie inschatten wat de impact van het gege­venslek is, en eventueel een aantal maat­re­gelen aanbe­velen. Daarom is het raadzaam het gege­venslek te melden op nu volgende regi­stratie adres:

NATIONAL DATA PROTECTION AUTHORITY

Commis­sion for the Protec­tion of Privacy
Druk­perssstraat 35 1000 Brussels

T +32 (0)2 274 48 78
F +32 (0)2 274 48 35

email: commission@​privacycommission.​be

Meer infor­matie over de melding van gege­venslekken en een meldings­for­mu­lier kan u vinden op de pagina “Melding van gege­venslekken“.

Tot slot verwijzen we ook naar de aanbe­ve­ling die de Privacy commissie uitbracht over het voorkomen van gege­venslekken. Want voorkomen is nog altijd beter dan genezen…

  1. In een reactie van de Belgische Privacy Commissie is duidelijk geworden dat er (nog) geen konink­lijk besluit is gepu­bli­ceerd dat daad­wer­ke­lijk deze meld­plicht bekrachtigd.

Pin It on Pinterest

Share This