Organisaties die persoonsgegevens verwerken krijgen per 1 januari 2016 met een nieuwe wet te maken, de Meldplicht Datalekken. Mazars geeft uitleg over de consequenties van de wet en wat u kunt doen om datalekken te voorkomen/beperken.
In de Meldplicht Datalekken is vastgelegd dat alleen ernstige datalekken direct gemeld moeten worden. Maar wat is nu een ernstig datalek? Volgens het College Bescherming Persoonsgegevens (CBP) moet een datalek alleen gemeld worden als het lek leidt tot mogelijke nadelige gevolgen voor de geregistreerden die door het lek getroffen zijn. Dit kan per situatie verschillen. Van een datalek is niet alleen sprake als door kwaadwillenden in uw systeem is ingebroken. Ook het verlies van persoonsgegevens, onrechtmatige verwerkingen en zelfs onbevoegde kennisname van gegevens vallen onder het begrip datalek. Het CBP werkt aan specifieke richtlijnen waarmee wordt aangegeven onder welke omstandigheden u een datalek moet melden.
Datalek direct melden
Als uw organisatie wordt getroffen door een datalek en dit mogelijke nadelige gevolgen heeft voor de geregistreerden, dan moet u het lek binnen twee werkdagen melden bij het CPB. Bovendien moet u in bepaalde gevallen de geregistreerden over het datalek informeren. Dit zijn de personen waarvan de gegevens zijn gelekt. Of u de geregistreerden moet informeren, hangt af van de ernst van uw lek.
Boetes
Meldt u het lek niet binnen de gestelde termijn bij het CBP en informeert u de geregistreerden niet over het lek? Dan kunt u hiervoor een boete krijgen die kan oplopen tot maximaal € 810.000 of 10% van uw omzet.
Wat kunt u doen?
Of er nu een USB-stick kwijtraakt, een laptop wordt gestolen of uw gegevens worden gehackt, de kans dat uw organisatie wordt getroffen door een datalek neemt alsmaar toe. Om de risico’s op een lek te beperken, kunt u diverse maatregelen treffen. Hieronder vindt u een praktisch stappenplan:
- Ga na welke persoonsgegevens u beheert en welke gegevens u registreert. Classificeer deze gegevens naar gevoeligheid voor de geregistreerden
- Bepaal hoe deze gegevens zijn beveiligd. Kunnen de gegevens gemakkelijk gehackt worden? En heeft u alles goed beveiligd?
- Stel vast of uw organisatie in staat is om datalekken te detecteren
- Creëer een communicatie- en calamiteitenplan voor het geval u met een datalek te maken krijgt. Met een dergelijk plan kunt u direct de juiste acties ondernemen. Bovendien helpt dit u om eventuele nadelige gevolgen tot een minimum te beperken.
Aansprakelijkheid beperken niet voldoende
U bent altijd verantwoordelijk en aansprakelijk wanneer vanuit uw organisatie persoonsgegevens op straat komen te liggen. Dit betekent dat het niet altijd mogelijk is om uw aansprakelijkheid contractueel te beperken. Onderneem daarom de juiste stappen en richt u op het beschermen van uw gegevensverwerking. Het voldoen aan de privacy wetgeving en in het bijzonder het realiseren van de daarbij behorende passende beveiligingsmaatregelen is essentieel om de gevolgen van een datalek te beperken.
Geef een reactie