Meldplicht datalekken zorgt binnen bedrijven en overheden voor nieuwe uitdagingen

Datalek

Vanwege de alsmaar groeiende aandacht voor privacy is sinds 1 januari 2016 de Wet Bescherming Persoonsgegevens gewijzigd. Deze wetswijziging heeft grote gevolgen voor bedrijven en overheden. Daarom werd er vorige week over dit thema een seminar georganiseerd vanuit Dienst Justitiële Inrichtingen.

Bent u in control?

Meldplicht Datalekken was hét thema van het seminar dat vorige week vanuit Dienst Justitiële Inrichtingen (onderdeel van het Ministerie van Veiligheid en Justitie) werd georganiseerd. Meldplicht Datalekken is een gevolg van een wetswijziging. Sinds 1 januari 2016 is Meldplicht Datalekken opgenomen in een artikel in de Wet Bescherming Persoonsgegevens (Wbp) - artikel 34a. Dit betekent dat bedrijven en overheden binnen 72 uur in bepaalde gevallen een melding moeten maken bij de toezichthouder, de Autoriteit Persoonsgegevens, in geval van verlies of onrechtmatige verwerking van persoonsgegevens. Dit wordt ook wel een datalek genoemd.

Om bedrijven en overheden hierin te helpen heeft de de Autoriteit Persoonsgegevens beleidsregels opgesteld. Hiermee zijn zij in staat om te bepalen of er sprake is van een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens. Klik hier voor beleidsregels. De Autoriteit Persoonsgegevens heette voorheen het College Bescherming Persoonsgegevens (CBP) en is een overheidsinstantie die toeziet op een zorgvuldig gebruik van persoonsgegevens. Naast het melden aan de autoriteit dient er ook een melding gemaakt te worden aan de betrokkenen. Dit indien de inbreuk waarschijnlijk ook ongunstige gevolgen heeft voor de persoonlijke levenssfeer.

Privacy mag wat kosten

In deze blog deel ik graag de belangrijkste onderwerpen van deze dag.

Het seminar werd geopend door de plaatsvervangend hoofddirecteur van Dienst Justitiële Inrichtingen (DJI). Zij ging in op het perspectief vanuit de bestuurder. Zij heeft met name behoefte aan handvatten: hoe om gaan met deze wetgeving, wat zijn de verantwoordelijkheden, hoe moeten deze ingevuld worden en hoe komt het voor? Door Meldplicht Datalekken is er urgentie ontstaan voor het probleem en het kan DJI verder helpen.

De Country manager van Veritas samen met de beveiligingsmanager SSC-ICT (dienstverlener voor de ICT van zes ministeries) ging in op de onbekendheid van bedrijven en overheden met hun eigen ongestructureerde data en de verspilling van het budget aan de opslag van data.

Er werd aangetoond dat 44,5 % van de data binnen Nederlandse organisaties geen aantoonbare waarde heeft. De beveiligingsmanager SSC-ICT constateerde dat van veel data onduidelijk is of het gerubriceerd is, wie de eigenaar is, wie er toegang heeft en welke wet van toepassing is op de data. Tot slot werd er gesteld dat het voor organisaties uitdagend is om een datalek te melden als organisaties niet eens weten wat er aan data is.

Duthler Associates ging in op de bewerkersovereenkomst. Dit is een overeenkomst tussen de ‘verantwoordelijke’ en de ‘bewerker’, waarin wordt vastgelegd hoe de ‘bewerker’ met de persoonsgegevens om moet gaan. Het vormt in de ketenafhankelijkheid de basis voor duidelijkheid wie verantwoordelijk is. Duthler stelde dat binnen organisaties het veelal ontbreekt aan een gemeenschappelijk model van compliance waardoor organisaties niet kunnen voldoen aan de Wet Meldplicht Datalekken.

Tevens werden er een aantal voorbeelden gegeven van incidenten die kunnen leiden tot een datalek. Hieronder een aantal voorbeelden:

  • Verlies van een laptop
  • Een virus of malware
  • Uitgelekte computerbestanden
  • Een hackersaanval op een netwerk

Tot slot benadrukte het hoofd van de afdeling Toezicht bij de Autoriteit Persoonsgegevens dat het niet gaat om de boete maar dat de Wet Meldplicht Datalekken zorgt voor een preventieve werking. Hij gebruikte de quote: “Persoonsgegevens” is het nieuwe goud. Goud wordt goed bewaakt dus waarom persoonsgegevens niet.

De CIO van DJI sloot de dag af en concludeerde: “Privacy mag wat kosten, dat is wat waard”

Hij formuleerde 3 H’s als samenvatting van de dag:

  1. Handvatten (er is behoefte aan ondersteuning)
  2. Herstelaanpak (er wordt veel ingericht om te voorkomen maar hoe te herstellen)
  3. Helderheid (transparantie, ketenoefening, lessons learned)

 

De Wet Bescherming Persoonsgegevens is vrij algemeen in het beschrijven van treffende maatregelen. Mijn advies is om gebruik te maken van een Identity & Access Management oplossing om een stap dichterbij in control te komen.

Matthijs Kempers
Identity & Access Management consultant

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten