Datalekken moeten verplicht gemeld worden

Per 1 januari zijn bedrijven verplicht het direct te melden als zij een ernstig datalek hebben. Deze melding moet u doen bij het College Bescherming Persoonsgegevens (CBP) en soms ook aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Meldt u datalekken ten onrechte niet, dan kan een boete opgelegd worden. Deze boetes kunnen behoorlijk oplopen. Een boete wordt hoger als er sprake is van nalatigheid en slecht geregelde ICT-beveiliging.

Moet u maatregelen treffen tegen datalekken?

Dat is lastig aan te geven. Volgens de vice-voorzitter van het Platform voor Informatiebeveiliging (PViB), is het niet nodig fors te investeren in nieuwe ICT, als de huidige voorzieningen voldoen. Hij wijst er op dat in het kader van de Wet bescherming persoonsgegevens (Wbp) bedrijven en organisaties sowieso moeten zorgen voor passende technische en organisatorische maatregelen om datalekken te voorkomen.

Eisen ter voorkoming van datalekken

Een van de eisen in de wet is bijvoorbeeld het werken met ‘goede software’. Wat goede software is, is echter niet helemaal duidelijk. Wel lees je tussen de regels door dat het om de laatste stand van de techniek gaat, dus de laatste versies van softwarepakketten en besturingssystemen. Verouderde besturingssystemen die niet worden geüpdatet, vallen dus niet onder het kopje ‘goede software’. Ook moet het regelen van uw ICT-beveiliging proportioneel zijn. Een klein bedrijf met maar weinig gevoelige gegevens hoeft bij wijze van spreken geen miljoenen uit te geven aan een state-of-the-art-infrastructuur.

Aanbevelingen ter voorkoming van datalekken en de afhandeling daarvan

Het wordt organisaties aanbevolen om goed na te gaan of er wordt gewerkt met persoonsgegevens en in hoeverre die erg vertrouwelijk zijn. Bij een zorginstelling speelt dit natuurlijk veel meer dan bij bijvoorbeeld een bouwbedrijf. Instellingen met patiënten, kinderen of studenten zullen een hoger niveau van beveiliging moeten hebben dan zakelijke dienstverleners. Het is overigens wel raadzaam encryptie te gebruiken bij mobiele apparatuur. Die technologie is tegenwoordig zo laagdrempelig geworden. Zorg dan ook wel voor een goede back-upvoorziening.
Ook wordt aanbevolen iemand verantwoordelijk te maken voor beoordeling, afhandeling en melding van een incident bij het CBP en de communicatie rondom het incident met alle betrokken partijen. Zorg dat je het als organisatie in ieder geval aantoonbaar hebt geregeld. Dat mag bij wijze van spreken ook een afsprakenoverzichtje zijn in een Word- of Excelbestand.

 

Dit artikel is een samenvatting gebaseerd op het artikel ‘Geen paniek om meldplicht datalekken’ van Computable.

Meer informatie over de meldplicht datalekken vindt u onder andere hier: