IV experts | Kennisbank | Blogs en artikelen

Een ernstig datalek in uw organisatie - wat nu?

Written by Patrick Doomen | april 2018

Geregeld lezen we het in de media: gevoelige- en persoonsgebonden informatie komt letterlijk op straat te liggen. Via dossiers die als oud papier worden aangeboden, een gestolen smartphone, een verloren gegevensdrager of onveilig gebruik van (cloud) toepassingen en identiteitsfraude. Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben spreken we van een "datalek". Het risico hierop wordt steeds groter omdat simpelweg steeds meer persoonsgegevens van ons bewust en onbewust worden opgeslagen en gebruikt in systemen en databanken.

Wetgeving veranderd

Door een wijziging van de Wet bescherming persoonsgegevens (Wbp, invoering artikel 34a) wordt een algemene meldplicht datalekken voor alle organisaties (zowel bedrijven als overheden) per 1 januari 2016 ingevoerd. Dit houdt in dat direct een melding moet worden gedaan bij het College bescherming persoonsgegevens (Cbp) zodra een ernstig datalek is geconstateerd en de privacy van betrokkenen in het geding is. Bij het niet voldoen aan deze verplichting kan het CPB organisaties een boete geven als zij een datalek onterecht niet melden. De maximale boete is EUR 820.000.-. Deze sanctionering heeft rechtstreeks invloed op de governance van uw organisatie. 

 

De rol van functioneel beheer

Om datalekken te voorkomen moeten organisaties allerhande maatregelen nemen van technische en organisatorische aard. Dit zou uiteraard niet afhankelijk moeten zijn van het invoeren van een wetswijziging: data moet te allen tijde veilig worden “opgeborgen”. Hoe kan Functioneel Beheer hieraan bijdragen?

 

Door het samen met andere stakeholders in de organisatie onderstaande aspecten te bespreken en benodigde acties te organiseren:

  • Beveilig persoonsgegevens beter door de inzet van moderne technieken;

  • Denk eens na over opslag, doorvoer, toegang en ontsluiting van data en persoonsgegevens;

  • Gebruik niet meer persoonsgegevens dan strikt noodzakelijk;

  • Richt Security Management in als integraal onderdeel van de bedrijfsvoering;

  • Gebruik geanonimiseerde persoonsgegevens bij het testen van informatiesystemen;

  • Laat Functioneel Beheer toezien op correct en geautoriseerd gebruik van de IV;

  • Betrek ook de externe leveranciers van informatieystemen bewust bij het beveiligingsbeleid;

  • Zorg voor een strikt beleid m.b.t. het verwerken van persoonsgegevens;

  • Inventariseer contracten van bewerkers en zorg dat die waar nodig worden aangepast;

  • Zorg voor een procedure waaruit duidelijk blijkt hoe te handelen bij datalekken (wie-doet-wat).

Aan de hand van deze checklist kunt u nagaan hoe u ervoor staat en wat u nog te doen heeft. Hou er rekening mee dat ook hier geldt dat de grootste risico’s optreden bij de zwakste schakel in de keten. Heeft u aanvullingen of opmerkingen bij deze blog dan kunt u deze hieronder kwijt.

 

Update 3-12-2015

Als gevolg van de aanscherping van de Wet op Bescherming Persoonsgegevens staan er forse veranderingen op stapel. Maar de vraag op wie die meldplicht nu exact rust, is nog onbeantwoord gebleven. Het antwoord is ogenschijnlijk simpel. De meldplicht rust namelijk op de ‘verantwoordelijke’: degene die de beslissing neemt over het doel en middelen van de verweking van de gegevens. Om mogelijke problemen voor te zijn, is het van het grootste belang om in een zgn. "bewerkersovereenkomst" hierover al een duidelijke contractuele verplichting op te nemen. Een voorbeeld van deze overeenkomst vind je hier: Download de bewerkersovereenkomst hier (Word-formaat).