Wat moet je weten over de meldplicht datalekken 2016?
Meldplicht datalekken 2016 Wat moet ik er mee?
2013 Wetsvoorstel meldplicht datalekken naar de Tweede Kamer
In 2013 werd door Staatssecretaris Teeven van Veiligheid en Justitie het wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd. Dit wetsvoorstel had gevolgen voor zowel private als publieke organisaties. Wanneer deze organisaties persoonsgegevens verwerken worden ze verplicht om inbreuken op de veiligheid te melden. Het gaat hierbij om inbreuken zoals diefstal, verlies of het misbruik van deze persoonsgegevens.
Het ging niet alleen om aanbieders van elektronische communicatienetwerken en -diensten. Voor die organisaties was binnen de Telecommunicatiewet al een meldplicht opgenomen voor datalekken van abonnee of gebruikers gegevens. Doelstelling van deze wet was om te komen tot een betere bescherming van persoonsgegevens. Door beveiligingsfouten was het mogelijk dat grote hoeveelheden persoonsgegevens op straat kwamen te liggen. Als dat gebeurt dan zal de toezichthouder hiervan een melding ontvangen. Volgens de huidige wet wordt vervolgens ook de persoon waarvan gegevens zijn gelekt hiervan op de hoogste gesteld wanneer dit ongunstige gevolgen zal hebben voor diens levenssfeer. Mocht er vervolgens sprake van nalatigheid zijn ten aanzien van het melden van het incident dan kan men een boete krijgen.
Het College bescherming persoonsgegevens kan boetes opleggen van maximaal 450.000 euro.
2015, De Wet is aangenomen, wat zijn de regels?
Het College bescherming persoonsgegevens (CBP) heeft de regels voor de meldplicht datalekken bekendgemaakt
Organisaties moeten vanaf begin volgend jaar een ernstig datalek meteen meedelen aan het CPB. Het college krijgt ook een nieuwe naam: Autoriteit Persoonsgegevens. De beleidsregels ondersteunen organisaties bij het vaststellen of het gaat om een datalek waarvan ze melding moeten maken bij de Autoriteit Persoonsgegevens. Soms moet een datalek ook worden gecommuniceerd aan de personen waarvan gegevens zijn gelekt.
Ernstige nadelige gevolgen
De wet zegt dat er melding moet worden gedaan als het datalek “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Degenen over wie gegevens zijn gelekt, dienen hiervan op de hoogte te worden gebracht als het datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor de persoonlijke levenssfeer van de betrokkenen.
Boete tot 820.000 euro
De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen. De boete die opgelegd kan worden aan organisaties als ze een datalek niet melden terwijl ze dit wel hadden moeten doen, bedraagt maximaal 820.000 euro.
De Meldplicht Datalekken 2016 wat is de status nu
Autoriteit registreert 700 meldingen datalekken
Sinds de invoering van de meldplicht datalekken (1 januari 2016) zijn bij de Autoriteit Persoonsgegevens (AP) ongeveer zevenhonderd meldingen binnengekomen. Van die meldingen worden er ruim 450 nader bekeken. Ongeveer veertig zaken zijn in behandeling. In die gevallen heeft de autoriteit een onderzoek ingesteld.
Brandoefening
De hoop is dat bedrijven periodiek hun informatiebeveiligingsbeleid en de werking daarvan zullen testen zoals dat nu bijvoorbeeld gebruikelijk is bij een brandoefening. In plaats van brandveiligheid en procedures voor evacuatie moet dan de informatiebeveiliging worden gecontroleerd en worden nagegaan of processen voor informatiebeveiliging goed worden nageleefd.
Bron: Computable.nl
Wat is nu een datalek Anno 2016?
Wat is nu precies een datalek? De definitie van een datalek is een lastige vraag die vele bezig houdt. Is er sprake van een datalek wanneer door een menselijke fout een grote hoeveelheid klantdata op straat kom te liggen? Of als er ergens in een computer systeem iets wordt ontdekt waar ‘wellicht misbruik van gemaakt zou kunnen worden’?
Feitelijk zijn beide voorbeelden datalekken. Sterker nog, het kwijt zijn van bijvoorbeeld een USB stick met daarop persoonlijke gegevens van bijvoorbeeld een aantal van je medewerkers wordt al gezien als datalek. De definitie van het CBP is als volgt:
“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.”
In praktijk moeten we denken aan onderstaande voorbeelden:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
- een malware-besmetting;
- een calamiteit zoals een brand in een datacentrum.
Meer informatie/bron : autoriteitpersoonsgegevens.nl