Kennis, tips en trivia over de wereld van ICT en applicatieontwikkeling.

Wij zoeken jou!

Als fullstack PHP ontwikkelaar aan de slag?

Vacatures >

Meldplicht datalekken

Wetgeving


Ron Aarnink

“Sinds 1 januari geldt de nieuwe meldplicht datalekken. Als u met persoonsgegevens werkt, moet u deze beveiligen tegen verlies en onrechtmatig gebruik.”

Een datalek moet u zowel aan de Autoriteit Persoonsgegevens als aan de betrokkenen (de mensen van wie de gegevens zijn gelekt) melden. Niet in alle gevallen, maar wel als het lek ‘waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer’. Denk aan fraude, diefstal of aantasting van iemands goede naam.

 Hoe voorkomt u een datalek in uw bedrijf?

Het voorkomen van een datalek begint met bewustwording. Niet alleen bij iedereen binnen uw organisatie, maar ook bij externe partijen waar u gegevens mee deelt. Bijvoorbeeld uw ICT partner of Google analytics partner; bedrijven die vaak toegang hebben tot uw (klant)gegevens. Na deze bewustwording zet u de volgende stappen:

  • Analyseer de gegevens in uw bezit.
    Om welke gegevens gaat het, waar staan ze opgeslagen, hoe krijgt u toegang en wie heeft er nog meer toegang?

  • Breng mogelijke risico’s in kaart.
    Zoals diefstal van apparatuur waar klantgegevens op staan, het verliezen van datadragers (USB-sticks, externe harddrive), of hackers die zich toegang willen verschaffen tot uw datastorage of webshop. Zelfs het printen van een debiteurenlijst en in de papierbak gooien, kan tot een lek leiden.

  • Stel een duidelijk beleid op om risico’s te minimaliseren.
    In dit beleid kunt u regels opnemen voor het gebruik van datadragers en van een papierversnipperaar, voor het periodiek updaten van software en het uitvoeren van beveiligingsscans. In de praktijk betekent dit vaak het aanpassen van bepaalde processen binnen uw organisatie.

  • Handhaaf het beleid.
    Help uw medewerkers eerst om zich de nieuwe werkwijzen eigen te maken en zorg dat het belang breed in de organisatie wordt gedeeld. Voer dan periodiek controles uit om het beleid top of mind te houden.

 Zelfs met uitstekende voorzorgsmaatregelen is een datalek niet uit te sluiten. Maak dus ook een draaiboek voor het geval er een datalek wordt gevonden. Dan weet iedereen wat er moet gebeuren en kunt u snel en effectief handelen.

Wat is een datalek precies?

We spreken van een datalek als persoonsgegevens zijn blootgesteld aan verlies of onrechtmatig gebruik. Bijvoorbeeld: een kwijtgeraakte USB stick, gestolen apparatuur, inbraak door een hacker, malware (een virus) of een brand. Is er alleen sprake van een zwakke plek in de beveiliging, dan is dat geen datalek, maar een beveiligingslek.

Hoe weet ik of ik een datalek heb?

U wordt verondersteld dat te weten, al is dat in de praktijk niet altijd haalbaar. Toch: de wet eist dat bedrijven bewust met hun gegevens omgaan, de risico’s en gevolgen van datalekken kennen en er alles aan doen om datalekken te voorkomen. Door zowel technische als organisatorische maatregelen te treffen.

Wat zijn de gevolgen van een datalek?

De exacte gevolgen van een lek verschillen per situatie. De Autoriteit Persoonsgegevens kan u een boete opleggen van (in het uiterste geval) € 820.000 bij overtreding en/of nalatigheid. Daarnaast is het mogelijk dat:

  • De Autoriteit Persoonsgegevens een onderzoek instelt.
  • Uw bedrijf reputatieschade leidt, met omzet- en/of klantverlies tot gevolg.
  • Slachtoffers van het datalek een claim tegen u indienen.
  • U het slachtoffer wordt van afpersing.

Kan ik mijn bedrijf tegen een datalek verzekeren?

U kunt zich uiteraard verzekeren tegen de gevolgen van datalekken, zoals een schadeclaim. Maar deze verzekeringen zijn vaak duur en stellen ook zeker eisen aan uw beleid en het naleven hiervan. Bovendien zijn immateriële zaken, zoals reputatieschade, niet gedekt.

Ik heb een datalek, wat nu?

Zodra u een datalek ontdekt moet u het lek dichten en achterhalen welke gegevens zijn gelekt. Afhankelijk van de ernst dient u het lek binnen 24 uur te melden bij de Autoriteit Persoonsgegevens, en eventueel bij de betrokkenen. Zo kunnen betrokkenen hun eigen maatregelen treffen om erger te voorkomen, zoals het veranderen van wachtwoorden. Om te beslissen of de meldplicht voor u geldt, maakt u een aantal afwegingen.

Waarmee kan Netzozeker u helpen?

Wij verkleinen het risico op een datalek voor onze klanten. Dat doen we onder meer door periodiek en proactief uw ICT-omgeving en/of (web)applicaties te updaten, en/of te scannen op mogelijke beveiligingslekken. We bekijken per bedrijf welke voorzorgsmaatregelen er allemaal mogelijk zijn.

Neem contact op voor de beste beveiligingsmaatregelen voor uw bedrijf >