Sinds 1 januari van dit jaar geldt er een meldplicht voor datalekken. Dit houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens wanneer zij een ernstig datalek hebben. Soms moet dit ook gemeld worden aan de betrokkenen, de mensen van wie de persoonsgegevens gelekt zijn.
Wat is een datalek?
Volgens de Autoriteit Persoonsgegevens gaat het bij een datalek om ’toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens’. Vaak is dit een gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden (gehackt, verloren USB-stick, verkeerd geadresseerde mail, afgedankte maar niet opgeschoonde computers etc.) maar ook een gestolen geprinte klantenlijst kan een datalek vormen.
Wanneer melden?
Volgens de Autoriteit Persoonsgegevens (AP) moet een datalek alleen gemeld worden wanneer het leidt tot mogelijke nadelige gevolgen voor de geregistreerden die door het lek getroffen zijn. Dit kan per situatie verschillen. Van een datalek is niet alleen sprake als door kwaadwillenden in uw systeem is ingebroken. Ook het verlies van persoonsgegevens, onrechtmatige verwerkingen en zelfs onbevoegde kennisname van gegevens vallen onder het begrip datalek. De AP werkt aan specifieke richtlijnen waarmee wordt aangegeven onder welke omstandigheden u een datalek moet melden.
Als uw organisatie wordt getroffen door een datalek en dit mogelijke nadelige gevolgen heeft voor de geregistreerden, dan moet u het lek binnen twee werkdagen melden bij de AP. Bovendien moet u in bepaalde gevallen de geregistreerden over het datalek informeren. Dit zijn de personen waarvan de gegevens zijn gelekt. Of u de geregistreerden moet informeren, hangt af van de ernst van uw lek.
Boete
Meldt u het lek niet binnen de gestelde termijn bij de Autoriteit Persoonsgegevens en informeert u de geregistreerden niet over het lek? Dan kunt u hiervoor een boete krijgen die kan oplopen tot maximaal € 810.000 of 10% van uw omzet. Het is dus van groot belang dat u uw informatie goed beveiligt.
ISO 270001 helpt u op weg!
De wereld digitaliseert in rap tempo. Bedrijven worden steeds afhankelijker van hun informatie- en communicatiesystemen. Eenvoud, snelheid en efficiency zijn veelgehoorde argumenten. Maar wat als uw vertrouwelijke klant- en bedrijfsgegevens zomaar op straat komen te liggen? Door inbraak op uw bedrijfsnetwerk of omdat een van uw medewerkers zo’n welbekende USB-stick vol met klantgegevens is verloren? Het is daarom belangrijk dat u als organisatie een betrouwbare methodiek heeft om met dergelijke (vertrouwelijke) informatie om te gaan. ISO 27001 biedt een goede basis voor het op orde krijgen van de informatiebeveiliging. Conformiso ontzorgt u volledig bij de implementatie hiervan.