Checklist meldplicht datalekken

Sinds 1 januari 2016 is de meldplicht datalekken van kracht, een uitbreiding op de Wet bescherming persoonsgegevens (Wbp). Deze meldplicht stelt het voor organisaties verplicht om een (vermeend) datalek direct te melden bij de Autoriteit Persoonsgegevens. Laat je dit na, dan loop je het risico dat er een forse boete volgt. Het kan dus geen kwaad om na te gaan of je overal aan hebt gedacht en ervoor hebt gezorgd dat de privacygevoelige data in je bedrijf veilig zijn. Een checklist.
Checklist meldplicht datalekken

1.    Welke gegevens worden er in je organisatie verwerkt en hoe zijn die beschermd?
Stel vast welke typen persoonsgegevens worden verwerkt. Breng in kaart welke beveiliging van toepassing is op deze data. Niet alleen is encryptie een belangrijke vorm van bescherming, de meldplicht datalekken verlangt ook dat privacygevoelige gegevens aantoonbaar beschermd zijn. Zorg dus voor de juiste rapportagetools.

2.    Werk je samen met andere partijen voor de verwerking van persoonsgegevens?
Als je met andere leveranciers of partners werkt voor de verwerking van privacygevoelige gegevens, is het noodzakelijk heldere afspraken te maken. Deze afspraken kun je regelen in een zogenaamde bewerkersovereenkomst. Daarin moeten afspraken staan ten aanzien van de meldplicht datalekken en wie wanneer aansprakelijk is in het geval van een datalek.

3.    Weten je medewerkers hoe ze met privacygevoelige data moeten omgaan?
In vrijwel ieder beveiligingsscenario is de mens de zwakste schakel. Het is noodzakelijk dat medewerkers training krijgen in hoe zij omgaan met persoonsgegevens, hoe ze deze data versturen en met wie ze ze delen. Belangrijk is ook de naleving van deze procedures. Mocht het onverhoopt toch misgaan, dan is het cruciaal dat medewerkers weten hoe ze moeten handelen. Een protocol opstellen voor het geval er een datalek ontstaat, is geen overbodige luxe.

4.    Weet je wanneer je een datalek moet melden?
De Autoriteit Persoonsgegevens heeft conceptrichtsnoeren opgesteld voor de meldplicht datalekken. Deze richtsnoeren helpen organisaties te bepalen of er sprake is van een datalek dat ze moeten melden aan de toezichthouder en eventueel aan betrokkenen.

5.    Zijn er interne en externe controles gepland?
Het verdient aanbeveling je organisatie en de verwerking van persoonsgegevens geregeld aan controles te onderwerpen. Dat zou zowel vanuit de eigen organisatie moeten gebeuren als door externe partijen, zoals bewerkers. Degenen die controleren moeten bekijken of medewerkers in de organisatie de afspraken in de bewerkersovereenkomst en de eisen omtrent de meldplicht datalekken voldoende naleven. Om helemaal zeker te zijn kun je alvast een persoon aanstellen die verantwoordelijk is voor privacyzaken: een zogenoemde functionaris gegevensbescherming. Deze functionaris zal voor veel organisaties in de Europese wetgeving van 2018 verplicht worden.

Pieter Lacroix is managing director bij Sophos Nederland.

Ga nu naar je mailbox

Je ontvangt een e-mailbericht met instructies om je registratie te bevestigen. Zonder de bevestiging wordt je registratie niet verwerkt.

Ook praktische tips in je mailbox?

Denk na over de toekomst van je bedrijf. Schrijf je in voor onze gratis nieuwsbrieven!

1
0

De Zaak website maakt gebruik van cookies.

We zijn verplicht om je toestemming te vragen voor het gebruik van cookies.

/disclaimer
Meer informatie
Ja, ik geef toestemming