Share on print
Share on facebook
Share on linkedin
Share on twitter
Sinds 1 januari 2016 is de meldplicht datalekken van kracht, een uitbreiding op de Wet bescherming persoonsgegevens (Wbp). Deze meldplicht stelt het voor organisaties verplicht om een (vermeend) datalek direct te melden bij de Autoriteit Persoonsgegevens. Laat je dit na, dan loop je het risico dat er een forse boete volgt. Het kan dus geen kwaad om na te gaan of je overal aan hebt gedacht en ervoor hebt gezorgd dat de privacygevoelige data in je bedrijf veilig zijn. Een checklist.

1.    Welke gegevens worden er in je organisatie verwerkt en hoe zijn die beschermd?
Stel vast welke typen persoonsgegevens worden verwerkt. Breng in kaart welke beveiliging van toepassing is op deze data. Niet alleen is encryptie een belangrijke vorm van bescherming, de meldplicht datalekken verlangt ook dat privacygevoelige gegevens aantoonbaar beschermd zijn. Zorg dus voor de juiste rapportagetools.

2.    Werk je samen met andere partijen voor de verwerking van persoonsgegevens?
Als je met andere leveranciers of partners werkt voor de verwerking van privacygevoelige gegevens, is het noodzakelijk heldere afspraken te maken. Deze afspraken kun je regelen in een zogenaamde bewerkersovereenkomst. Daarin moeten afspraken staan ten aanzien van de meldplicht datalekken en wie wanneer aansprakelijk is in het geval van een datalek.

3.    Weten je medewerkers hoe ze met privacygevoelige data moeten omgaan?
In vrijwel ieder beveiligingsscenario is de mens de zwakste schakel. Het is noodzakelijk dat medewerkers training krijgen in hoe zij omgaan met persoonsgegevens, hoe ze deze data versturen en met wie ze ze delen. Belangrijk is ook de naleving van deze procedures. Mocht het onverhoopt toch misgaan, dan is het cruciaal dat medewerkers weten hoe ze moeten handelen. Een protocol opstellen voor het geval er een datalek ontstaat, is geen overbodige luxe.

4.    Weet je wanneer je een datalek moet melden?
De Autoriteit Persoonsgegevens heeft conceptrichtsnoeren opgesteld voor de meldplicht datalekken. Deze richtsnoeren helpen organisaties te bepalen of er sprake is van een datalek dat ze moeten melden aan de toezichthouder en eventueel aan betrokkenen.

5.    Zijn er interne en externe controles gepland?
Het verdient aanbeveling je organisatie en de verwerking van persoonsgegevens geregeld aan controles te onderwerpen. Dat zou zowel vanuit de eigen organisatie moeten gebeuren als door externe partijen, zoals bewerkers. Degenen die controleren moeten bekijken of medewerkers in de organisatie de afspraken in de bewerkersovereenkomst en de eisen omtrent de meldplicht datalekken voldoende naleven. Om helemaal zeker te zijn kun je alvast een persoon aanstellen die verantwoordelijk is voor privacyzaken: een zogenoemde functionaris gegevensbescherming. Deze functionaris zal voor veel organisaties in de Europese wetgeving van 2018 verplicht worden.

Pieter Lacroix is managing director bij Sophos Nederland.

Lees ook…