woensdag 2 december 2015

1 januari 2016, ‘meldplicht datalekken’ van kracht….. ja, en?

 

Vanaf 1 januari 2016 wordt de nieuwe wet “meldplicht bij datalekken” van kracht. Beter gezegd, het is een verscherping van een bestaande wet; “Wet bescherming persoonsgegevens” (Wbp).

 

In de komende weken zullen wij via dit blog meer informatie geven over de wet en de gevolgen voor iedereen die persoonsgegevens verwerkt.

 

Dit is denk ik niet voor mij van belang, toch?

Einde van de werkdag en niet al het werk gereed. We doen thuis nog wel even iets. Hup, bestanden op een USB stick, laptop dicht en naar huis. En bij thuiskomst blijkt dat dit kleine USB dingetje, wat toch echt in de broekzak zat, om duistere reden ergens onderweg is verdwenen. Herkenbaar? En dan bedoel ik uiteraard niet de verloren USB stick van een of ander ministerie die het nieuws haalt.
Wist u trouwens hoeveel bedrijfsdata en persoonsgegevens tegenwoordig een telefoon of een tablet bevat? Hoeveel (privé) mobiele apparatuur gebruikt u?

 

Vanaf 1 januari 2016 wordt de nieuwe wet “meldplicht bij datalekken” van kracht. Beter gezegd, het is een verscherping van een bestaande wet; “ Wet bescherming persoonsgegevens” (Wbp).

 

En dat maakt meteen dat de meldplicht iedereen aangaat die verantwoordelijk is voor de verwerking van persoonsgegevens en waarop de Wbp betrekking heeft. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Waar staat u met het nemen van maatregelen?

 

U verwerkt persoonsgegevens? U bent verantwoordelijk? Wbp is van toepassing?
Alleen een goede firewall (aanwezig toch?) als bescherming voor uw datanetwerk is niet voldoende. Er zal ook worden gekeken naar andere (fysieke) maatregelen zoals encryptie. Ook zal er een duidelijk beleid moeten zijn.

 

Beleid op orde en voldoende maatregelen getroffen? Top! Verrassend is echter dat diverse recente onderzoeken uitwijzen dat deze wetswijziging, die best ingrijpend kan zijn, onderbelicht is in de communicatie vanuit de rijksoverheid.

 

Veel verantwoordelijken zijn niet op de hoogte van deze wijziging. Of ze hebben er wel van gehoord maar zijn niet bekend met de inhoudelijke betekenis en welke eventuele maatregelen genomen moeten worden.

 

In veel gevallen is ook onbekend welke consequenties het niet treffen van maatregelen voor u als verantwoordelijke, voor uw onderneming of voor betrokken personen heeft.

 

Dus toch ook voor mij van belang. Wat houdt de nieuwe wetswijziging op de Wbp in?

Met de aanscherping van de Wbp moet bereikt worden dat persoonsgegevens (en data in algemeen) beter wordt beveiligd en zorgvuldig(er) wordt behandeld.

1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.

2. Bij een data lek van persoonsgegevens met mogelijk grote gevolgen moeten alle betrokkenen inclusief het CBP geïnformeerd worden.
3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen.

 

In ieder geval goed om te weten.

– Bent u al meldplichtig via de wet op de telecommunicatie (openbare voorzieningen als GSM/telefonie, internet, publieke netwerken, email) als geregistreerde bij het ACM (Autoriteit Consument en Markt)? Dan is er al een beperkte datameldplicht van toepassing. Deze meldplicht blijft van kracht maar moet vanaf 1 januari worden gedaan bij CBP.

– Niet geregistreerd zijn bij het ACM betekend niet per definitie dat er geen meldplicht is.

– Het is de verantwoordelijke verplicht een logboek bij te houden van (mogelijke) datalekken.

– Er moet naast fysieke beveiliging (zoals firewalls, encryptie, antivirus) een duidelijk beleid zijn opgesteld binnen de organisatie van de verantwoordelijke.

– De meldplicht is van toepassing op alle zaken waarop de (Nederlandse) Wet bescherming persoonsgegevens betrekking heeft. Een Frans bedrijf (verantwoordelijke) die zijn persoonsgegevens in Nederland laat verwerken is dus niet gehouden aan de meldplicht. Een Nederlands bedrijf dat zijn gegevens door een Duitse verwerker laat behandelen dus wel.

– Wist u dat betrokken personen (die van de persoonsgegevens) zelf ook melding mogen doen als ze een datalek vermoeden?

 

In het volgende blog zullen we verder ingaan op deze punten.

 

Wat moet ik doen?
Bij een eventueel incident zal altijd gekeken worden naar de genomen maatregelen zoals die actief zijn op het moment van het incident. De maatregelen die worden genomen na een incident zijn niet (of indirect) van toepassing bij de beoordeling. Het is dus zaak om te zorgen voor adequate beveiliging en beleid. De informatie op het internet is veel en versnipperd. Richtsnoeren van het CBP: https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf

 

Wat kunnen wij voor u doen?

Itass heeft de expertise in huis om u te helpen met informatiebeleid en informatiebeveiliging. Wij kunnen u op strategisch niveau adviseren maar ook functioneel en operationeel ondersteunen. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Voor meer informatie of een geheel vrijblijvende afspraak kunt u contact opnemen via 088-8880700 of per e-mail info@itass.nl.

 

 

Richard Pruim, business manager