Meldplicht Datalekken 2016

Waarom is Meldplicht Datalekken vanaf 1 januari 2016 opeens spannend?

  • Boete was max. €4.500 en is na 1 januari 2016 max. €810.000 of 10% van omzet (datgene wat hoger is).
  • Bestuurder hoofdelijk aansprakelijk.
  • Onvoldoende heldere afspraken in de keten lijdt tot escalatie
  • Publieke Schandpaal
  • Omgekeerde bewijslast

Persoonsgegevens zijn elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Lekken van persoonsgegevens wil niemand. Dit leidt immers direct tot reputatieschade en vertrouwensverlies. Zaken waar niemand op zit te wachten. Met de Meldplicht Datalekken die van start is gegaan 1 januari 2016 loopt Nederland voorop in het beschermen van de privacy van haar burgers. Maar wat betekent dat? Concreet heeft deze wet tot gevolg dat er melding gedaan moet worden van een datalek aan de Autoriteit Persoonsgegevens, ongeacht of er nu wel of geen passende technische en organisatorische maatregelen zijn getroffen.

De wet is van toepassing op organisaties die directe en indirecte persoonsgegevens verwerken. Directe persoonsgegevens zijn bijvoorbeeld; naam, e-mailadres en postcode + huisnummer. Bij indirecte persoonsgegevens kunt u denken aan; Sofinummer, kentekens, IP-adres, foto’s, mobiel telefoonnummer etc.

U verwerkt persoonsgegevens in de ogen van de wet bij elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

De Verantwoordelijke loopt risico op de boete. De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Een paar opvallende kenmerken van de Meldplicht Datalekken en de rol van ISSP.

Bestuurder hoofdelijk aansprakelijk

Bestuurders kunnen ultiem hoofdelijk aansprakelijk worden gesteld. De bestuursrechtelijke boetes zijn niet over te dragen op bijvoorbeeld verzekeringsmaatschappijen (let op, de kosten ten gevolge van datalekken zijn wel te verzekeren). Hierdoor is er grote behoefte aan formeel bewijs dat er constant en adequaat is geanticipeerd op het continu veranderende dreigingsniveau en aan bewijs dat passende technische en organisatorische maatregelen hun werk deden. Er spelen vragen als: verwerken wij persoonsgegevens, beschermen wij die voldoende, hebben we alles procedureel en organisatorisch goed ingeregeld, welke logfiles (of details uit logfiles) moeten er eigenlijk bewaard blijven? Hoe krijg ik frequent een overzichtelijke rapportage?

ISSP legt de verbinding tussen IT, de beveiligingsafdeling en de bestuurskamer. Wij helpen u het risico in kaart te brengen en tot een voor u acceptabel niveau terug te brengen.

Onvoldoende heldere afspraken in de keten lijdt tot escalatie

Iedereen kan een melding doen van het lekken van persoonsgegevens. Een datalek ergens bij één van de ketenpartners (bijvoorbeeld cloud leverancier) resulteert zeer waarschijnlijk in civielrechtelijke procedures tussen bewerkers onderling of tussen bewerker en verantwoordelijke. Eén beveiligingsniveau en beveiligingsbeleid in de gehele keten is noodzakelijk en resulteert in transparantie, kostenoptimalisatie en vermindert risico. Maar hoe toont u aan dat uw dienstverlener het noodzakelijke beveiligingsbeleid echt uitvoert? Voor 1 januari 2016 was het voldoende dat uw ketenpartner een verklaring overhandigde (tell me), maar nu eist de rechter bewijs dat gevoerd beleid echt is uitgevoerd (show me).

De inzet van de ISSP Datalek Scan in de keten maakt dat ketenpartners dezelfde terminologie en rapportages gebruiken. Dit verkleint de ruimte voor interpretatieverschillen en stimuleert het optimaliseren van escalatie processen.

Publieke schandpaal

“Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).”

Samen proberen we vooral datalekken te voorkomen. Indien er toch sprake is van een (mogelijk) datalek is het van groot belang dat snel aangetoond kan worden dat er ten tijde van het datalek passende technische en organisatorische maatregelen waren getroffen.

Omgekeerde bewijslast

Datalekken zonder melding kunnen flink worden bestraft. De sanctie (mogelijk na een bindende aanwijzing) zal eerst worden opgelegd en vervolgens moet de verantwoordelijke aantonen dat passende technische en organisatorische maatregelen waren getroffen. Het is hierbij niet relevant of de datalekkage is ontstaan in de eigen organisatie of in de organisatie van de bewerker. Reputatieschade, vertrouwensverlies en ingewikkelde procedures liggen op de loer.

ISSP helpt IT-management en bestuurders bij het aantonen dat er continue passende technische en organisatorische maatregelen zijn ingezet. ISSP levert daarvoor diensten en oplossingen in alle vier de fases van de informatiebeveiligingscyclus (ISMS in ISO27001/2). Alle diensten worden na een intake gesprek op maat voor uw organisatie gemaakt. Zo voorkomt ISSP verspilling van tijd, geld en aandacht.