Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Meldplicht Datalekken: 5 concrete stappen

10 december 2015 - 10:515 minuten leestijdOpinieSecurity & Awareness
Gerard Stroeve
Gerard Stroeve

Per 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit geeft veel organisaties de nodige actiepunten. Heeft u nog geen voorbereidingen getroffen of nog helemaal niet van de meldplicht gehoord? Dan is het de hoogste tijd om aan de slag te gaan.

Wat is die meldplicht precies? Op zijn website schrijft het College bescherming persoonsgegevens (CBP): ‘Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het CBP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).’

Van toepassing?

Allereerst is het natuurlijk de vraag of de meldplicht op jouw organisatie van toepassing is. In de basis geldt: als voor of door jouw organisatie persoonsgegevens worden verwerkt in Nederland, dan geldt de meldplicht voor jou als je daarbij de zogenaamde verantwoordelijke bent. Dat ben je als je het doel van de verwerking en/of de middelen ervoor hebt bepaald.

Onder het verwerken van persoonsgegevens verstaan we elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Kortom, de meldplicht is vrij algemeen van aard en de kans is groot dat deze ook op jouw organisatie van toepassing is.

Wat is een datalek?

Bij een datalek denken we vaak aan het ongewenst openbaar worden van vertrouwelijke gegevens. Maar de wet hanteert een veel bredere definitie. Wettelijk ben je verplicht om ‘verlies of onrechtmatige verwerking’ van persoonsgegevens te voorkomen met passende technische en organisatorische maatregelen. Een datalek is dus een incident waarbij de bescherming van persoonsgegevens is doorbroken en waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dat kan van alles zijn: van het ‘op straat belanden’ tot het per ongeluk deleten van een belangrijk overzicht met persoonsgegevens, zonder dat er een reservekopie van het bestand is.

Of het betreffende datalek ook daadwerkelijk aan het CBP en de betrokkenen gemeld moet worden, hangt af van diverse factoren. De belangrijkste afweging is of er ernstige nadelige gevolgen voor de betrokkenen te verwachten zijn. Een nadere toelichting op wat een datalek is en wanneer en hoe je een lek moet melden, geeft het CBP in speciale beleidsregels rond de meldplicht. 

Hoe voldoet u aan de meldplicht?

Het niet nakomen van de meldplicht kan leiden tot hoge boetes. Hiertoe is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. De maximale boete is 820.000 euro. Hieronder geef ik vijf concrete stappen die je kunt zetten om te voldoen aan de Meldplicht. Voorkom boetes: zorg dat je voorbereid bent!

Zicht op informatiestromen
Allereerst wil je zicht hebben op de diverse persoonsgegevens die jouw organisatie gebruikt. Hierbij is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kan dus van alles zijn. Persoonlijke gegevens als naam, adres of gezondheid, bijvoorbeeld, maar ook minder voor de hand liggende informatie als het kenteken van een auto. Breng deze informatie in kaart en maak er een duidelijk overzicht van. Het is verstandig de gegevens ook meteen te classificeren op de eisen rondom vertrouwelijkheid, integriteit en beschikbaarheid.  

Toets de passende beveiliging
De Wbp stelt dat persoonsgegevens beveiligd moeten zijn met passende technische en organisatorische maatregelen. Passend betekent onder andere dat de betreffende beveiligingsmaatregelen zijn gebaseerd op een gedegen risicoanalyse. Vraag je security officer hoe de beveiliging is ingericht. Heb je (nog) geen security officer dan kun je quickscan uitvoeren, eventueel aangevuld met specifieke tests die de kwetsbaarheid van de gegevens in kaart brengen. Meer weten over passende beveiligingsmaatregelen? Zie ook de richtsnoeren voor de beveiliging van persoonsgegevensvan het CBP.

Stel een meldingsprotocol op
De meldplicht vraagt om een protocol waarin staat wie welke taak en verantwoordelijkheid heeft in het meldingsproces. Wie beoordeelt de aard van een datalek en de impact ervan? Is dat ook degene die uiteindelijk beslist om wel of niet tot melding aan het CBP over te gaan? En waar wordt dit geregistreerd? Zorg bij voorkeur dat het protocol aansluit bij het bestaande incidentmanagementproces.

Informeer medewerkers
Een belangrijke stap is het informeren van de medewerkers. Het is namelijk belangrijk dat er geen datalekken gemist worden. Individuele medewerkers moeten datalekken kunnen herkennen en weten wat de te nemen stappen zijn. Dit vraagt om heldere instructies.

Maak afspraken met bewerkers
Ook de rol van eventuele bewerkers buiten je organisatie moet aandacht krijgen. Een bewerker verwerkt persoonsgegevens voor de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website die persoonsgegevens verwerkt. Het is belangrijk dat deze bewerker jou als verantwoordelijke in staat stelt om aan de meldplicht te voldoen. Dat wil zeggen dat ook de bewerker passende beveiligingsmaatregelen moet treffen en jou in geval van een datalek tijdig informeert.

Stappen gezet

Met deze activiteiten zijn vijf belangrijke stappen om te voldoen aan de meldplicht gezet. Maar uiteraard begint daarna pas de praktijk van het melden. En vergeet niet: voorkomen is beter dan melden!

Meer over

Back-upHostingPrivacy

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    ActueelData & AI

    DDMA deelt gids ‘informeren over datalekken’

    ActueelInnovatie & Transformatie

    DHPA komt met bewerkersovereenkomst

    2 reacties op “Meldplicht Datalekken: 5 concrete stappen”

    1. Hans Willers schreef:
      11 december 2015 om 12:09

      Goed stuk, en relevante stappen genoemd.
      Het probleem bij veel organisaties begint overigens al bij het vaststellen hoe groot het probleem eigenlijk is. Of anders gezegd, als het over privacy lekken gaat, “heb ik grip op mijn data, en dan in het bijzonder PII (Personally Identifiable Information). In de mailbox van iedere manager is nog wel een verdwaalde kopie paspoort te vinden van een sollicitant van 3 jaar geleden, die het uiteindelijk niet geworden is. Of CV’s van interessante kandidaten? Om te zwijgen over onbeheerde mailboxen van mensen die er niet meer werken, afdelingsservers, desktops, data ligt overal… Als je data hebt, kan je het verliezen.
      Denk eens aan onderzoek door je ongestructureerde data om je probleem in beeld te krijgen. eDiscovery software kan daar zeer goed bij helpen. Of je probleem zich nu binnen de muren bevindt, of in de Azure cloud. http://www.zylab.com/nl/over/persberichten/id/234/zylab-eerste-ediscovery-leverancier-op-microsoft-azure-platform#.Vmq8CWY1iM8

      Login om te reageren
    2. Gé Iking schreef:
      11 december 2015 om 13:30

      Ik denk dat aan bovenstaande stappen twee vragen aan vooraf gaan. Zonder een correct antwoord op deze vragen zijn de genoemde stappen overbodig. De vragen, die de verantwoordelijke zich moet stellen, zijn: Heb ik het recht om deze gegevens te verzamelen; voor welk doel worden ze verzameld; en tenslotte, verzamel ik niet meer dan strikt noodzakelijk. Twee vragen om dit helder te maken.
      Valt de verwerking van de ledenlijst (NAW, email, telefoon) van de volleybalvereniging onder de meldplicht bij verlies etc?
      Valt het verslag dat de fysiotherapeut bijhoudt over jouw vorderingen onder de meldplicht bij verlies?
      ben benieuwd naar de antwoorden.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs