Per 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit geeft veel organisaties de nodige actiepunten. Heeft u nog geen voorbereidingen getroffen of nog helemaal niet van de meldplicht gehoord? Dan is het de hoogste tijd om aan de slag te gaan.
Allereerst is het natuurlijk de vraag of de meldplicht op jouw organisatie van toepassing is. In de basis geldt: als voor of door jouw organisatie persoonsgegevens worden verwerkt in Nederland, dan geldt de meldplicht voor jou als je daarbij de zogenaamde verantwoordelijke bent. Dat ben je als je het doel van de verwerking en/of de middelen ervoor hebt bepaald.
Onder het verwerken van persoonsgegevens verstaan we elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Kortom, de meldplicht is vrij algemeen van aard en de kans is groot dat deze ook op jouw organisatie van toepassing is.
Bij een datalek denken we vaak aan het ongewenst openbaar worden van vertrouwelijke gegevens. Maar de wet hanteert een veel bredere definitie. Wettelijk ben je verplicht om 'verlies of onrechtmatige verwerking' van persoonsgegevens te voorkomen met passende technische en organisatorische maatregelen. Een datalek is dus een incident waarbij de bescherming van persoonsgegevens is doorbroken en waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dat kan van alles zijn: van het 'op straat belanden' tot het per ongeluk deleten van een belangrijk overzicht met persoonsgegevens, zonder dat er een reservekopie van het bestand is.
Of het betreffende datalek ook daadwerkelijk aan het CBP en de betrokkenen gemeld moet worden, hangt af van diverse factoren. De belangrijkste afweging is of er ernstige nadelige gevolgen voor de betrokkenen te verwachten zijn. Een nadere toelichting op wat een datalek is en wanneer en hoe je een lek moet melden, geeft het CBP in speciale beleidsregels rond de meldplicht.
Het niet nakomen van de meldplicht kan leiden tot hoge boetes. Hiertoe is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. De maximale boete is 820.000 euro. Hieronder geef ik vijf concrete stappen die je kunt zetten om te voldoen aan de Meldplicht. Voorkom boetes: zorg dat je voorbereid bent!
Zicht op informatiestromen
Allereerst wil je zicht hebben op de diverse persoonsgegevens die jouw organisatie gebruikt. Hierbij is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kan dus van alles zijn. Persoonlijke gegevens als naam, adres of gezondheid, bijvoorbeeld, maar ook minder voor de hand liggende informatie als het kenteken van een auto. Breng deze informatie in kaart en maak er een duidelijk overzicht van. Het is verstandig de gegevens ook meteen te classificeren op de eisen rondom vertrouwelijkheid, integriteit en beschikbaarheid.
Toets de passende beveiliging
De Wbp stelt dat persoonsgegevens beveiligd moeten zijn met passende technische en organisatorische maatregelen. Passend betekent onder andere dat de betreffende beveiligingsmaatregelen zijn gebaseerd op een gedegen risicoanalyse. Vraag je security officer hoe de beveiliging is ingericht. Heb je (nog) geen security officer dan kun je quickscan uitvoeren, eventueel aangevuld met specifieke tests die de kwetsbaarheid van de gegevens in kaart brengen. Meer weten over passende beveiligingsmaatregelen? Zie ook de richtsnoeren voor de beveiliging van persoonsgegevensvan het CBP.
Stel een meldingsprotocol op
De meldplicht vraagt om een protocol waarin staat wie welke taak en verantwoordelijkheid heeft in het meldingsproces. Wie beoordeelt de aard van een datalek en de impact ervan? Is dat ook degene die uiteindelijk beslist om wel of niet tot melding aan het CBP over te gaan? En waar wordt dit geregistreerd? Zorg bij voorkeur dat het protocol aansluit bij het bestaande incidentmanagementproces.
Informeer medewerkers
Een belangrijke stap is het informeren van de medewerkers. Het is namelijk belangrijk dat er geen datalekken gemist worden. Individuele medewerkers moeten datalekken kunnen herkennen en weten wat de te nemen stappen zijn. Dit vraagt om heldere instructies.
Maak afspraken met bewerkers
Ook de rol van eventuele bewerkers buiten je organisatie moet aandacht krijgen. Een bewerker verwerkt persoonsgegevens voor de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website die persoonsgegevens verwerkt. Het is belangrijk dat deze bewerker jou als verantwoordelijke in staat stelt om aan de meldplicht te voldoen. Dat wil zeggen dat ook de bewerker passende beveiligingsmaatregelen moet treffen en jou in geval van een datalek tijdig informeert.
Met deze activiteiten zijn vijf belangrijke stappen om te voldoen aan de meldplicht gezet. Maar uiteraard begint daarna pas de praktijk van het melden. En vergeet niet: voorkomen is beter dan melden!
Goed stuk, en relevante stappen genoemd.
Het probleem bij veel organisaties begint overigens al bij het vaststellen hoe groot het probleem eigenlijk is. Of anders gezegd, als het over privacy lekken gaat, “heb ik grip op mijn data, en dan in het bijzonder PII (Personally Identifiable Information). In de mailbox van iedere manager is nog wel een verdwaalde kopie paspoort te vinden van een sollicitant van 3 jaar geleden, die het uiteindelijk niet geworden is. Of CV’s van interessante kandidaten? Om te zwijgen over onbeheerde mailboxen van mensen die er niet meer werken, afdelingsservers, desktops, data ligt overal… Als je data hebt, kan je het verliezen.
Denk eens aan onderzoek door je ongestructureerde data om je probleem in beeld te krijgen. eDiscovery software kan daar zeer goed bij helpen. Of je probleem zich nu binnen de muren bevindt, of in de Azure cloud. http://www.zylab.com/nl/over/persberichten/id/234/zylab-eerste-ediscovery-leverancier-op-microsoft-azure-platform#.Vmq8CWY1iM8
Ik denk dat aan bovenstaande stappen twee vragen aan vooraf gaan. Zonder een correct antwoord op deze vragen zijn de genoemde stappen overbodig. De vragen, die de verantwoordelijke zich moet stellen, zijn: Heb ik het recht om deze gegevens te verzamelen; voor welk doel worden ze verzameld; en tenslotte, verzamel ik niet meer dan strikt noodzakelijk. Twee vragen om dit helder te maken.
Valt de verwerking van de ledenlijst (NAW, email, telefoon) van de volleybalvereniging onder de meldplicht bij verlies etc?
Valt het verslag dat de fysiotherapeut bijhoudt over jouw vorderingen onder de meldplicht bij verlies?
ben benieuwd naar de antwoorden.
Lees ook