Wat te doen bij datalekken?

Wat te doen bij datalekken?

Al meer dan een jaar geleden is in Nederland de meldplicht van datalekken ingegaan. Dit houdt in dat wanneer er een datalek wordt geconstateerd, je verplicht bent om binnen 72 uur een melding te doen aan de Autoriteit Persoonsgegevens. Het is nog niet voor iedereen duidelijk wat precies wordt gezien als een datalek en wanneer dit moet worden gemeld. Dat gaan wij met dit bericht duidelijker maken!

Wat moet je als bedrijf doen?

Als eerst moet er gezegd worden dat er verwarring is tussen wat een beveiligingslek is en een datalek. Een beveiligingslek kan namelijk een gevonden omweg zijn, om zo toegang te krijgen tot afgeschermde data. Er wordt pas gesproken over een datalek wanneer de data daadwerkelijk in handen komt bij externe partijen die deze niet mogen inzien. Dit kan bijvoorbeeld komen, wanneer je een usb-stick kwijtraakt, of als een bedrijfslaptop met informatie wordt gestolen.

In principe hoeft niet elke datalek gemeld te worden. Je moet hier rekening houden met een aantal criteria die wel een meldnoodzaak hebben. Deze zijn onder andere:

  • Bijzondere persoonsgegevens zoals: godsdienst, ras, politieke gezindheid, gezondheid, seksuele achtergrond, lidmaatschap van een vakvereniging of strafrechtelijke persoonsgegevens.
  • Gegevens over de financiële of economische situatie van een betrokkene.
  • Gegevens die een negatief invloed kunnen hebben op iemand zijn zakelijk- of privéleven wanneer die openbaar wordt gemaakt.
  • Gebruikersnamen, wachtwoorden en andere inloggegevens.
  • Gegevens die kunnen worden misbruikt voor fraude, zoals een kopie van een ID of het burgerservicenummer.

Als er is geconstateerd dat de bovenstaande gegevens mogelijk in handen zijn van een onbevoegde partij, dan ben je wettelijk gezien verplicht om binnen 72 uur een melding hiervan  te doen.

Het is niet altijd noodzakelijk om de betrokkene op de hoogte te stellen van de lek. Dit is wel verplicht wanneer de gelekte informatie ongunstige gevolgen kan hebben voor zijn persoonlijke omstandigheden, wanneer dit op straat terecht komt.

Bij overtreding van de meldplicht, kan er een bestuurlijke boete worden opgelegd. Dit kan oplopen tot maximaal 820.000 euro. Dit wordt in de meeste gevallen bepaald na een onderzoek.

Hoe gaat PSIS met jouw datalekken om?

Afhankelijk van de diensten die worden afgenomen bij PSIS, zijn wij gedeeltelijk verantwoordelijk voor het melden van datalekken. Volgens de wet worden wij echter gezien als een “bewerker”. Dit wil zeggen dat wij niet hoofdverantwoordelijk zijn voor het melden van de datalek.

PSIS zal in alle gevallen de risico op veiligheidslekken zo klein mogelijk houden binnen de eigen services. Wanneer PSIS een datalek constateert, zal er overwogen worden of dit gemeld moet worden door de verantwoordelijke partij of dat wij hier zelf op zullen acteren. Ten alle tijden melden wij het gevonden lek aan onze klant en bespreken we gezamenlijk  de vervolgstappen.

Naast het leveren van producten en diensten, is het mogelijk om een veiligheidsconsult aan te vragen om niet alleen binnen je kantoor, maar ook veiligheidsincidenten te voorkomen in de cloud. De mogelijkheden kan je vrijblijvend vragen aan een van onze medewerkers.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

© 2016 PSIS B.V.