Help, mijn Cloud is lek?
Op 1 januari 2016 treedt de EU Meldplicht Datalekken in werking. Maar wat houdt dit nu in, en wat zijn de gevolgen voor uw organisatie en hoe bereidt u zich hierop voor?
De meldplicht Datalekken (Data breach) is een toevoeging op de bestaande Wet Bescherming Persoonsgegevens (Belgische Privacy Wetgeving). Duidelijke regels over de omgang met persoonsgegevens zijn essentieel voor het ondernemersklimaat en het vertrouwen in ICT. Met een aantal nieuwe regels wil de overheid en de EU de gevolgen van een datalek zoveel mogelijk beperken. De nieuwe meldplicht Datalekken moet bijdragen aan het behoud van vertrouwen in de omgang met persoonsgegevens.
Houd zelf controle over je persoonsgegevens
Deze nieuwe meldplicht Datalekken bestaat uit twee delen
- Meldplicht voor inbreuken op de beveiliging: Dit deel van de wet verplicht organisaties om melding te maken van een datalek van persoonsgegevens. Deze melding moet gedaan worden bij het Commissie van de Bescherming van de Persoonlijke Levenssfeer (CBPL) en in de meeste gevallen ook aan betrokkenen. In Nederland is dit het College bescherming persoonsgegevens (CBP). De Privacy commissie zorgt ervoor dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaarborgd blijft.
- Bestuurlijke boetebevoegdheid: Organisaties die zich niet aan de meldplicht houden of geen adequate maatregelen hebben getroffen voor de beveiliging van persoonsgegevens, kunnen een boete krijgen van het DPA. Deze kan oplopen tot 810.000,- €of 10% van de (wereldwijde) jaaromzet.
De gevolgen voor uw organisatie
De nieuwe meldplicht maakt de opvolging van een datalek een stuk minder vrijblijvend. Behalve voorkomen en constateren van datalekken, is het belangrijk om tijdig stil te staan bij de te nemen stappen, ingeval zich daadwerkelijk een incident met persoonsgegevens voordoet. Naast technische consequenties zijn er organisatorische en communicatieve aspecten om over na te denken. Een plan met actiepunten voorbereiden, is daarom geen overbodige luxe.
Vergroot uw inzichten
Hiermee krijgt u meer inzicht in de manieren om persoonsgegevens doeltreffend te beveiligen en de kans op datalekken te minimaliseren:
- Heeft u binnen uw organisatie maatregelen getroffen die als specifiek doel hebben om de persoonsgegevens te beveiligen (zowel technische, organisatorische als communicatieve maatregelen)?
- Wordt de IT-infrastructuur periodiek getest op bekende en onbekende kwetsbaarheden, zowel automatisch als handmatig?
- Zijn er maatregelen getroffen om inbreuken op de beveiliging te detecteren, en ook in real-time?
- Vindt er regelmatig een risico analyse plaats om kritische gegevens te identificeren en ook veilig te stellen?
- Heeft u al een (calamiteiten- en communicatie) plan gereed voor wanneer zich een datalek voordoet, inclusief technische en communicatieve opvolging en afhandeling?
- Is er binnen uw management en bij uw medewerkers voldoende aandacht voor het belang van informatiebeveiliging en worden de interne regels en afspraken voldoende gevolgd?
Persoonsgegevens kunnen vrij circuleren vanuit België en binnen de Europese Unie zolang de algemene principes van de Belgische Privacywet worden nageleefd.
Melding van gegevenslekken
Als blijkt dat persoonsgegevens die u beheert ook door iemand anders bekeken zijn, of misschien wel gekopieerd of gestolen, welke stappen onderneem je dan best?
Een gegevenslek kan eigenlijk mooi vergeleken worden met een waterlek. Wanneer je ineens met je voeten in het water staat, dan probeer je vanzelfsprekend eerst de watertoevoer af te sluiten, anders heeft dweilen geen zin. Verder zoek je natuurlijk ook naar de oorzaak van het waterlek, en gaat even bij de buren kijken of zij waterschade hebben. Ten slotte zorg je ervoor dat er in de toekomst geen water meer kan lekken.
Zo gaat het ook met gegevenslekken. Je brengt zo snel mogelijk de gelekte persoonsgegevens opnieuw in veiligheid, en gaat na waarheen ze gelekt zijn. De personen van wie de gegevens gelekt zijn, breng je op de hoogte van wat er gebeurd is, en je bekijkt wat je kan doen om een dergelijk gegevenslek in de toekomst te vermijden.
Het enige verschil tussen het waterlek en het gegevenslek, is dat je dit laatste best ook meldt bij de Privacy commissie. Vanaf één Januari 2016 is het zelfs wettelijk verplicht om dit te doen. Zo kan de Privacy commissie inschatten wat de impact van het gegevenslek is, en eventueel een aantal maatregelen aanbevelen. Daarom is het raadzaam het gegevenslek te melden bij de National Data Protection Authority
Dossiers
Meer over
Lees ook
McAfee breidt Comprehensive Threat Protection uit in het Security Connected-platform
McAfee komt met nieuwe mogelijkheden voor organisaties om geavanceerde dreigingen sneller te detecteren, te isoleren en te verhelpen (‘find, fix, freeze’). Zo kunnen ze het gevecht winnen tegen geavanceerde en doelgerichte aanvallen die gebruikmaken van technieken om detectie te ontwijken. McAfee Comprehensive Threat Protection, onderdeel van de M1
Panasonic lanceert cloud-gebaseerde surveillance-oplossing voor het mkb
Panasonic lanceert Cameramanager go!, eenvoudig te gebruiken en betaalbare surveillance-oplossing. De oplossing wordt aangeboden als clouddienst en is beschikbaar op ieder apparaat. De service wordt exclusief aangeboden door grote telecomproviders. KPN is de eerste telecomoperator die Cameramanager go! op de markt brengen. Hierbij werkt KPN samen1
T-Systems lanceert Cloud Integration Center
T-Systems breidt zijn Enterprise Marketplace uit met een Cloud Integration Center. Met deze verbeterde IT-omgeving beheren zakelijke klanten diverse private en public cloud-omgevingen op één plek. Ook biedt deze oplossing de mogelijkheid om public cloud-applicaties eenvoudig naar de veilige private cloud te verplaatsen en te integreren met de best1