9 vragen over de meldplicht datalekken

Bescherming klantgegevens: welke plichten heb je?
De Wet bescherming persoonsgegevens is uitgebreid met de meldplicht datalekken en een boetebevoegdheid voor de toezichthouder (het College bescherming persoonsgegevens). Dat betekent dat iedere ondernemer in Nederland verantwoordelijk is voor de privacygevoelige data in zijn organisatie en bij overtreding een boete tegemoet kan zien.
Is jouw online omgeving veilig?
Klik hier
Lees tips in het whitepaper
Download gratis
Wil je meer weten over veilig online ondernemen?
Klik hier
Lees ons nieuwe whitepaper
Download
Wat houdt de meldplicht nou precies in en welke gevolgen heeft het voor ondernemers? Pieter Lacroix, managing director bij beveiligingsbedrijf Sophos, geeft antwoord.
 

1. Wat houdt de meldplicht datalekken in?

"Het doel van de meldplicht is om de schade van betrokkenen als gevolg van een datalek zo minimaal mogelijk te houden. De wet schrijft voor dat bedrijven passende maatregelen moeten nemen om informatie die toewijsbaar is aan individuen te beschermen. Daarnaast moeten ondernemers een databeschermingsbeleid opstellen en handhaven."
 

2. Wat is een datalek eigenlijk?

"Er is sprake van een datalek als derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen. Een datalek kan optreden als de servers van een bedrijf worden gehackt en gevoelige informatie wordt gestolen, maar ook als een medewerker een smartphone, laptop of usb-stick met gevoelige informatie verliest. Zelfs een geprinte lijst met klantgegevens die wordt gestolen, geldt als datalek."
 

3. Wat zijn passende maatregelen?

"Dat betekent dat organisaties ervoor moeten zorgen dat informatie niet beschikbaar is voor derden. Dat kan op heel veel manieren, zoals medewerkers geen laptops en smartphones geven, niet thuis laten werken, geen informatie uitwisselen met ketenpartners, kauwgom in usb-poorten stoppen en alle persoonsinformatie in een kluis stoppen waarvan alleen de DGA of CEO de sleutel heeft. Dat klinkt absurd, maar in feite zijn dit ook passende maatregelen. Alleen zijn ze in onze complexe, digitale wereld niet realistisch. We willen juist gegevens delen en opslaan in de cloud. De enige oplossing om dat veilig te doen is encryptie."
 

4. Wat is encryptie?

"Encryptie is het coderen (versleutelen) van gegevens door middel van een bepaald algoritme. Alleen de partijen met de juiste sleutel, kunnen de gegevens weer decoderen. Zonder sleutel is de data waardeloos. Daarom is dit een goede manier om privacygevoelige informatie te versturen of op te slaan in de cloud. Mocht er een datalek optreden, dan is de informatie nog steeds veilig."
 

5. Wat wordt er bedoeld met een databeschermingsbeleid?

"Bij de beveiliging van data is de mens vaak de zwakste schakel. Het is daarom belangrijk om binnen de organisatie bewustzijn te creëren voor de beveiliging van persoonsgegevens. Zo weet iedereen wat er van hem of haar wordt verwacht als hij of zij met dat soort data werkt. Het is belangrijk dat ondernemers een beleid formuleren waarbij medewerkers worden gestimuleerd zelf mee te denken en verantwoordelijkheid te nemen. Een lijvig document wordt niet gelezen, laat staan nageleefd. Zorg ervoor dat een paar belangrijke regels op papier staan en leg steeds opnieuw uit waarom beveiliging zo belangrijk is. Alleen dan beklijft het en zal het een automatisme worden voor werknemers."
 

6. Wanneer moet ik een datalek melden?

“Als je erachter komt dat de organisatie is gehackt, of als een van de medewerkers een device is verloren waarop privacygevoelige informatie staat, schrijft de nieuwe wet voor dat je het lek proactief meldt aan de toezichthouder, in dit geval het College bescherming persoonsgegevens. Als er persoonsinformatie van Europese burgers is verloren, moet ook de Europese toezichthouder worden genotificeerd. In elk geval moeten ook de betrokkenen van wie de persoonsgegevens zijn gelekt, proactief op de hoogte worden gesteld.”
 

7. Wat gebeurt er dan?

“Als een ondernemer kan aantonen dat hij passende maatregelen heeft genomen om de data te beschermen, en een databeschermingsbeleid heeft, verwacht ik niet dat er boetes worden opgelegd. Heeft hij geen maatregelen genomen, dan staat hem een boete te wachten. Die boete is niet zo hoog als de boete die hij tegemoet kan zien als hij een datalek verzwijgt en de toezichthouder daarachter komt.”
 

8. Hoe komt een toezichthouder daarachter?

“Dat is een aardige discussie over de pakkans die nu veel wordt gevoerd. Er is inderdaad een grijs gebied waarin je niet kunt bewijzen dat je als ondernemer van niets wist en dat de wetgever niet kan bewijzen dat je het wel wist. Maar ik ben van mening dat in essentie Nederlandse ondernemers zich graag aan de wet willen houden. Dat heeft met fatsoen, normen en  waarden te maken. Ik vermoed dat er weinig bedrijven zijn die de boel willens en wetens traineren.”
 

9. Hoe hoog zijn de boetes die het Cbp oplegt?

“De boete die het Cbp bij overtreding van de meldplicht datalekken kan opleggen is 810.000 euro of, als dat hoger is, 10 procent van de omzet van een onderneming.”
 
 
 

Ga jij al veilig met data om?

De risico’s van de nieuwe Europese Privacy Verordening op een rij
Als starter ben je wellicht niet direct met Europese regelgeving bezig. Maar let op! De gevolgen kunnen ook voor jou enorm zijn. Zo komt er binnenkort...

Nog veel kansen rond analyse klantgegevens

CRM en Business Intelligence (BI) vaker benut in B2B markt
Een groot deel van de Nederlandse bedrijven die zich richten op de zakelijke markt (B2B) gebruikt al big data-toepassingen voor...

De gouden regels voor online beveiliging

Bescherm je bedrijf tegen cybercriminelen
Veel ondernemers in de zakelijke dienstverlening maken gebruik van data-opslag in de cloud. Dat is handig, want zo kun je altijd en overal bij je...

Praat met ons mee op

Van Spaendonck Groep B.V
Postadres
Postbus 90154
5000 LG . Tilburg

Bezoekadres:
Reitseplein 1
5037 AA . Tilburg
Tel: 088 652 00 50

Toegevoegd

U kunt verder winkelen of de bestelling afronden.

Afronden
MKB Servicedesk maakt gebruik van cookies
/7158/cookieverklaring-mkb-servicedesk.htm
 Meer informatie
 Melding sluiten