Zonder al te veel moeite valt er elke dag wel een datalek in het nieuws te vinden. Zomaar een paar koppen uit de media:
“Privégegevens bijna 900 Enschedese werkzoekenden op straat na e-mailfout”
“Gegevens tweeduizend AMC-patiënten waren toegankelijk door lek”
“Franse onderzeeërbouwer DCNS getroffen door ernstig datalek”
Mocht u twijfelen aan de omvang van datalekken. Op http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ vindt u een prachtige visualisatie van grote wereldwijde datalekken.
Een datalek (voorkomen) is een belangrijk onderdeel van de privacyregelgeving. De Europese privacyregelgeving die per 25 mei 2018 wordt gehandhaafd, biedt de toezichthouder de mogelijkheid forse boetes op te leggen en verhoogt de aansprakelijkheidsrisico’s voor organisaties.
Over hoe te handelen bij een datalek wordt veel geschreven. Samengevat zijn o.a. de volgende aspecten relevant:
– Incidenten dienen ook geregistreerd te worden;
– Bepalen of er sprake is van een datalek;
– Bepalen of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens en/ of de betrokkene;
– Melden binnen 72 uur nadat het lek is ontdekt;
– Afwikkeling/ verbeterplan om een volgend datalek te voorkomen,
De beveiliging van persoonsgegevens is een belangrijk aspect met betrekking tot datalekken en de implementatie van de privacyregelgeving, alleen is dit niet voldoende om te voldoen aan de wettelijke verplichtingen. Dit lijkt wel eens over het hoofd gezien te worden en hoewel beveiliging/ security heel tastbaar kan zijn in tegenstelling tot de juridische en compliance gerelateerde componenten, zijn laatst genoemde omvangrijker en daardoor minstens zo belangrijk.
Wat namelijk niet wordt beschreven, is dat om datalekken adequaat binnen 72 uur af te handelen een organisatie eigenlijk de hele privacyregelgeving adequaat geïmplementeerd dient te hebben. Als uw organisatie een melding moet doen, zal deze moeten doorgeven om welke persoonsgegevens het gaat, wat de aard van het lek is, een onderbouwing van overwegingen te maken en vast te leggen, dient u betrokkene te kunnen informeren etc.
Dit kan alleen als uw organisatie weet welke persoonsgegevens in welk proces gebruikt worden, wie de betrokkenen zijn en wat uw organisatie doet met de persoonsgegevens, met wie welke afspraken zijn gemaakt ten aanzien van de verwerking van persoonsgegevens etc.
Kortom, er komt vooraf veel bij kijken voordat u überhaupt tijdig een melding kunt doen.Begin daarom tijdig met de implementatie van de privacyregelgeving.
Auren helpt u graag om vooraf te kijken naar uw organisatie, zodat uw organisatie klaar is voor de Europese regelgeving en (voorkomen) datalekken! Heeft u vragen ten aanzien van dit onderwerp neem dan vrijblijvend contact op met ons.