Meldplicht datalekken m.i.v. 1-1-2016

De eerste kamer heeft op 26 mei 2015 een wetsvoorstel aangenomen dat een meldplicht datalekken regelt. Met deze meldplicht wil de overheid de persoonsgegevens nog beter beschermen.

Dit houdt in dat je vanaf 1 januari 2016 direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) als je organisatie een datalek heeft met ogenschijnlijk ernstige gevolgen voor de bescherming van de persoonsgegevens. Als je een overtreding niet opzettelijk of door enstig verwijtbare nalatigheid begaat, krijg je misschien de gelegenheid om de overtreding weg te nemen. Bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. Als je persoonsgegevens onvoldoende beschermt, riskeer je een boete van maximaal € 810.000,- of 10% van de omzet over het voorafgaande jaar. Als het datalek mogelijk schadelijk is voor de persoonlijke levenssfeer van personen, dan moet je hen op de hoogte brengen van het datalek.

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Voorbeelden van een datalek:

• Een hacker verwerft toegang tot persoonsgegevens.
• Je verliest een USB-stick met persoonsgegevens.
• Het verzenden van een mailing met adressen in het CC-veld (in plaats van het BCC-veld).
• Verlies van gegevens door een brand (in een datacentrum) terwijl er geen back-up beschikbaar is.

Stel dat je een datalek hebt, dan kan dat financiële schade tot gevolg hebben, maar bijvoorbeeld ook imagoschade.

Gelukkig kun je wat doen om schade te voorkomen:

1. Gebruik sterke wachtwoorden en bewaar ze op een veilige plaats.
2. Wees op je hoede als er via mail of telefoon om persoonlijke of bedrijfsgegevens gevraagd wordt.
3. Zorg ervoor dat je internetrouter de meest recente versie van het besturingssysteem gebruikt.
4. Versleutel persoonsgegevens (klantenlogin) die je in de database van je website of webshop bewaart.
5. Versleutel de verbinding tussen je website en de bezoeker met een SSL-certificaat.
6. Laat je inkomende e-mail filteren om te voorkomen dat je e-mail ontvangt met daarin een virus of een poging gegevens te ontfutselen.
7. Maak afspraken met partijen aan wie je de verwerking van persoonsgegevens uitbesteed.
8. Ga bij je verzekeraar of verzekeringstussenpersoon na of je verzekerd bent tegen het lekken van persoonsgegevens.

Mogelijke oplossingen, per voorgaand punt:

1. Gebruik een password manager, zoals bijvoorbeeld Roboform Desktop. Kost eenmalig € 29,95 per gebruiker.
2. Aandacht en gezonde argwaan, let goed op voor je ergens op klikt.
3. Router upgrade, per keer € 95,00 / Router Management (DrayTek): € 15,00 per maand.
4. Vraag dit na bij je webbouwer en zorg voor versleuteling als dat nu nog niet het geval is.
5. Gebruik een SSL DV Certificaat voor je website of een SSL EV Certificaat voor je webshop.
6. Mailfilter Online: per domein € 5,00 per maand.
7. Leg de afspraken met iedere partij vast in een “bewerkersovereenkomst”.
8. Sluit een cyberrisicoverzekering af.