Netherlands

Meldingsplicht datalekken vereist voorbereiding

 

Eind mei 2015 nam de Eerste Kamer de Wet meldplicht datalekken en boetebevoegdheid CBP aan. Zowel private als publieke organisaties die persoonsgegevens verwerken, zijn vanaf 1 januari 2016 verplicht om beveiligingsincidenten te melden die bijvoorbeeld leiden tot diefstal, verlies of misbruik van persoonsgegevens. De meldplicht datalekken wordt daarmee uitgebreid, aangezien die op dit moment alleen voor aanbieders van elektronische communicatienetwerken en -diensten geldt.

Met de meldplicht wil de Nederlandse overheid de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken. Dat is belangrijk, omdat steeds meer bedrijven gepersonaliseerde diensten aanbieden via het internet, mobiele en sociale netwerken en online platforms.

Gevolgen datalek beperken
De wet zorgt ervoor dat informatiebeveiliging één van de essentiële uitgangspunten voor elke organisatie wordt. Dat is een goede zaak, want hoewel de waarde van digitale en immateriële activa (bijv. goodwill, patenten, klantenbestanden en broncode van software) voor steeds meer bedrijven net zo groot is als die van materiële zaken zoals gebouwen en hun inventaris, wordt digitale of immateriële waarde momenteel slechts voor gemiddeld 12 procent opgenomen in een verzekeringsprogramma. Voor materiële activa is dat ruim 50 procent. Een vreemde verhouding: digitale activa zijn bijna 40 procent kwetsbaarder.

Autoriteit Persoonsgegevens
Het College Bescherming Persoonsgegevens (CBP) – binnenkort Autoriteit Persoonsgegevens – kan vanaf volgend jaar in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Het CBP mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan het gebruik en verwerken van persoonsgegevens. Voorbeelden zijn:

  • persoonsgegevens zijn niet op een behoorlijke en zorgvuldige manier verwerkt of worden langer bewaard dan noodzakelijk is;
  • de beveiliging deugt niet;
  • het beheer van persoonsgegevens is slecht georganiseerd;
  • gevoelige informatie over burgers, zoals hun politieke voorkeur of levensovertuiging, is misbruikt.

Passend beleid noodzakelijk
Omdat de gevolgen van datalekken en/of de overtreding van privacyregels zo verstrekkend kunnen zijn, dient een directie de (financiële) risico’s van een gebrekkige informatiebeveiliging ook inhoudelijk te beoordelen en passend beleid te formuleren. Voer daarom altijd eerst een risicoanalyse uit. Daarmee creëert u niet alleen bewustwording, maar ondersteunt u ook uw besluitvorming. Zo kan uit de resultaten blijken dat uw risicomanagement beter kan, of zelfs noodzakelijk is. Bespreek de resultaten van een risico-inventarisatie en -analyse met een vertegenwoordiging vanuit het management of de directie. Beoordeel vervolgens aan de hand daarvan welke aanvullende maatregelen u moet nemen.