Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
De meldplicht datalekken

De meldplicht datalekken

27 October 2015 door in Security

Veel klanten van hosting providers slaan gegevens op over personen met wie ze zaken doen. Deze gegevens bevatten bijvoorbeeld adressen om een bestelling te kunnen bezorgen, gegevens om toegang tot een gebouw te verschaffen of een ingevulde enquête. Allemaal voorbeelden waarin gegevens van personen worden gekoppeld aan uw dienstverlening. Deze zogenaamde persoonsgegevens moet u beveiligen zoals vastgelegd in de Wet Bescherming Persoonsgegevens (Wbp).

Als u één van Cyso’s managed services afneemt, dan nemen wij een aantal maatregelen om uw omgeving te beschermen. U kunt daarbij denken aan firewalls, back-ups, anti-DDoS voorzieningen en het doorvoeren van beveiligingsupdates. Deze maatregelen beschermen wel uw hostingomgeving, maar niet specifiek de persoonsgegevens. Vaak weet Cyso namelijk niet precies wat u met uw omgeving doet en wat er draait. Vergelijk het met het huren van een ruimte voor fysieke opslag; hierbij is het pand vaak prima beveiligd, maar bij de beheerder is het meestal onbekend wat u opslaat in uw ruimte.

Sluit een bewerkersovereenkomst af

De wetgever verwacht daarom dat u met ons een additionele overeenkomst sluit, waarin separaat afspraken worden gemaakt over aanvullende beschermingsmaatregelen voor uw omgeving. Dit wordt de bewerkersovereenkomst genoemd. Door het afsluiten daarvan weten wij beter wat u met uw omgeving doet, waardoor wij u kunnen attenderen op passende extra te nemen maatregelen. Daarnaast kan Cyso u adviseren over beveiligingsmaatregelen die u kunt nemen op applicatieniveau, zodat u uw ontwikkelaar kunt aansturen. U kunt hierbij denken aan het beveiligd opslaan van de data of een beperking van het aantal personen dat toegang heeft. Hoewel het u nog steeds niet ontslaat van de verplichting om voor een adequate beveiliging te zorgen, helpt de standaard bewerkersovereenkomst u wel om aan te tonen dat u maatregelen heeft getroffen conform de Wbp.

De nieuwe meldplicht datalekken

Op 1 januari 2016 wordt de meldplicht datalekken van kracht. Deze meldplicht verplicht u om direct een melding te doen bij het College Bescherming Persoonsgegevens (CBP) zodra u een ernstig datalek constateert, of als er sprake is van onrechtmatige verwerking. Een inbraak door een hacker of een verloren USB stick zijn voorbeelden van een datalek. Van een onrechtmatige verwerking is sprake als de persoonsgegevens voor een ander doel worden verwerkt dan waar de persoon in kwestie toestemming voor heeft gegeven. U dient in beide gevallen een melding te doen bij het CBP. Deze melding dient de volgende gegevens te bevatten:

  • De aard van het lek
  • De organisaties waar meer informatie over het lek kan worden verkregen
  • De aanbevolen maatregelen om de gevolgen van het lek te beperken
  • Een beschrijving van de geconstateerde en de mogelijke gevolgen van het lek voor de verwerking van persoonsgegevens
  • De maatregelen die u voorstelt te nemen, of reeds heeft genomen om deze gevolgen te verhelpen

Niet melden kan leiden tot hoge boetes

Als het waarschijnlijk is dat een datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene (de persoon wiens gegevens het betreft), dan bent u verplicht om deze persoon hierover in te lichten. De persoon in kwestie kan dan zelf maatregelen nemen, zoals het wijzigen van een wachtwoord, om de schade te beperken. Organisaties zijn al snel verplicht om een melding te maken van een datalek, ook als de beveiliging zelf in principe niet tekort is geschoten. Doordat ‘online’ steeds belangrijker wordt in onze samenleving, wil de overheid namelijk dat het vertrouwen hierin niet beschadigd wordt. Er worden daarom hoge boetes uitgeschreven wanneer organisaties een datalek niet melden aan het CBP. In de media wordt zelfs gerept over een maximale boete van € 450.000 tot € 810.000 hiervoor.

Meer informatie over de nieuwe meldplicht en de procedure voor het melden van datalekken vindt u op de website van ICTRecht.

Neem voldoende maatregelen

De meldplicht datalekken wil stimuleren dat u voldoende maatregelen neemt ter bescherming van persoonsgegevens. Het dwingt u er bovendien toe dat u zich voorbereidt op een calamiteit en dat u hierover afspraken maakt met uw leveranciers. Cyso kan u helpen met de bescherming van gegevens en de detectie van mogelijke lekken. Wij zijn permanent op zoek naar nieuwe technieken voor extra lagen van beveiliging. Er zijn echter ook legio scenario’s te bedenken die buiten uw macht of die van ons liggen, en kunnen leiden tot een datalek (denk bijvoorbeeld aan een boze ex-medewerker die de gegevens meeneemt naar de concurrent).


Lees ook: In de schaduw van de DDoS aanval: minder zichtbare vormen van cyberaanvallen

Cyso bedient honderden klanten met deze uitdaging en heeft standaard templates voor een bewerkersovereenkomst, inclusief een paragraaf over de meldplicht. Profiteer van onze kennis en neem contact op met uw accountmanager op via 072 7513405 of via sales@cyso.com.


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider