Meldplicht Datalekken: bent u er klaar voor?

Transcriptie

1 Meldplicht Datalekken: bent u er klaar voor?

2 Meldplicht Datalekken: bent u er klaar voor? AANLEIDING Per 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Over deze meldplicht, welke is opgenomen in de Wet bescherming persoonsgegevens, is veel geschreven en rumoer ontstaan. Duidelijk is dat er boetes kunnen worden opgelegd en maatregelen moeten worden genomen. Maar veel organisaties zitten nog met de nodige vragen zoals Over welke informatie gaat het? Welke maatregelen moeten er precies worden genomen? In welke mate voldoet mijn organisatie eigenlijk al aan de wettelijke eisen? Er is daarom behoefte aan een simpele en doeltreffende aanpak, waarbij snel en met een beperkte inspanning kan worden geïnventariseerd in welke mate uw organisatie klaar is voor de Wet Datalekken. Hierbij worden de volgende vragen beantwoord: In welke mate is de Wet Datalekken van toepassing op mijn organisatie? In welke mate is mijn organisatie al klaar voor de Wet Datalekken? Welke maatregelen moet ik nog nemen en wat gaat dat kosten? Bovenstaande vragen kunnen snel en efficiënt worden beantwoord door het uitvoeren van een QuickScan Wet Datalekken: in zeer korte tijd wordt uw organisatie m.b.v. een speciaal ontwikkelde aanpak doorgelicht en krijgt u heldere antwoorden op bovenstaande vragen. COMPUTABLE: 8 JANUARI :59 PIM VAN DER BEEK 1 De Autoriteit Persoonsgegevens heeft in de eerste week van 2016 ongeveer twintig meldingen binnengekregen van mogelijke datalekken. Volgens voorzitter Jacob Kohnstamm, zijn dat minder meldingen dan vooraf was verwacht. De eerste paar dagen leveren een ander beeld op dan bij andere collega-toezichthouders in Europa. 2 Meldplicht Datalekken: bent u er klaar voor?

3 WET DATALEKKEN: WAAR HEBBEN WE HET EIGENLIJK OVER? Kort samengevat, staan hieronder de belangrijkste begrippen van de Wet datalekken en hun betekenis voor uw organisatie. WAT IS EEN DATALEK? De beleidsregels meldplicht datalekken beschrijven de volgende definitie van een datalek: Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. OM WELKE PERSOONSGEGEVENS GAAT HET? Niet elk datalek hoeft gemeld te worden aan de Autoriteit Persoonsgegevens. Volgens de wet moet een melding gedaan worden indien het datalek leidt tot (een aanzienlijke kans op ernstige) nadelige gevolgen voor de bescherming van persoonsgegevens. Daarbij gaat het om: Gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging Gegevens over de financiële of economische situatie van de betrokkene Andere gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Gebruikersnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden misbruikt voor (identiteits)fraude zoals BSN-nummer WAT HOUDT DE MELDPLICHT IN? De Meldplicht houdt in dat een datalek zonder onnodige vertraging en niet later dan 72 uur na ontdekking bij de Autoriteit Persoonsgegevens moet worden gemeld. Ook moet een datalek meteen aan de betrokkenen gemeld worden. Dit om te zorgen dat de betrokkene tegenmaatregelen kan nemen. WANNEER IS ER SPRAKE VAN VERWERKING VAN PERSOONSGEGEVENS? Verwerking van persoonsgegevens betreft elke handeling met betrekking tot persoonsgegevens. Hieronder vallen o.a. verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden, etc. 3

4 CBP richtsnoeren: beveiliging persoonsgegevens Plan-do-check-act Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer: 1. Beoordeel de risico s 2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden 3. Controleer en evalueer regelmatig WAT IS DE QUICKSCAN WET DATALEKKEN? De QuickScan Wet datalekken biedt snel inzicht: waar staat uw organisatie en wat moet er nog gebeuren? De QuickScan is ontworpen om in korte tijd en tegen zeer acceptabele kosten concreet inzicht in uw situatie op te leveren. HOE WERKT DE AANPAK? Onze aanpak gaat uit van een aantal uitgangspunten: 1. Informatie: welke persoonsgegevens zijn er in uw organisatie, waar worden die vastgelegd en bewaard, wie moet/kan/mag er mee werken? 2. Organisatie: inventariseren van het beleid binnen de organisatie t.a.v. datalekken, hoe zijn de verantwoordelijkheden en rollen t.a.v. Datalekken ingericht? Is de organisatie zich bewust van het belang van goed omgaan met Persoonsgegevens en Datalekken? 3. Detectie en melding: is er een draaiboek aanwezig, wordt regelmatig gemonitord op mogelijke datalekken? Kunnen we bij een voorkomend datalek alle relevante informatie opleveren? RESULTAAT IN DRIE STAPPEN In drie stappen stellen we de volgende producten samen: A. Inventarisatie: waar hebben we het over in uw specifieke situatie? Wij krijgen hiervan een transparant overzicht door: 4 Meldplicht Datalekken: bent u er klaar voor?

5 1. Analyse van welke persoonsgegevens in uw organisatie worden opgeslagen en bewerkt. Deze worden vervolgens gerangschikt naar impact (classificatie) 2. Analyse van de processen waarbij persoonsgegevens worden verwerkt inclusief het in kaart brengen van de rollen, verantwoordelijkheden en systemen in uw organisatie en die van leveranciers. B. Gap analyse: 1. Vaststellen risico s en prioriteiten: waar zitten de voornaamste risico s en daarmee dus de prioriteiten om tot een veilige situatie te komen? 2. Vaststellen acties en uitkomsten: hoe kunnen de voornaamste risico s weggenomen worden en wat betekent dat voor de organisatie (inspanning, tijd, budget)? C. Plan en uitvoering: 1. Advies presentatie: u ontvangt naast een mondelinge rapportage ook een schriftelijk rapport waarin transparant en concreet de huidige situatie en de voorgestelde verbeterpunten worden weergegeven 2. Actieplan: de QuickScan levert ook een concreet plan op van de te nemen maatregelen en door wie deze uitgevoerd kunnen/moeten worden. U kunt dus snel aan de slag. MEDEWERKERS GROOTSTE BRON VAN DATALEKKEN 02 Mrt 2013 Informatiebeveiliging Uit een groot onderzoek door het Ponemon Institute in samenwerking met Solera Networks blijkt dat medewerkers de grootste bron van datalekken zijn. Maar liefst 47% van de ondervraagde IT ers heeft in de afgelopen twee jaar te maken gehad met een datalek door een nalatige medewerker of contractor. De meeste datalekken worden veroorzaakt door onwetendheid [ ] SAMEN WERKEN: SNELLER, GOEDKOPER EN BETER Bij het uitvoeren van bovenstaande drie stappen wordt nadrukkelijk samengewerkt met uw organisatie (in de vorm van werkgroepen en interviews). Op deze wijze kan snel en efficiënt alle benodigde informatie op tafel komen. Ook nemen zo kennis en bewustwording in uw organisatie over toepassing van Wet Datalekken in de praktijk snel toe. Zo ontstaat ook een goed begrip van en steun voor de te nemen maatregelen. WERKT DE QUICKSCAN OOK IN MIJN SITUATIE? De QuickScan Wet Datalekken is toepasbaar in alle type organisaties die te maken hebben met persoonsgegevens. 5

6 Lekdijk LB Ammerstol Nederland