Er wordt op dit moment veel gezegd en geschreven over de ‘Wet meldplicht datalekken en uitbreiding boetebevoegdheid’, kortweg
‘Meldplicht Datalekken’. Deze wet verplicht bedrijven, overheden en andere organisaties om een datalek waarbij persoonsgegevens betrokken zijn te melden bij de Autoriteit Persoonsgegevens (AP). Deze heet tot 1 januari 2016 het College Bescherming Persoonsgegevens.
Northwave helpt organisaties met een integrale pragmatische aanpak van Informatiebeveiliging. Vanuit die ervaring en expertise hebben we deze compacte leidraad geschreven.
Hiermee krijgt u snel in beeld wanneer u een melding moet doen, welke gegevens u daarvoor nodig heeft en wat u daarvoor moet organiseren. Zo kunt u zelf eenvoudig bepalen welke stappen er voor uw organisatie nodig zijn. En als u dat prettig vindt, dan helpen onze gedreven experts u daar graag bij.
MELDPLICHT
DATALEKKEN
LEIDRAAD
ZELF BESLISSEN
De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP.
Dit beslismodel helpt u bepalen wat u moet doen.
WANNEER MOET IK MELDEN?
U moet binnen 72 uur een melding maken aan de AP . Deze melding kan op de website van de
AP worden gemaakt.
De meldplicht is niet op u van toepassing.
Verwerkt u persoonsgegevens? NEE
U hoeft geen melding te maken.
Zijn er een groot aantal of gevoelige persoonsgegevens gelekt?
Bijvoorbeeld een dataset van meer dan 1000 personen met hun financiële gegevens.
NEE
Kan het datalek ongunstige gevolgen hebben voor de betrokkene(n)?
Is er bijvoorbeeld een risico voor identiteitsfraude.
U hoeft geen melding aan de betrokkene(n) te maken.
NEE
Zijn de gelekte persoonsgegevens versleuteld? NEE U moet ook een melding aan de betrokkene(n) maken.
Is de sleutel verloren gegaan bij het datalek? NEE U hoeft geen melding aan de betrokkene(n) te maken.
Voor de verwerking van deze gegevens geldt geen meldplicht aan de AP. Wel moet u de organisatie waarvoor u persoonsgegevens verwerkt op de hoogte
stellen van het datalek.
Verwerkt u persoonsgegevens voor een andere organisatie? JA JA
NEE
JA
JA
JA
CHECKLIST MELDING
U moet melding maken via een speciaal formulier op de website van de AP.
Daarin moet u een aantal gegevens aanleveren. Deze worden hieronder kort beschreven, zodat u weet welke informatie u moet verzamelen binnen de hiervoor gestelde tijd van 72 uur.
1. Aard van de melding
Wat meldt u precies? Geef eventueel aan of de melding relatie heeft tot een eerdere melding en wat deze relatie is.
2. Wettelijk kader
Geef aan op grond van welke wettelijke bepaling de melding wordt gedaan. In de meeste gevallen zal de melding op basis van de Wet bescherming persoonsgegevens gebeuren (WBP).
3. Algemene informatie
Hier vult u de contactgegevens in van uw organisatie en de persoon die het datalek meldt. Dit wordt vaak gedaan door een Privacy Officer.
4. Gegevens over het datalek
Geef aan om wat voor persoonsgegevens het gaat, wat er mee is gebeurd en wanneer.
Beschrijf de groep mensen die getroffen is, om hoeveel mensen het gaat en welke mogelijke gevolgen er zijn voor de betrokkene(n).
5. Vervolgacties naar aanleiding van het datalek
Beschrijf welke technische- en organisatorische maatregelen zijn genomen om de inbreuk aan te pakken en verdere inbreuken te voorkomen.
6. Inlichten van de betrokkenen
Geef aan wanneer het datalek is gemeld aan de betrokkene(n), op welke manier en welke informatie is verstrekt. Als de betrokkene(n) niet is geïnformeerd, beschrijf dan waarom u afziet van een melding.
7. Technische beschermingsmaatregelen
Geef aan of de persoonsgegevens zijn versleuteld en op welke manier.
8. Internationale aspecten
Beschrijf of de inbreuk betrekking heeft op personen in andere EU-landen en of u het datalek heeft gemeld bij andere Europese toezichthouders.
9. Vervolgmelding
Geef aan of de melding compleet is of dat er eventueel nog een vervolgmelding nodig is.
WAT MOET IK MELDEN?
LANGS WELK PROCES NEEMT U HET BESLUIT OM WEL OF NIET TE MELDEN?
De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP.
De AP geeft u 72 uur om een melding te doen. Zeker bij complexere incidenten of situaties waarbij meerdere partijen zijn betrokken kan dat snel tot veel tijdsdruk leiden. U moet immers niet alleen een gefundeerd besluit nemen of u moet melden, maar ook behoorlijk wat gedetailleerde informatie kunnen aanleveren (zie checklist).
Bereid u voor.
Richt een Incident Response Proces in.
Verzeker u van expertise bijvoorbeeld op het gebied van forensisch data-onderzoek.
WAT HEEFT U NU GEREGELD MET UW LEVERANCIERS OF PARTNERS?
Als gegevens in uw opdracht worden opgeslagen of verwerkt, bent u nog steeds zelf verantwoordelijk voor de melding. Uitbesteden van verwerking of opslag ontslaat u niet van die verantwoordelijkheid. Van belang is dus goed na te gaan wat u hebt geregeld in bewerkersovereenkomsten of andere afspraken en op welke wijze uw partners incidenten aan u melden.
Zorg niet alleen voor heldere juridische afspraken met uw dienstverleners maar controleer ook in de praktijk of deze afspraken worden nagekomen.
Oefen uw meldprocedure met enige regelmaat.
Betrek ook uw leveranciers en partners.
WIE KAN ER BIJ UW DATA?
Een goed geïmplementeerde ICT beveiliging is cruciaal. Een belangrijke maatregel is het versleutelen van de gegevens die u bewerkt of opslaat. Bij een datalek kunnen derden dan niets met de informatie. Zorg ook voor een goede detectie van digitale inbraken. Daarnaast is het van belang te kunnen beschikken over logging van systemen. Dat is cruciaal voor een onderzoek naar een datalek.
Controleer of er een adequate rechten-structuur bestaat en wordt gehandhaafd voor de toegang tot de data.
WAT MOET IK REGELEN?
IN UW PRAKTIJK
U heeft nu een beeld wanneer u een datalek moet melden, welke gegevens u hiervoor nodig heeft en wat u moet organiseren om in staat te zijn een melding te doen. Met wat tijd en energie kunt u de hoofdlijnen uitstekend zelf inregelen.
Er zijn een aantal aspecten die vragen om specifieke expertise die u wellicht niet zelf in huis heeft. We hebben daarom een speciale service ontwikkeld die u op een slimme manier werk uit handen neemt. U borgt daarmee de kwaliteit en continuïteit.
Response Plan Meldplicht Datalekken
We stellen met u een plan op en leggen dat toegankelijk vast. Met een helder proces bent u beter voorbereid op het melden van een incident.
Daardoor toont u bij de AP ook aan dat u zorgvuldig bent in het nemen van verantwoordelijkheid. Daarnaast komt u bij een incident minder snel in tijdsproblemen.
Monitoring, Detectie en Logging
Vanuit ons Security Operations Centre (SOC) bieden we een complete Managed Service. Zo beschikt u over de technische oplossing die de juiste logfiles verzameld en daarnaast uw ICT omgeving intensief bewaakt.
CERT Abonnement Melding Datalekken
Northwave CERT (Computer Emergency Response Team) verleent u bijstand bij incidenten waarbij u forensische expertise nodig heeft om de juiste informatie te verzamelen die nodig is voor een melding. We garanderen beschikbaarheid en response tijd. Daarmee heeft u altijd snel de juiste mensen ter plaatse mocht het nodig zijn. Dat beperkt de kans op schade door een incident.
Oefening Datalek
We begeleiden een korte oefening waarin we een incident naspelen waarbij mogelijk data is gelekt. Door deze oefening implementeert u het proces en test u waar het proces of de uitvoering kan worden aangescherpt. U krijgt de beschikking over de oefenstof zodat u zelf de oefening kunt herhalen.
Meer weten over de voordelen van een samenwerking?
Neem contact op met:
NORTHWAVE BV
Marconibaan 49, 3439 MR Nieuwegein + 31 (0) 30 303 1240