Nieuwe wetgeving meldingsplicht bij datalekken


Op 1 januari 2016 treedt de nieuwe wet Meldplicht Datalekken in werking. Vanaf dat moment mag de privacy-toezichthouder aanzienlijk hogere boetes opleggen. In de afgelopen weken zijn alle consequenties duidelijk geworden.

Categorie

Online development

Datum

29-12-2015

Wat is een datalek?

Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben spreken we van een datalek. Deze situatie kan ontstaan als gevolg van een beveiligingsprobleem. Als we kijken naar de online situatie gaat het in dit geval om uitgelekte computerbestanden. Bij een datalek kan gedacht worden aan een hack van een website, waarbij de beveiliging omzeild wordt. Daarnaast kan het zijn dat er menselijke fouten worden gemaakt, bijvoorbeeld door het slordig omgaan met wachtwoorden. Illegaal verkregen bedrijfsgegevens over omzet of strategie vallen niet onder de definitie van een datalek.

Meldplicht Datalekken

We hebben te maken met een smalle en brede meldplicht. De smalle meldplicht bestaat al sinds 2011 en verplicht aanbieders van openbare elektronische communicatiediensten melding te maken bij Autoriteit Consument & Markt als er inbreuk is gepleegd op de beveiliging van persoonsgegevens.

De algemene meldplicht datalekken voor bedrijven en overheid wordt de brede meldplicht genoemd. Hierbij ligt de nadruk op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten, mits voldoende ernstig, worden gemeld aan de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoongegevens, CBP).

Wat gaat er veranderen?

De beveiliging van persoonsgegevens is een zeer belangrijke zaak. Steeds meer klantgegevens worden online opgeslagen om geautomatiseerde processen op websites makkelijker te laten verlopen. Met de komst van de nieuwe wet en bijbehorende boetes verwacht de overheid dat bedrijven en organisaties hun gegevens beter gaan beveiligen.

Voor het niet-naleven van de meldplicht staat een maximale boete van € 820.000,- of, mits dat niet passend is, 10% van de netto jaaromzet van de rechtspersoon. Dit is de boete perovertreding. Als een datalek niet gemeld wordt aan de verantwoordelijke en niet gemeld wordt aan betrokkenen terwijl dat wel had gemoeten, kan dat twee overtredingen opleveren. In het ergste geval kan er een extra boete worden opgelegd voor een slechte beveiliging of gebrekkige administratie.

De verplichtingen zijn van toepassing op de verantwoordelijke, niet op de bewerker van de persoonsgegevens. Het is aan het bedrijf of organisatie om te beoordelen of een datalek ernstig genoeg is.

Hoe beveilig ik mijn website?

Om boetes te voorkomen in het geval van een datalek, is het aan te raden om beveiligingsmaatregelen te treffen. Standaard zijn onze servers en de CMS’en en databases van onze websites goed beveiligd. Het is echter mogelijk om de beveiliging een stuk verder op te voeren.
Denk hierbij aan het installeren van een SSL certificaat om de verzending van persoonsgegevens te versleutelen, het scheiden van databases met persoonlijke gegevens, een token verificatie bij het inlogproces of een eigen Virtual Private Server. Iedere situatie vergt een risicoanalyse en een oplossing op maat. Neem contact op met uw accountmanager om te bekijken welke oplossing aansluit op uw website.

 


Stay up to date
Schrijf je in en ontvang maandelijks een update van de belangrijkste ontwikkelingen
Enkele gegevens ontbreken of zijn onjuist

Het formulier kan nog niet worden verzonden omdat het nog niet helemaal (correct) is ingevuld.