Datalekken en privacy van persoonsgegevens zijn actuele gespreksonderwerpen binnen bedrijven, overheidsinstanties en instellingen. Sinds 1 januari 2016 hebben organisaties namelijk te maken met aangescherpte privacywetgeving. Zij moeten voldoen aan allerlei regels. Bovendien moeten ze beschikken over een goed geformuleerd privacybeleid. Wie deze nieuwe wet negeert, loopt het risico op een datalek. Bovendien is er sprake van een meldplicht. Met een forse boete door de overheid tot wel 820.000 euro of 10% van de jaaromzet als mogelijk gevolg.

Een greep uit berichten in de media:

Datalek bij gemeente treft minstens vijfduizend inwoners
Datalek bij drie ziekenhuizen
Datalek payrollbedrijf treft Britse bedrijven
Yahoo slachtoffer van mega-datalek: 500 miljoen accounts gestolen

 

Datalekken beveiligen

Wat is een datalek?

Volgens de wet is er sprake van een datalek als persoonsgegevens worden verloren of onrechtmatig zijn verwerkt. Het gaat dus niet alleen om diefstal van gegevens of cybercrime, maar veelal ook veroorzaakt door eigen werknemers. Denk hierbij aan het kwijtraken van een USB-stick, een gestolen laptop of het per abuis verzenden van een mailing met alle contacten in CC in plaats van BCC.

Wanneer een datalek melden?

Een datalek dient gemeld te worden bij de Autoriteit Persoonsgegevens wanneer het gaat om een ernstig verlies. Met ernstig wordt bedoeld in kwantitatieve zin (als het gaat om veel data) of in kwalitatieve zin als het gaat om gevoelige persoonsgegevens, zoals inloggegevens, prestaties (school, werk), identiteit, financiële gegevens, gezondheid of bijvoorbeeld godsdienst.

Wanneer een datalek melden aan betrokkenen?

De algemene stelregel is dat een datalek gemeld dient te worden aan de betrokkenen als het ongewenste gevolgen kan hebben voor betreffende personen. Meer informatie is te vinden op de website van de overheid.

Wanneer wordt een boete opgelegd?

De overheid heeft de mogelijkheid een boete op te leggen in de volgende gevallen:

  • Een datalek wordt niet gemeld.
  • De beveiliging (data security) is niet op orde.
  • Persoonsgegevens worden zonder toestemming verwerkt.
  • Persoonsgegevens worden geëxporteerd naar een land buiten de EU zonder dat dit adequaat is geregeld.

Wat wordt van de organisatie verwacht?

Verwerkt uw organisatie persoonsgegevens? Dan wordt verwacht dat u de benodigde maatregelen heeft getroffen in overeenstemming met de Wet bescherming persoonsgegevens.

Twee belangrijke onderdelen hierin zijn:

Beide facetten zijn geïntegreerd in het securityplan van ACA IT-Solutions. Wij helpen u bij het beveiligen van de IT-omgeving op basis van de huidige en gewenste (vereiste) situatie. Daarnaast is het opzetten en handhaven van een adequaat privacy beleid onmisbaar. Met ons advies en de inzet van speciale software kunt u zelfs dit beleid automatiseren.

De software beschikt namelijk over alle benodigdheden voor het opstellen, handhaven en monitoren van een compliant privacy- en ICT-gebruiksbeleid. De software vertelt u zelfs stap-voor-stap welke maatregelen u moet nemen in uw persoonlijke situatie en bevat ook alle benodigde overeenkomsten, reglementen en diverse andere sjablonen voor het uitrollen en afstemmen van het beleid in de organisatie en gaat mee met wijzigingen in de wetgeving.

Wij raden u aan om met ons het gesprek aan te gaan om uw security- en privacy situatie op niveau te brengen en te houden. Neemt u contact met ons op voor meer informatie.