Vanaf 1 januari 2016 geldt in Nederland de “Wet melding datalekken” (zie: Meldplicht Eerste Kamer voor meer informatie). Dat betekent dat u vanaf 1 januari aanstaande melding moet maken bij het College Bescherming persoonsgegevens (CBP) als u een “ernstig datalek” heeft. In sommige gevallen moet u dit ook melden aan betrokkenen.

Antwoord op uw vragen

Een aantal vragen wordt ons regelmatig gesteld. Wat is een “ernstig” datalek? Hoe weet ik waar welke persoonsgegevens in mijn organisatie worden gebruikt? Hoe weet ik of ik dit moet melden? Valt mijn personeelsregistratie of mijn CRM systeem daar dan ook onder? Laten we eerlijk zijn, we werken allemaal met persoonsgegevens, want welke business kan zonder relaties, zonder mensen? Op de site van het CBP kunt u twee handige documenten vinden. Het eerste zijn de “concept richtsnoeren” over de meldplicht. Dit is een handige leidraad om te bepalen of u melding moet maken. Het tweede document is de “Handreiking vrijstellingsbesluit Wbp”. In dit document staat welke verzamelingen van persoonsgegevens uitgesloten zijn van melding en onder welke voorwaarden. Kortom, de rechtvaardiging dat bepaalde verzamelingen van persoonsgegevens zo veel voorkomen en zo vanzelfsprekend zijn, dat u dit niet hoeft te melden. Het zou vreemd zijn als u deze persoonsgevens niet registreert en verwerkt.

U komt met deze handreikingen een heel eind, maar de eerste vragen zijn nog niet beantwoord: Welke gegevensverzamelingen heb ik eigenlijk, waar en hoe worden ze gebruikt? Opnieuw, een aantal voor de hand liggende kunnen we zo aangeven. Maar in veel gevallen blijkt dat we niet van alle registraties weten of deze aan de gestelde eisen voldoen, of we weten niet of een bepaald bestand met persoonsgegevens ergens op een laptop staat, waardoor we meteen een risico lopen als deze mocht worden gestolen. Of nog makkelijker een usb stick of iets dergelijks. Op zich is dat natuurlijk al een reden om niet meer met usb sticks te werken maar alles gewoon in OneDrive op te slaan. De praktijk is echter vaak anders.

Krijg grip op de materie Datalekken

U kunt een paar eenvoudige maatregelen treffen om grip te krijgen op deze materie. De boetes die het CBP kan opleggen zijn veel hoger dan de inspanning die u hiervoor moet doen (deze kunnen namelijk in extreme gevallen oplopen tot €810.000 euro). Om te beginnen komt u vrij eenvoudig te weet waar welke gegevens verzamelingen in uw organisatie aanwezig te zijn door te kijken naar de door u gebruikte applicaties, IT-systemen, bedrijfsprocessen en personen. Voor elk proces of locatie waar applicaties en IT-systemen in gebruik zijn kunt u vaststellen welke eisen van de wet melding datalekken relevant zijn. Dit wordt weergegeven door onderstaand schema:

Schema eisen Meldplicht datalekken

De relaties zijn vaak eenvoudig te leggen. Vraag uw mensen welke applicaties en systemen ze gebruiken en leg deze vast in een matrix. Houdt daarbij rekening met “systemen” in de zin van data opslag op netwerk shares, laptops, usb sticks etc. Vervolgens kunt u de leidraad van CBP erbij pakken om na te gaan waar uw risico’s liggen.

Bovenstaande is eenvoudig te automatiseren door gebruik te maken van standaard productiviteits producten als Office365, Sharepoint en Dynamics CRM. Blockx heeft een Sharepoint template ontwikkeld waarin de identificatie van relevante gegevens verzamelingen kan worden vastgelegd, maar gelijk ook een online checklist wordt ingevuld om eventuele meldingsplicht na te gaan, inclusief links naar het CBP. Zo wordt het voor uw bedrijf heel eenvoudig om de wet meldplicht datalekken na te leven, risico’s te minimaliseren en grip te houden op uw organisatie.

2016-11-12T10:08:29+00:00

About the Author: