blog

    Een jaar meldplicht datalekken

    Monique Hennekens
    Monique HennekensPublicatiedatum: 6 januari 2017
    Een jaar meldplicht datalekken

    Vanaf 1 januari 2016 bestaat de verplichting voor alle organisaties om datalekken aan de Autoriteit Persoonsgegevens te melden. Er zijn in 2016 bijna 5.500 meldingen van datalekken gedaan, blijkt uit het persbericht. Een veel voorkomend datalek is dat persoonsgegevens per ongeluk verkeerd terecht komen. Is die ene e-mail die naar een verkeerd adres was gestuurd gemeld?  

    Meest voorkomende datalekken

    Uit de factsheet van de Autoriteit Persoonsgegevens over de meldplicht datalekken in 2016 blijkt dat de meest voorkomende datalekken incidenten zijn waarbij persoonsgegevens per ongeluk bij een verkeerde ontvanger terecht komen. Dit kan zijn omdat een brief verkeerd wordt bezorgd, omdat een e-mail naar een verkeerd e-mailadres wordt verstuurd of omdat een klant in een klantportaal de gegevens van iemand anders ziet. Ook verloren USB sticks en verloren of gestolen laptops en telefoons zijn veel voorkomende datalekken. Het gaat dus zeker niet alleen om cybercrime!

    Beveiliging van persoonsgegevens

    De meldplicht datalekken houdt verband met de verplichting om persoonsgegevens adequaat te beveiligen tegen verlies of onrechtmatige verwerking. Deze verplichting houdt niet alleen in dat IT systemen of verbindingen technisch beveiligd zijn, maar ook dat er organisatorische maatregelen zijn genomen binnen de organisatie. Denk aan waarborgen binnen de administratieve processen, zoals autorisaties en logging, bewustwording bij medewerkers en afspraken over de omgang met bijzondere persoonsgegevens, zoals medische gegevens of Burger Service Nummers. De Autoriteit Persoonsgegevens geeft aan regelmatig tips en signalen te ontvangen over mogelijk onvoldoende beveiliging bij organisaties en neemt daar ook actie op. 

    Maatregelen Autoriteit Persoonsgegevens

    Een melding van een datalek is vertrouwelijk en de Autoriteit Persoonsgegevens doet daar geen uitspraken over. Als de Autoriteit Persoonsgegevens een melding van een datalek ontvangt kan zij de volgende acties ondernemen:

    – contact opnemen om de informatie in een melding te verifiëren of aan te vullen;

    – de organisatie verplichten om betrokkenen, degene op wie de persoonsgegevens betrekking hebben, te informeren;

    – voorlichting geven en organisaties wijzen op beveiligingsrisico’s;

    – een onderzoek instellen; of

    – overgaan tot handhaving. 

    In 2016 heeft de Autoriteit Persoonsgegevens meer dan 100 organisaties waarschuwingen gegeven dat zij hun beveiliging op orde moeten brengen en is zij bezig met tientallen, nog lopende, onderzoeken. 

    Actie nodig

    De Autoriteit Persoonsgegevens kan ook handhavend optreden. Naast een last onder dwangsom kan zij sinds 1 januari 2016 ook boetes opleggen oplopend tot € 820.000 of zelfs 10% van de jaaromzet. Die boete kan ook worden opgelegd aan de bestuurder. Wil je weten of binnen jouw organisatie de beveiliging van persoonsgegevens in orde is of dat je procedure voor de meldplicht datalekken voldoet aan de eisen van de Autoriteit Persoonsgegevens? Neem dan contact op met Monique Hennekens. Wij bieden ook (bewustwordings)cursussen op maat.