blog

    Week van de veiligheid: cybersecurity en datalekken

    Monique Hennekens
    Monique HennekensPublicatiedatum: 6 oktober 2017Laatste update: 14 augustus 2019
    Week van de veiligheid: cybersecurity en datalekken

    Op 7 oktober 2017 start de week van de veiligheid. De landelijke aftrap wordt dit jaar verzorgd door Minister Blok. Hij zal ook aandacht besteden aan het thema Cybersecurity. Een thema dat nauw samenhangt met de meldplicht datalekken.

    Cybersecurity

    Bijna iedere dag zijn er berichten over cybercrime. Systemen worden gehackt en bedrijven liggen tijdelijk plat door malware aanvallen met alle ellende van dien. Toch blijkt uit onderzoek dat veel Nederlandse ondernemingen niet weten wat ze moeten doen in geval van cybercrime en hoe zij hun cybersecurity kunnen verbeteren. Alert Online is een overheidscampagne die bedrijven daarbij wil helpen.

    Meldplicht datalekken bij cybercrime

    Bij cybercrime, zoals ransomware is sprake van een datalek. Er moet namelijk toegang tot de gegevens zijn geweest om deze te kunnen versleutelen. Bovendien waarschuwt de Autoriteit Persoonsgegevens dat er bij ransom- of cryptoware niet van kan worden uitgegaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan dus het hele systeem en alle gekoppelde bestanden raken. Er zal nader moeten worden onderzocht welke gegevens zijn geraakt en wat daarmee is gebeurd. Deze informatie is ook nodig bij de melding van het datalek. Om te beoordelen of de cyberaanval gemeld moet worden moet worden bepaald of er mogelijke ernstige nadelige gevolgen voor de bescherming van persoonsgegevens zijn. Als er persoonsgegevens van gevoelige aard zijn gelekt of er is een grote hoeveelheid persoonsgegevens geraakt dan kan er vanuit worden gegaan dat van dergelijke gevolgen sprake is. In dat geval zal binnen 72 uur na ontdekking via het meldloket een melding moeten worden gedaan bij de Autoriteit Persoonsgegevens (AP). Daarnaast zullen ook de betrokkenen moeten worden geïnformeerd als dit incident ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer. Denk daarvoor bijvoorbeeld aan een hack op inloggegevens of kopieën van ID bewijzen die zijn kwijtgeraakt.

    Checklists meldplicht datalekken

    Voor het opstellen van een procedure voor de meldplicht datalekken en om te beoordelen of een beveiligingsincident gemeld moet worden heb ik een aantal checklists opgesteld. Deze kun je via deze link downloaden.

    Heb je een datalek en weet je niet of je een melding moet doen, neem dan contact op met Monique Hennekens