Datalekken melden?

Wazda-IT USB Stick

Nieuwe wetgeving rond datalekken?Wazda_blog_datalek_usbstick

We krijgen veel vragen uit ons netwerk over de nieuwe wetgeving rond datalekken. Vandaar dat we een kort blog hebben geschreven om je te informeren over deze nieuwe ontwikkeling in IT-land. Dat is tenslotte ons vak ; )

Wat is het?

Datalekken zijn zo ‘klein’ als het kwijtraken van een USB stick, tot zo ‘groot’ als een inbraak waarbij alle data ‘gelekt’ wordt. Onder ‘data’ verstaan we algemeen alle digitaal opgeslagen vormen van informatie. Dat kan een worddocument zijn, maar ook een printopdracht. Een administratie, maar ook een serie wachtwoorden.

Per 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Dit op zich is niet nieuw, er waren al regelgevingen actief waarbij er verplichtingen waren rond het omgaan met persoonsgegevens. Nu heeft de toezichthouder (Autoriteit Persoonsgegevens, voorheen CBP) meer vrijheid gekregen in het opleggen van boetes bij het niet handhaven van een degelijk beleid wat kan leiden tot datalekken.

 

Wie is verantwoordelijk?

De eigenaar van de data is altijd zelf verantwoordelijk voor de beveiliging ervan. Of de eigenaar werkt op een traditionele server omgeving, gebruik maakt van private Cloud of zelfs public Cloud is hier niet van belang.

Wanneer je in de Cloud werkt heb je minder grip op hoe de beveiliging is geregeld.  Daarom is het altijd handig een bewerkerovereenkomst af te sluiten met ICT partners. Hierin worden afspraken gemaakt over de verantwoordelijkheden en de te nemen maatregelen.

Wat kan je doen om je goed te beschermen in het kader van deze nieuwe regelgeving?

  • Sluit een NDA (Non Disclosure Agreement) af met iedere partner waar u mee samenwerkt.
  • Vraag, aan de partners welke data van u en uw relaties heeft, een statement op hoe zij deze opslaan.
  • Wees er zeker van dat uw organisatie, in relatie tot de beschikbare middelen, de juiste technische maatregelen heeft doorgevoerd. Laat eventueel een security audit uitvoeren.
  • Sluit een bewerkersovereenkomst af met uw ICT Partners die uw organisatie heeft ingeschakeld evenals met Cloud providers.
  • Maak het in je organisatie duidelijk wat een datalek is en wat de interne afspraken zijn hoe hier mee om te gaan.

 

Melden

Niet bij alle datalekken hoeft er direct een melding gemaakt te worden. Dit is afhankelijk van de impact en het type data dat is gelekt. Bij zowel kwalitatief (bijvoorbeeld financiële gegevens en wachtwoorden) als kwantitatief (bijvoorbeeld een grote serie voornamen) ernstige lekken, dient er binnen 72 uur na de ontdekking een melding te worden gemaakt bij de toezichthouder.

Als er sprake is van ongunstige gevolgen (reputatieschade, identiteitsfraude enz.) dient het datalek ook te worden gemeld bij de organisaties, dan wel personen, van wie de gegevens zijn gelekt.


Maar…

Het niet hoeven te melden is aanzienlijk beter natuurlijk. Het is in alle gevallen beter om ervoor te zorgen dat er niets te melden valt. Om dit te realiseren is een goed intern beleid evenals een goed beveiligde ICT infrastructuur nodig. Ben je hier niet zeker over? Laat het weten, misschien kunnen wij je helpen.

Reageren via Linkedin of een mailtje naar collega Mitchel: m.ponsioen@wazda.nl is voldoende. We nemen dan dezelfde dag contact met je op.

 


Sinds 2011 mag Mitchel zich ondernemer noemen als Managing Director bij Wazda-IT Solutions. Wij promoten samen slimmer werken. ICT oplossingen welke echt bijdragen aan jouw organisatie. Dit doe ik, trouwens iedereen bij Wazda, graag op basis van Zakelijke Vriendschappen: Elkaar echt leren kennen, weten wat er speelt en waar de behoefte ligt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *