Wet meldplicht datalekken: zo voorkom je een boete

Aangenaam, ik ben de Wet meldplicht datalekken, wie bent u? 

Per 1 januari 2016 heeft de Wet meldplicht datalekken zijn intrede gedaan. De Wet meldplicht datalekken is een uitbreiding van bepalingen op de reeds aangenomen Wet Bescherming Persoonsgegevens. Veel organisaties zijn in 2015 met deze nieuwe wetgeving geconfronteerd, maar wij zien ook organisaties in de markt die zich vandaag de dag zich realiseren dat er “iets” moet gebeuren. Maar wat dan precies? Met deze blog wijzen wij u op de belangrijkste aandachtspunten.

Wet meldplicht datalekken: wat is er veranderd?

De Wetgever heeft de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) voorzien van een boetebevoegdheid voor vrijwel alle verplichtingen voortvloeiend uit de Wet bescherming persoonsgegevens. Deze meldplicht verplicht organisaties die persoonsgegevens verwerken, datalekken binnen 72 uur te melden nadat deze zijn ontdekt. De Autoriteit Persoonsgegevens (AP) beoordeelt de melding en kan een organisatie indien noodzakelijk een bindende aanwijzing of een boete opleggen. Deze boetes kunnen flink oplopen, zoals is gecommuniceerd op de website van de AP.

De meldplicht: uw interne organisatie onder een vergrootglas

Wanneer tijdig iets gemeld moet worden, dan vereist dit coördinatie en dient gewerkt te worden met vastgestelde processen en procedures. Het opstellen van een procedure voor het melden van een datalek vereist op meerdere plekken in de organisatie diepgaand inzicht.

Denk bijvoorbeeld aan:

• Verwerk ik persoonsgegevens en als dit het geval is, waar gebeurt dit dan?
• Hoe zit mijn ICT infrastructuur precies in elkaar? Welk systeem staat waar? Zijn de systemen up-to-date? Worden deze systemen gemonitord? Kijkt er ook iemand naar de logging? Hoe ziet mijn incident response plan eruit?
• Heb ik mijn ICT ketens en bijbehorende ketenpartners in beeld?
• Is mijn informatiebeveiligingsbeleid nog up-to-date? Zijn mijn risico’s afdoende gemitigeerd? Zijn mijn medewerkers afdoende op de hoogte van de potentiele gevaren?
• Heb ik al mijn (toe)leveranciers inzichtelijk en heb ik afdoende juridische afspraken gemaakt met deze leveranciers? Wat als zij mijn data lekken? Zijn mijn bewerkersovereenkomsten op orde?
• Weet ik wat ik moet doen als er zich een datalek voordoet? Wie is verantwoordelijk en wie van welke afdeling is betrokken? Hoe zit het met de communicatie als de pers voor de deur staat?
• Zijn er relatief gemakkelijk te implementeren maatregelen/oplossingen in het kader van de Wbp?

We zien bij organisaties dat de samenkomst van al de hierboven genoemde organisatieonderdelen voor grote complexiteit kan zorgen; vanuit meerdere gezichtsvelden hetzelfde onderwerp aanvliegen vergt coördinatie, volhardendheid en last but not least een breed blikveld. Meerdere tot op heden relatief zelfstandig functionerende disciplines dienen nu gezamenlijk tot het juiste niveau te komen.

Maar wat moet ik nu precies doen?

Zoals eerder in deze blog geschetst is een van de belangrijkste, direct merkbare gevolgen van de Wet Meldplicht Datalekken, de verplichting voor organisaties om datalekken tijdig en afdoende onderbouwd te melden. Dit leidt dan ook volgens ons tot de volgende concrete aanbevelingen:

1. Stel een privacy officer aan die deel uitmaakt van een privacy office (het is aan te bevelen om de privacy officer rol te verdelen over meerdere personen om continuïteit te garanderen).
2. Stel een projectteam samen om de Meldplicht te implementeren. Zorg dat binnen dit team minimaal management, ICT, security, juridische zaken, compliance en communicatie is vertegenwoordigd.
3. Stel een procedure op voor het melden van datalekken waarin zowel interne medewerkers als externe organisaties (bijvoorbeeld dienstverleners) aan uw organisatie gerelateerde datalekken kunnen melden. Zorg dat deze procedure in de organisatie bekend is en dat het meldpunt op verschillende manieren (bijvoorbeeld via mail/telefoon) bereikbaar is.
4. Zorg voor een applicatie basis waarin op een gestructureerde wijze de melding van een datalek kan worden geregistreerd.
5. Stel een (virtueel) team samen waarin taken en verantwoordelijkheden gedurende de ontdekking van een datalek voor verschillende organisatieonderdelen (management/directie, privacy office, ICT, Security, JZ) helder zijn. Gezien het korte tijdspad waarin een datalek gemeld dient te worden is het zaak dat iedereen goed samenwerkt.
6. Krijg inzicht in wat er allemaal bij de AP gemeld moet worden indien zich een lek voordoet, organiseer ook oefeningen om samenwerking tussen verschillende organisatieonderdelen te testen.
7. Communiceer regelmatig in de organisatie over datalekken en informatiebeveiliging om veelvoorkomende incidenten te voorkomen.

Heeft u vragen over dit artikel? Aarzel niet en neem contact met ons op!