Ga direct naar de inhoud

6 tips om te voldoen aan de Meldplicht datalekken

Meldplicht datalek.jpeg

Sinds 2016 geldt de Meldplicht datalekken in Nederland. Met de invoering van de nieuwe Europese privacywet op 25 mei 2018: de Algemene verordening gegevensbescherming (AVG), blijft die meldplicht bestaan – echter, in een iets aangepaste vorm. U bent nog steeds verplicht om datalekken te registreren en – wanneer de impact groot is – te melden. Met de zes tips in dit artikel bereidt u uw bedrijf voor op naleving van de AVG-meldplicht én van de bijbehorende zorgplicht.

Voor wie geldt de meldplicht?

De AVG geldt voor alle bedrijven die persoonsgegevens bezitten of verwerken: van zowel klanten als medewerkers. Valt uw bedrijf daaronder? Met deze zes tips, kunt u dit belangrijke onderdeel van de AVG naleven.

Let op: u verwerkt vaak meer persoonsgegevens dat u denkt. Zowel digitale als analoge gegevens vallen onder de wetgeving. 

 

Tip 1: Voer een duidelijk wachtwoordbeleid

Helaas komt het nog te vaak voor dat een datalek wordt veroorzaakt door menselijk handelen. Met een goed wachtwoordbeleid kunt u dit helpen voorkomen. Als u daarnaast gebruikmaakt van encryptie (versleuteling) en twee-factor-authenticatie (een extra verificatiemethode: naast het wachtwoord is een token (code) nodig om toegang te krijgen tot de gegevens), kunt u ervan uitgaan dat de kans op een datalek aanzienlijk kleiner is.

 

Tip 2: Versleutel privacygevoelige informatie

Zorg dat privacygevoelige informatie zoals bedrijfsgegevens op alle apparaten, die in uw bedrijf worden gebruikt voor het verwerken van die informatie, goed worden beveiligd. Bijvoorbeeld door deze te versleutelen. Vergeet daarbij de verwisselbare media niet, zoals USB-sticks, cd’s, dvd’s en externe opslagdisks.

 

Tip 3: Voer een aantoonbaar beveiligingsbeleid

Wanneer u een datalek meldt, moet u kunnen aantonen wat de oorzaak is van het lek. De Autoriteit Persoonsgegevens (AP): de handhavende instantie, zal u vragen om een informatiebeveiligingsbeleid en eventueel de logging (registratie van activiteiten). Om aan de meld- een aantoningsplicht te kunnen voldoen, is het in veel gevallen noodzakelijk om encryptiesoftware te gebruiken. Daarnaast adviseren wij u, waar mogelijk, gebruik te maken van twee-factor-authenticatie voor de toegangsbeveiliging van uw gevoelige bedrijfsgegevens (zie tip 1). Daarnaast stelt de AVG nóg strengere eisen aan de interne registratie van beveiligingsincidenten. Daarom moet u alle incidenten vastleggen. Aan de hand van deze documentatie moet de AP met terugwerkende kracht kunnen controleren hoe incidenten zijn verlopen en wat u gedaan heeft om ze te voorkomen en/of op te lossen.

 

Tip 4: Versleutel ook data in de cloud

Maakt u gebruik van clouddiensten voor het verwerken of opslaan van persoonsgegevens (Office 365, Google apps of Dropbox, maar ook online administratie- en boekhoudpakketten)? Wees u er dan van bewust dat u daarmee de beveiliging van uw data uit handen geeft aan de cloudprovider. Dat ontslaat u echter niet van uw verplichting om die gegevens te beschermen! Zorg er daarom voor dat de gevoelige data die u uploadt naar de cloudprovider versleuteld wordt opgeslagen.

 

Tip 5: Versleutel e-mail

Ook persoonsgegevens die worden gedeeld met derden, bijvoorbeeld per e-mail, moeten altijd versleuteld worden uitgewisseld. Dat kan met speciale apps of een Outlook-plug-in.

 

Tip 6: Meld een datalek binnen drie werkdagen

Of uw organisatie een datalek moet melden, is nog de vraag. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens. Is die groot? Dan bent u verplicht het incident binnen drie werkdagen te melden. Dat kan via het meldloket datalekken. Wanneer u aan alle bovenstaande eisen voldoet, kunt u dat met een gerust hart doen: alle rapportage en vastlegging (logging) van digitale systemen is in uw bedrijf goed op orde.

 

Gratis startpakket voor Cyber en AVG

Bent u klant van ABN AMRO? Dan kunt u gebruik maken van een gratis cyber- en AVG-startpakket: Privacy Zeker Start. Hiermee krijgt u toegang tot uw eigen datalekregister inclusief ondersteuning bij incidenten.

Geschreven door

Ook interessant