Meldplicht datalekken voor iedere organisatie?

Weet U als ondernemer of u straks aan de meldplicht datalekken moet voldoen? Private en  publieke organisaties zijn straks verplicht om inbreuken op de informatiebeveiliging te melden.

 

Wetsvoorstel meldplicht datalekken

 

Staatssecretaris Teeven van Veiligheid en Justitie heeft op 21 juni 2013, mede namens de minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties en minister Kamp van Economische Zaken,  het wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd. Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.

Door een beveiligingsfout kunnen grote hoeveelheden persoonsgegevens op straat belanden. De toezichthouder – het College bescherming persoonsgegevens (Cbp) – ontvangt een melding. Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het Cbp een boete opleggen van maximaal 450.000 euro.

Bron: rijksoverheid.nl

In een ideale wereld is informatie 100% beveiligd, maar dat is een utopie. Goed voorbereid zijn en tijdig reageren als zich toch beveiligingsincidenten voorgedaan hebben is een “must”.  Voor veel bedrijven zijn deze vraagstukken een ver van hun bed show. De ICT Infrastructuur is uitbesteed aan een gespecialiseerd bedrijf. Toch slaan veel bedrijven wel persoons- en vertrouwelijke gegevens op en zijn zij straks wel verplicht om beveiligingsincidenten te melden. Is dit op uw organisatie van toepassing, maak het dan in ieder geval bespreekbaar met uw ICT leverancier (datacenter, provider enz.).

Controleer of uw ICT leverancier haar processen goed heeft ingericht. Mogelijk beschikt uw leverancier al over een gedocumenteerd Information Security Management System (ISMS). Een aantal organisaties kan dit aantoonbaar maken door een certificaat (bijv. ISO 27001).  Zorg er in ieder geval dat u van uw leverancier een beschrijving ontvangt van hun werkwijze om beveiligingsincidenten te identificeren; te herstellen en in de toekomst te voorkomen en hoe zij straks samen met u zullen voldoen aan deze meldplicht.

Advertentie

Over Jolien van der Werff

"ik zie het leven als een grote ontdekkingstocht"

Bekijk alle berichten van Jolien van der Werff →