4 tips voor nieuwe wetgeving privacy en gegevensbescherming

hackedWe hebben er al eerder over geschreven: de nieuwe wet meldplicht datalekken en uitbreiding bestuurlijke boete CBP die in januari van start gaat. Ook vorige week kwam dit onderwerp uitgebreid aan bod tijdens Infosecurity 2015. En niet zonder reden. Deze nieuwe wetgeving heeft namelijk grote gevolgen voor alle organisaties.

 

Het is niets nieuws dat je als organisatie zorg moet dragen voor de data die je in je bezit hebt. Organisaties zijn verantwoordelijk voor de zogeheten “passende technische en organisatorische maatregelen” voor de beveiliging van persoonsgegevens. Dat geldt niet alleen voor de financiële gegevens van je organisatie, maar uiteraard ook voor informatie over je klanten of persoonsgegevens van medewerkers. De komst van deze nieuwe wetgeving zorgt echter niet alleen voor verscherpt toezicht rondom de bescherming en beveiliging van dergelijke (persoons)gegevens, maar legt ook de verplichting op om datalekken te melden aan het CBP. Daarnaast stelt de wet meldplicht datalekken ook boetes in het vooruitzicht wanneer deze gegevens door een inbreuk op de beveiliging op straat komen te liggen of wanneer een datalek niet gemeld wordt. Van een “datalek” is overigens niet alleen sprake wanneer er data op straat is komen te liggen als gevolg van een cyberaanval of hack. Maar ook in andere situaties, zoals wanneer een drager met data (laptop, mobiel, usb stick) is gestolen of kwijtgeraakt.

Tips & maatregelen
Tijdens ons Partner Event in september gingen Gert-Jan Kroese en Helena Verhagen, oprichters en partners van Privacy Valley, in op de juridische aspecten van deze nieuwe wetgeving. Zij deelden een aantal handige tips rondom de technische en organisatorische maatregelen die je als organisatie geacht wordt te treffen. Hieronder de belangrijkste punten:

  1. Gebruik niet meer gegevens dan nodig
    Durf kritisch te kijken naar de informatie die je als organisatie in je bezit hebt en verzamelt. Zijn al die gegevens echt nodig? Zorg dat je niet meer data verzamelt en bewaard dan nodig. Verwijder van tijd tot tijd data die je niet meer nodig hebt en verwijder indien mogelijk identificerende kenmerken.
  2. Houd de toegang tot gegevens zoveel mogelijk beperkt
    Hoe meer mensen toegang hebben tot bepaalde gegevens, hoe groter de kans is dat deze op onbedoelde plaatsen terecht komen. Geef daarom niet iedereen toegang tot bepaalde gegevens, maar beperk dit tot een zeer select aantal.
  3. Zorg voor adequate beveiliging
    Organisaties worden geacht passende maatregelen te treffen voor de beveiliging van gegevens tegen verlies of enige vorm van onrechtmatige verwerking. Kijk daarom kritisch naar de huidige beveiliging. Laat bij voorkeur een audit uitvoeren, zodat je exact weet hoe je er als organisatie voor staat. Blijkt hieruit dat de beveiliging nog niet voldoende op orde is, dan heb je nu nog kort de tijd hier stappen tegen te ondernemen. Word je na januari geconfronteerd met bijvoorbeeld een cyberaanval waarbij gegevens op straat komen te liggen, dan ben je als organisatie verplicht dit te melden. Als bovendien blijkt dat de beveiliging van deze informatie niet op orde was, dan kan hiervoor een (hoge) boete uitgedeeld worden. Zaak dus om direct orde op zaken te stellen en stappen te ondernemen.
  4. Formuleer beleid en stel een plan op
    Het is een utopie te denken dat je als organisatie niet geconfronteerd wordt met een cyberaanval, phishing mail, of welke andere vorm van cybercriminaliteit ook. Wees daarom voorbereid. Het is namelijk niet de vraag óf je doelwit wordt maar wanneer. Naast het treffen van de juiste beveiligingsmaatregelen, en het opstellen van een intern protocol voor beveiliging van data, moet je als organisatie zorgen dat er een beleid is rondom cybercrime. Zorg dat er een protocol klaar ligt waarin duidelijk geformuleerd staat wat je moet doen wanneer je met bijvoorbeeld een datalek of gerichte aanval wordt geconfronteerd. Snel, maar vooral ook doordacht en adequaat handelen, is hierbij cruciaal. Vergeet ook niet dat er bij een datalek bijna altijd melding gemaakt moet worden bij de toezichthouder, het CBP. In veel gevallen zal ook de betrokkene geïnformeerd moeten worden. De impact op de reputatie van de organisatie is dan aanzienlijk. Dergelijke inbreuken of datalekken moeten ook nog eens bijgehouden worden in een apart register. Leef je als organisatie de meldplicht niet na, dan staat daar een aanzienlijke boete op tot maximaal €810.000. Benieuwd wanneer je wel of geen melding moet maken? Het CBP is druk bezig hiervoor richtlijnen op te stellen die je online kunt terugvinden (zie: Conceptrichtsnoeren).

Neem concrete stappen om compliant te zijn 
We praten je graag bij over dit onderwerp. Zo kunnen onze security-experts je meer vertellen over de laatste ontwikkelingen op het gebied van cybercrime en beveiliging en de te nemen stappen, zodat je als organisatie voor 2016 compliant bent. Maar ook de experts van Privacy Valley kunnen je hier meer over vertellen (info@privacyvalley.com). Blijf ons blog volgen komende periode voor meer informatie over dit onderwerp.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.