of 59054 LinkedIn

7 tips om in control te zijn bij meldplicht datalekken

7 tips om in control te zijn bij meldplicht datalekken. Deze aandachtspunten dragen bij aan het sneller en correct melden van een datalek. En daarmee ook aan het voorkomen van een boete
Reageer

Per ongeluk een e-mail verkeerd geadresseerd? Dat kan de besten overkomen.

Maar wat als u in dat mailtje klanten met naam en toenaam noemt? De kans is dan groot dat er sprake is van een datalek. Het gevolg is dat u het incident op basis van de meldplicht datalekken per direct en binnen 72 uur moet melden bij in ieder geval de Autoriteit Persoonsgegevens. Maar zijn bedrijven en instellingen wel goed op de hoogte van deze wetgeving? Uit onderzoek van KPN Security Services blijkt van niet.

Veel vragen te beantwoorden

De meldplicht datalekken verplicht bedrijven om een datalek te melden bij de Autoriteit Persoonsgegevens als de bescherming van persoonsgegevens (mogelijk) gevaar loopt. In de praktijk blijkt echter dat veel organisaties moeite hebben om de juiste informatie boven tafel te krijgen, zeker binnen de beoogde termijn van 72 uur.

 

Uit een enquête die KPN Security Services afnam onder business- en IT-managers over de meldplicht datalekken, bleek bovendien dat bedrijven worstelen met vragen als ‘Wanneer moet ik een datalek melden?’. Hierdoor verliezen zij kostbare tijd.

 

Slechts een kwart van de respondenten weet wanneer de Wet bescherming persoonsgegevens spreekt van een datalek. Daarnaast weet een fractie meer bij wie zij een lek in ieder geval moeten melden als deze een aanzienlijke kans heeft op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Ruimschoots drie kwart van de ondervraagden weet niet wie een datalek moeten melden als er een bewerker zoals een hostingprovider of SaaS-leverancier in het spel is.

 

7 tips

Duidelijk is dat organisaties nog niet ‘in control’ zijn als het gaat om de meldplicht datalekken. Dit is wel nodig om het melden van een lek goed te laten verlopen. Daarom 7 tips om in control te zijn:

  1. Zet technische maatregelen in om een incident zoals een datalek te detecteren. Denk dan aan monitoring van het uitgaande netwerkverkeer of aan het beheer van de mobiele apparaten die in gebruik zijn. Zonder dergelijke maatregelen blijft bijvoorbeeld communicatie van een besmette computer met een Command and Control-server van een hacker onopgemerkt.
  2. Zorg voor intern duidelijke procedures voor het melden van een datalek. Organisaties moeten voorkomen dat medewerkers bijvoorbeeld het kwijtraken van een USB-stick niet doorgeven. De aanwezigheid van een ‘helpdesk’ of vertrouwenspersoon die de meldingen in ontvangst neemt, kan de drempel verlagen.
  3. Maak helder wie de melding doorgeeft richting de Autoriteit Persoonsgegevens. Dit kan een afdelingsmanager zijn, een IT-medewerker die is belast met security, of iemand van de juridische afdeling die goed is ingevoerd in de privacyregelgeving. Misschien heeft u zelfs al een Data Protectie Officer in dienst? De aankomende Europese Privacyverordening stelt deze functie in sommige gevallen verplicht.
  4. Uit het onderzoek blijkt dat veel organisaties niet bekend zijn met de richtlijnen voor het melden. De beleidsregels meldplicht datalekken die de Autoriteit Persoonsgegevens heeft opgesteld, bieden een goede houvast.
  5. Zorg dat u weet hoe uw incident-responseproces is ingericht. Bij de melding wil de Autoriteit Persoonsgegevens weten welke maatregelen u heeft getroffen om verdere schade te voorkomen, zoals het patchen van kwetsbare systemen of het wijzigen van wachtwoorden.
  6. Bereid uw communicatie van tevoren goed voor als het gaat om incidenten. Zo moet u niet alleen de getroffenen informeren, maar bijvoorbeeld ook de pers.
  7. Twijfel over het wel of niet melden van een incident? Melden! De meldplicht voorziet niet in boetes voor onnodige meldingen, maar wel in boetes voor het niet melden van een datalek.

 

Voorkom boetes

Bovenstaande aandachtspunten dragen bij aan het sneller en correct melden van een datalek. En daarmee ook aan het voorkomen van een boete. Is er toch nog onzekerheid of onduidelijkheid over het wel of niet melden? Of zijn na 72 uur nog niet alle gegevens boven water? Dan kan het zeker geen kwaad om in ieder geval alvast een ‘voorlopige melding’ te doen op basis van de informatie die beschikbaar is.

 

Auteur: Etienne van der Woude


Meer over Etiënne van der Woude

Etiënne is verantwoordelijk voor business- en partnerdevelopment binnen het commerciële securityportfolio van KPN Security Services. Hij is specialist op het gebied van Cyber Security, Identity & Privacy en Secure Communications.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers