of 59167 LinkedIn

Meldplicht datalekken: deze incidenten mag u niet verzwijgen

Meldplicht datalekken: deze incidenten mag u niet verzwijgen. Zeven gevallen waarbij het raadzaam is om direct uw werkgever in te lichten
1 reactie

Iedereen kent wel het gevoel van paniek: u voelt in uw binnenzak en uw smartphone is weg. De paniek is extra groot als op het apparaat persoonsgegevens van klanten staan. Die liggen dan op straat. Maar denkt u er wel aan om dit direct te melden bij uw werkgever? Doet u dat niet, dan kan uw werkgever letterlijk een boete krijgen van miljoenen euro's.

Strenge regelgeving

De regels waaraan bedrijven zich bij de bescherming van persoonsgegevens moeten houden, worden steeds strenger. Nu al kan de Autoriteit Persoonsgegevens een boete tot maximaal 820.000 euro opleggen als een bedrijf het weglekken van persoonsgegevens niet meldt.

Dit bedrag valt in het niet vergeleken bij de boete die de Nederlandse privacywaakhond vanaf 25 mei 2018 kan opleggen. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze Wet bescherming persoonsgegevens. Met de AVG in de hand kan de AP boetes opleggen tot maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet.

 

Wanneer melden?

Om een datalek te kunnen melden, moet de werkgever echter wel op de hoogte zijn van het lek. Voor de werkgever is het dus belangrijk dat medewerkers melding maken van ieder security-incident - of het nu gaat om een gestolen smartphone, een verloren USB-stick of een verkeerd geadresseerd e-mailtje.

In deze gevallen is het raadzaam om direct uw werkgever in te lichten:

 

1. Verlies van een USB-stick met persoonsgegevens

Door het kleine formaat gaat een USB-stick redelijk makkelijk verloren. Het overkwam bijvoorbeeld GGD IJsselland. De instantie verloor een USB-stick met daarop gevoelige informatie over een familie uit Balkbrug. Een pijnlijk incident waar de privacywaakhond zeker een melding van wilde ontvangen, evenals de betrokken familie.

 

2. Diefstal van een laptop

Na een etentje met collega’s blijkt dat de laptop gestolen is uit de kofferbak van de auto. Zeer vervelend, zeker als op die laptop persoonlijke informatie staat zoals naw-gegevens, geboortedata en klant- of patiëntnummers.

 

Bijvoorbeeld het Universitair Medisch Centrum Groningen kan hierover meepraten. Na diefstal van drie laptops lagen de gegevens van 1.400 patiënten op straat. Een medewerker die de diefstal van een laptop ontdekt, moet direct alarm slaan.

 

3. Verlies of diefstal van een tablet of smartphone

Verlies van een smartphone of tablet is al jaren een van de belangrijkste oorzaken van dataverlies. De gevolgen worden echter steeds ingrijpender. Vergeleken met enkele jaren geleden kunnen mobiele toestellen namelijk veel meer gevoelige gegevens opslaan en aanzienlijk meer vertrouwelijke data benaderen. Alle reden om de werkgever direct op de hoogte te stellen van verlies of diefstal.

 

4. Besmetting met malware

Bepaalde typen malware doorzoeken besmette apparaten op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen, wachtwoorden en creditcardgegevens, om deze vervolgens weg te sluizen naar een server die in handen is van de aanvaller.

 

In de visie van de Autoriteit Persoonsgegevens is er bij besmetting door ‘gijzelsoftware’ zelfs altijd sprake van een datalek. Heeft u dus op de laptop ‘van de baas’ last van ransomware of andere digitale problemen, trek dan meteen aan de bel.

 

5. Menselijke fouten

De meeste datalekken zijn het gevolg van menselijke fouten. Dan kan het bijvoorbeeld gaan om een verkeerd geadresseerde e-mail. Het overkwam de gemeente Amersfoort. Een ambtenaar stuurde een e-mail met daarin gevoelige gegevens van 1.800 burgers naar het verkeerde adres.

 

Het niet melden van dit incident leverde de nodige media-aandacht en politieke en maatschappelijke commotie op. Ook kon de gemeente rekenen op de warme belangstelling van de Autoriteit Persoonsgegevens.

 

6. Verlies van papieren documenten

In het huidige digitale tijdperk wordt vaak gedacht dat alleen digitale data kunnen lekken. Niets is minder waar. De wet verplicht bedrijven ook dat ze zuinig omspringen met papieren documenten die persoonsgegevens bevatten.

 

Als bijvoorbeeld een persoonlijk behandelplan per ongeluk blijft liggen in een wegrestaurant, is de kans groot dat ‘onbevoegden’ de gegevens inzien. Komt u er ’s avonds thuis pas achter dat u een papieren document met persoonsgegevens kwijt bent? Aarzel dan niet om dit direct te melden.

 

7. Vernietiging van persoonsgegevens

Een ander hardnekkig misverstand is dat de meldplicht datalekken alleen geldt als persoonsgegevens (vermoedelijk) in verkeerde handen zijn gevallen. Een bedrijf moet in sommige gevallen ook vernietiging van gegevens melden, ook als die niet zijn gelekt.

 

Bedenk wat de gevaren zijn van onder meer mobiel werken met verschillende apparaten en apps. Heeft een medewerker privé een malafide app geïnstalleerd of het apparaat per ongeluk in de trein achtergelaten? Dan loopt u het risico dat er gevoelige informatie op straat komt te liggen en bestaat de kans dat er sprake is van een datalek.

 

U kunt voorkomen dat uw ICT-afdeling geen zicht heeft op de beschreven situaties, onder andere door het inzetten van Mobile Device Management. Lees hier meer over in de whitepaper 'Medewerkers veilig mobiel dankzij Enterprise Mobility Management.' Met de juiste voorbereiding, alertheid en oplossingen voorkomt u hoge boetes.

 

AfbeeldingWhitepaper: 'Uw medewerkers veilig mobiel'

Maak gebruik van mobiele apparaten veilig voor uw medewerkers en voorkom datalekken binnen uw organisatie. Lees er alles over in het whitepaper.

 
Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door PJ Westerhof op
Het artikel maakt - terecht - duidelijk dat mobiele datadragers een belangrijke component van het probleem zijn.

In het kader van risicobeheersing zou het dus aanbeveling verdienen de beleidslijn 'centraal tenzij' te hanteren. Zie ook het datalek bij de Belastingdienst.

Voor het copiëren van vertrouwelijke gegevens naar externe gegevensdragers - laat staan smartphone of tablet - dient een zwaarwegende reden te bestaan, dient dit gebruik kortstondig te zijn en nadrukkelijk te wordem gemonitord.

Gebruiksgemak is geen excuus voor een inbreukrisico

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers