of 58959 LinkedIn

Meldplicht datalekken komt eraan

Vanaf 1 januari 2016 wordt de wet ‘Meldplicht Datalekken en uitbreiding bestuurlijke bevoegdheid Cbp’ van kracht.  Hiermee loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming (AVG) die naar verwachting eind 2017 in heel Europa zal gaan gelden. In bijna alle gevallen is de gemeente wettelijk verantwoordelijk voor de gegevensverwerking. Wat houdt deze meldplicht in en hoe kunnen overheden zich hierop voorbereiden?  Centraal in de AVG staat het begrip accountability . Accountability gaat een stap verder dan verantwoordelijkheid; het betekent daadwerkelijke verantwoordingsplicht, controleerbaarheid en aansprakelijkheid. Het gaat erom dat de verantwoordelijke in het hele proces van gegevensverwerking in control is over de persoonsgegevens die hij verwerkt. De verantwoordelijke moet niet alleen kunnen vertellen hoe het zit met de gegevensverwerkingen, hij moet ook kunnen laten zien en zelfs bewijzen dat alles daadwerkelijk zo wordt uitgevoerd zoals is beschreven. Kortom, van tell me naar show me naar prove me .   Alomvattendheid  De wet Meldplicht Datalekken geeft ons een eerste indruk van de alomvattendheid van het begrip accountability in de AVG en wat dit voor organisaties gaat betekenen. Het doel van de wet is om de gevolgen van een datalek voor de betrokkenen zoveel mogelijk te beperken en hiermee een bijdrage te leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Het kan bij datalekken gaan om digitale lekken als gevolg van hacking maar ook om het zoekraken van een usb-stick, een print van een digitaal dossier of om verkeerd geadresseerde e-mail. Een datalek is geen ver-van-mijn-bedshow maar een dagelijkse realiteit voor talloze organisaties, zo ook voor gemeenten. Het is dus niet de vraag óf gemeenten hier na de DigiNotar-affaire opnieuw mee te maken zullen krijgen, maar wanneer het zal gebeuren, op welke schaal en met welke gevolgen.   Extra meldplicht  Het nieuwe artikel 34a van de Wet bescherming persoonsgegevens (Wbp) legt een extra meldplicht op aan verantwoordelijken wanneer er met de verwerking van persoonsgegevens iets is misgegaan. Allereerst de verplichting om het College Bescherming Persoonsgegevens (CBP) direct in kennis te stellen wanneer er aanzienlijke kans is op ernstige nadelige gevolgen voor de persoonlijke levenssfeer van burgers. Ten tweede de verplichting om ook de betrokken burgers direct in kennis te stellen wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.   De gemeente zal de betreffende burgers onder andere meteen moeten informeren over de aard van de inbreuk en de vermoedelijke gevolgen en over de maatregelen die de gemeente neemt om de gevolgen te beperken. Het gaat daarbij om een combinatie van algemene en individuele informatievoorziening, zoals een mededeling op de gemeentelijke website, een individuele e-mail aan getroffen burgers en het instellen van een centraal contactpunt. Een verantwoordelijke gemeente hoeft de betrokken burgers echter niet te informeren als er passende technische beschermingsmaatregelen (zoals adequate versleuteling) zijn genomen. Een derde verplichting die voortkomt uit de meldplicht betreft het bijhouden van een register van alle inbreuken met aanzienlijke kans op ernstig nadelige gevolgen, alsmede van de tekst en het tijdstip van berichtgeving aan betrokkenen.   Zware boetes  Deze inspanningsverplichtingen vragen veel van de gemeentelijke organisatie, zowel op het gebied van detectie van beveiligingsinbreuken als op het gebied van organisatie en communicatie. Op overtreding van de wet staan zware boetes (die kunnen oplopen tot meer dan 800.000 euro). Een afwachtende houding is niet aan te bevelen aangezien de wetgever naleving ( compliance ) actief gaat afdwingen en het nieuwe jaar binnen de kortste keren aanbreekt. Stappenplan  Met de invoering van de Wmo, de Jeugdwet en de Participatiewet hebben gemeenten nog voldoende uitdagingen bij de verwerking en bescherming van persoonsgegevens. Het recent herhaalde onderzoek van de Inspectie SZW onderstreept dat. Hier komen nu de extra verplichtingen van de wet Meldplicht Datalekken bij. Om zich tijdig voor te bereiden moet iedere gemeente een stappenplan of roadmap opstellen. De volgende stappen zijn hierbij denkbaar:  1. Het gemeentebrede bewustzijn dat een forse inhaalslag nodig is om compliant te worden;   2. De aanstelling van een projectmanager en gemeente-brede multidisciplinaire taskforce. Bijvoorbeeld de Functionaris Gegevensbescherming (FG), zoals genoemd in art 62 Wbp;   3. Een data-inventarisatie middels de Privacyscan VISD en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), met name de handreiking Dataclassificatie. Plus een overzicht van álle gemeentelijke systemen waarin persoonsgegevens worden verwerkt (van applicaties tot Excelbestanden) gerelateerd aan alle gemeentelijke werkprocessen;  4. Een analyse van deze gegevensverwerkingen aan de hand van de vragenlijst van het Meldingsformulier Wbp van het Cbp;   5. Een prioriteitstelling van de meest kwetsbare gegevensverwerkingen op basis van de risicobenadering (risico = kans x effect);   6. De opstelling van een plan met mitigerende maatregelen, de opzet van een registratie voor datalekken en een algemene procedure per gegevensverwerking hoe met datalekken wordt omgegaan met daarin een communicatiehoofdstuk. Meer weten?  Extra achtergrondinformatie vindt u in de factsheet ‘Meldplicht Datalekken’ verkrijgbaar via de website van de Informatiebeveiligingsdienst voor gemeenten (IBD). www.IBDgemeenten.nl Saskia Laaper, zelfstandig privaccy-adviseur en Programmamanager Informatie-uitwisseling LIEC

Vanaf 1 januari 2016 wordt de wet ‘Meldplicht Datalekken en uitbreiding bestuurlijke bevoegdheid Cbp’ van kracht. Hiermee loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming (AVG) die naar verwachting eind 2017 in heel Europa zal gaan gelden. In bijna alle gevallen is de gemeente wettelijk verantwoordelijk voor de gegevensverwerking. Wat houdt deze meldplicht in en hoe kunnen overheden zich hierop voorbereiden?

Centraal in de AVG staat het begrip accountability. Accountability gaat een stap verder dan verantwoordelijkheid; het betekent daadwerkelijke verantwoordingsplicht, controleerbaarheid en aansprakelijkheid. Het gaat erom dat de verantwoordelijke in het hele proces van gegevensverwerking in control is over de persoonsgegevens die hij verwerkt. De verantwoordelijke moet niet alleen kunnen vertellen hoe het zit met de gegevensverwerkingen, hij moet ook kunnen laten zien en zelfs bewijzen dat alles daadwerkelijk zo wordt uitgevoerd zoals is beschreven. Kortom, van tell me naar show me naar prove me.

Alomvattendheid
De wet Meldplicht Datalekken geeft ons een eerste indruk van de alomvattendheid van het begrip accountability in de AVG en wat dit voor organisaties gaat betekenen. Het doel van de wet is om de gevolgen van een datalek voor de betrokkenen zoveel mogelijk te beperken en hiermee een bijdrage te leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Het kan bij datalekken gaan om digitale lekken als gevolg van hacking maar ook om het zoekraken van een usb-stick, een print van een digitaal dossier of om verkeerd geadresseerde e-mail. Een datalek is geen ver-van-mijn-bedshow maar een dagelijkse realiteit voor talloze organisaties, zo ook voor gemeenten. Het is dus niet de vraag óf gemeenten hier na de DigiNotar-affaire opnieuw mee te maken zullen krijgen, maar wanneer het zal gebeuren, op welke schaal en met welke gevolgen.

Extra meldplicht
Het nieuwe artikel 34a van de Wet bescherming persoonsgegevens (Wbp) legt een extra meldplicht op aan verantwoordelijken wanneer er met de verwerking van persoonsgegevens iets is misgegaan. Allereerst de verplichting om het College Bescherming Persoonsgegevens (CBP) direct in kennis te stellen wanneer er aanzienlijke kans is op ernstige nadelige gevolgen voor de persoonlijke levenssfeer van burgers. Ten tweede de verplichting om ook de betrokken burgers direct in kennis te stellen wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

De gemeente zal de betreffende burgers onder andere meteen moeten informeren over de aard van de inbreuk en de vermoedelijke gevolgen en over de maatregelen die de gemeente neemt om de gevolgen te beperken. Het gaat daarbij om een combinatie van algemene en individuele informatievoorziening, zoals een mededeling op de gemeentelijke website, een individuele e-mail aan getroffen burgers en het instellen van een centraal contactpunt. Een verantwoordelijke gemeente hoeft de betrokken burgers echter niet te informeren als er passende technische beschermingsmaatregelen (zoals adequate versleuteling) zijn genomen. Een derde verplichting die voortkomt uit de meldplicht betreft het bijhouden van een register van alle inbreuken met aanzienlijke kans op ernstig nadelige gevolgen, alsmede van de tekst en het tijdstip van berichtgeving aan betrokkenen.

Zware boetes
Deze inspanningsverplichtingen vragen veel van de gemeentelijke organisatie, zowel op het gebied van detectie van beveiligingsinbreuken als op het gebied van organisatie en communicatie. Op overtreding van de wet staan zware boetes (die kunnen oplopen tot meer dan 800.000 euro). Een afwachtende houding is niet aan te bevelen aangezien de wetgever naleving (compliance) actief gaat afdwingen en het nieuwe jaar binnen de kortste keren aanbreekt.


Stappenplan
Met de invoering van de Wmo, de Jeugdwet en de Participatiewet hebben gemeenten nog voldoende uitdagingen bij de verwerking en bescherming van persoonsgegevens. Het recent herhaalde onderzoek van de Inspectie SZW onderstreept dat. Hier komen nu de extra verplichtingen van de wet Meldplicht Datalekken bij. Om zich tijdig voor te bereiden moet iedere gemeente een stappenplan of roadmap opstellen. De volgende stappen zijn hierbij denkbaar:
1. Het gemeentebrede bewustzijn dat een forse inhaalslag nodig is om compliant te worden;

2. De aanstelling van een projectmanager en gemeente-brede multidisciplinaire taskforce. Bijvoorbeeld de Functionaris Gegevensbescherming (FG), zoals genoemd in art 62 Wbp;

3. Een data-inventarisatie middels de Privacyscan VISD en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), met name de handreiking Dataclassificatie. Plus een overzicht van álle gemeentelijke systemen waarin persoonsgegevens worden verwerkt (van applicaties tot Excelbestanden) gerelateerd aan alle gemeentelijke werkprocessen;

4. Een analyse van deze gegevensverwerkingen aan de hand van de vragenlijst van het Meldingsformulier Wbp van het Cbp;

5. Een prioriteitstelling van de meest kwetsbare gegevensverwerkingen op basis van de risicobenadering (risico = kans x effect);

6. De opstelling van een plan met mitigerende maatregelen, de opzet van een registratie voor datalekken en een algemene procedure per gegevensverwerking hoe met datalekken wordt omgegaan met daarin een communicatiehoofdstuk.



Meer weten? Extra achtergrondinformatie vindt u in de factsheet ‘Meldplicht Datalekken’ verkrijgbaar via de website van de Informatiebeveiligingsdienst voor gemeenten (IBD). www.IBDgemeenten.nl

Saskia Laaper, zelfstandig privaccy-adviseur en Programmamanager Informatie-uitwisseling LIEC

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.