Sinds 1 januari is de wet Bescherming Persoonsgegevens uitgebreid met de meldplicht datalekken die bedrijven en instellingen verplicht om (vermeende) lekken van privacygevoelige data te melden bij de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens). De Autoriteit Persoonsgegevens (AP) kan bij overtreding van de nieuwe wet een boete opleggen tot 820.000 euro. De AP riep de Raden van Bestuur van zorginstellingen in Nederland onlangs in een open brief op om zorgvuldig om te gaan met patiëntgegevens. Iedere week zien we nu wel een bericht in het nieuws terugkomen wat een typisch voorbeeld is van een ernstig datalek.
Sophos organiseert deze periode zijn Sophos Encryption Roadshow om Nederlandse organisaties op de hoogte te brengen van de meldplicht, wat deze precies inhoudt en hoe je als organisatie hier mee om moet gaan.
Van 15 tot en met 18 maart en van 5 tot en met 7 april bezochten wij Utrecht, Eindhoven, Zwolle, Rotterdam en Amsterdam. Telkens hadden wij te maken met overvolle zalen. We merken hiermee dat encryptie en de meldplicht datalekken toch steeds meer aandacht krijgt en organisaties het belang inzien van het beveiligen van hun data.
Een kort videoverslag van de encryption roadshow
Presentatie Sophos Encryption Roadshow
Hierbij vindt u in ieder geval al de presentatie van de sessies terug. Tijdens de sessies in april zullen wij ook audio opnemen zodat het gehele verhaal achteraf ook intern bij uw organisatie gebruikt kan worden.
Nog meer informatie nodig?
Bent u op zoek naar het onderzoek dat Sophos in de Benelux heeft uitgevoerd of het onderzoek dat Sophos wereldwijd naar de staat van encryptie heeft gedaan? Of misschien wenst u de whitepaper over de Europese en Nederlandse richtlijnen te lezen. Dat kan allemaal op www.sophos.com/public-sector-benelux.
Het kan dus geen kwaad om na te gaan of u overal aan heeft gedacht om ervoor te zorgen dat de privacygevoelige data in uw bedrijf veilig zijn. Om u in ieder geval op gang te helpen, geven we hier ook een checklist waarmee u vast aan de slag kunt binnen uw organisatie.
- Welke gegevens worden er in uw organisatie verwerkt en hoe zijn die beschermd?
Stel vast welke typen persoonsgegevens worden verwerkt. Breng in kaart welke beveiliging van toepassing is op deze data. Niet alleen is encryptie een belangrijke vorm van bescherming, de meldplicht datalekken verlangt ook van u dat de privacygevoelige gegevens aantoonbaar beschermd zijn. Zorg dus voor de juiste rapportagetools.
- Werkt u samen met andere partijen voor de verwerking van persoonsgegevens?
Als u met andere leveranciers of partners werkt voor de verwerking van privacygevoelige gegevens, is het noodzakelijk om heldere afspraken te maken. Deze afspraken kunnen worden geregeld in een zogenaamde bewerkersovereenkomst. In die overeenkomst moeten afspraken staan ten aanzien van de meldplicht datalekken en wie wanneer aansprakelijk is in het geval van een datalek.
- Weten uw medewerkers hoe ze met privacygevoelige data moeten omgaan?
In vrijwel ieder beveiligingsscenario is de mens de zwakste schakel. Het is noodzakelijk dat uw medewerkers worden getraind in hoe zij omgaan met persoonsgegevens, hoe deze data verstuurd mogen worden en met wie ze gedeeld mogen worden. Belangrijk is ook de naleving van deze procedures. Mocht het onverhoopt toch mis gaan, dan is het cruciaal dat medewerkers weten hoe ze moeten acteren. Een protocol opstellen voor het geval er een datalek ontstaat, is geen overbodige luxe.
- Weet u wanneer u een datalek moet melden?
De Autoriteit Persoonsgegevens heeft conceptrichtsnoeren opgesteld voor de meldplicht datalekken. Deze richtsnoeren helpen organisaties om te bepalen of er sprake is van een datalek dat ze moeten melden aan de toezichthouder en eventueel aan betrokkenen.
- Zijn er interne en externe controles gepland?
Het verdient aanbeveling om uw organisatie en de verwerking van persoonsgegevens regelmatig aan controles te onderwerpen. Dat zou zowel vanuit de eigen organisatie moeten gebeuren als door externe partijen, zoals bewerkers. Gekeken moet worden of de afspraken in de bewerkersovereenkomst en de eisen omtrent de meldplicht datalekken voldoende worden nageleefd. Om helemaal zeker te zijn, kunt u alvast een persoon aanstellen die verantwoordelijk is voor privacy-zaken; een zogenaamde functionaris gegevensbescherming. Deze functionaris zal voor veel organisaties in de Europese wetgeving van 2018 verplicht worden.
Leave a Reply