Cyberaanvallen zijn dagelijks in het nieuws. Met name grote organisaties zijn interessant voor deze internetcriminelen, maar steeds vaker is ook het MKB een populair doelwit. Niet alleen schadelijke of criminele aanvallen kunnen dataverlies of de openbaarmaking van data veroorzaken. Denk bij datalekken  ook aan de medewerker die de laptop met klantgegevens in de trein laat liggen. Het wetsvoorstel Meldplicht datalekken gaat geïmplementeerd worden om strenger toe te zien op en bewustwording te creëren voor de bescherming van persoonsgegevens. Hoe kunt u uw relatie het best informeren over vragen als; wanneer moet een melding gemaakt worden? Wanneer stel je klanten op de hoogte als je gehackt bent en er mogelijk persoonsgegevens gelekt zijn?

Achtergrondinformatie
Het wetsvoorstel Meldplicht datalekken is een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) en zal waarschijnlijk 1 januari 2016 in werking treden. Het niet tijdig melden van een datalek bij het College bescherming persoonsgegevens (Cbp) kan oplopen tot een boete van maximaal € 810.000 of 10% van de omzet van de overtreder. Een soortgelijk geval kwam recentelijk naar buiten nadat KPN een boete opgelegd kreeg van € 364.000 voor het onvoldoende beveiligen van klantgegevens in 2012. Overigens wijzigt het Cbp van naam naar Autoriteit Persoonsgegevens, omdat het meer aansluit bij Europese ontwikkelingen. In het bijzonder de nieuwe algemene verordening gegevensbescherming van de Europese Unie die begin volgend jaar wordt verwacht.

Voor wie geldt de meldplicht
Simpel: iedereen die persoonsgegevens van derden verwerkt. De melding bij een datalek dient gedaan te worden aan het Cbp, maar in sommige gevallen ook aan alle betrokkenen. Bijvoorbeeld als hun persoonlijke levenssfeer hierdoor benadeeld kan worden of er financiële- of immateriële schade kan ontstaan. De hoeveelheid uitgelekte en aard van de data spelen hierbij ook een rol. Zijn het bijvoorbeeld NAW-gegevens die men ook in het telefoonboek kan opzoeken of patiëntgegevens. Zo hoeft een lek van 150 e-mailadressen van een vereniging niet gemeld te worden, maar 200.000 creditcardgegevens wel.

De meldplicht geldt niet alleen bij een (kwaadwillende) hack, maar ook bij inbreuk op beveiliging van de persoonsgegevens. Denk daarbij aan verlies van data, zoals het per ongeluk sturen van een e-mail met persoonsgegevens, bedoelt voor de interne organisatie, aan niet-geautoriseerde personen.

In de ‘cloud’
Veel bedrijven hebben de opslag van data en beveiliging daarvan overgelaten aan een ‘bewerker’. Het betekent echter niet dat hiermee de verantwoordelijk ook is uitbesteed. Een bedrijf blijft zelf aansprakelijk.

Termijn
In het wetsvoorstel is nog onduidelijk op welke termijn een melding aan het Cbp moet plaatsvinden. Zij benoemen het als ‘onverwijld’ ofwel zonder uitstel. Wij gaan er vanuit dat per 1 januari 2016 meer duidelijk zal worden over de termijn. Indien men een melding moet maken, dan dient deze het volgende te bevatten:

  • zakelijk informatie over wat er gebeurd is;
  • vervolgstappen aangeven;
  • aangeven welke maatregelen zijn genomen om het lek te dichten en om impact te verminderen;
  • de gevolgen voor degenen van wie gegevens gelekt zijn, dienen beschreven te worden.

Voorbereiding is key
Een goede voorbereiding op het wetsvoorstel is van groot belang. Hierbij een aantal onderdelen waar een organisatie snel op zal moeten anticiperen:

  • breng vooraf in kaart wat voor soort data de organisatie in bezit heeft en kwalificeer deze als wel of niet privacy gevoelige informatie;
  • een manier hebben om datalekken razendsnel te signaleren en te rapporteren;
  • kunnen aangeven om hoeveel en wat voor soort gegevens het gaat en om wat voor soort betrokkenen;
  • er moet een ICT/security-specialist klaarstaan, een jurist en een communicatiedeskundige. De communicatiedeskundige kan namelijk de reputatieschade beperken;
  • er moet een logboek worden bijgehouden waarin datalekken worden gerapporteerd.

Licht altijd eerst het Cbp in en daarna betrokkenen. Bij een datalek met versleutelde persoonsgegevens is het niet noodzakelijk om betrokkenen te informeren. Mocht dat wel het geval zijn (en daar kan het Cbp bij adviseren), dan is de volgende informatie noodzakelijk te vermelden:

  • wat er is gebeurd;
  • waar men meer informatie kan krijgen;
  • wat men er zelf aan kan doen om de gevolgen te verminderen. Denk bijvoorbeeld aan het wijzigen van wachtwoorden als die zijn gelekt.

Verzekeren tegen datalekken
Natuurlijk bieden wij u mogelijkheden om u te verzekeren voor de gevolgen van datalek: de Data Risks verzekering. Hiermee verzekert u ook de bestuurlijke boete en u waarborgt de continuïteit van een organisatie.

Verder biedt deze verzekering de volgende voordelen:

  • Dekking voor de kosten van het verweer tegen de toezichthouder;
  • Dekking voor de extra kosten die een organisatie moet maken na een incident;
  • Ondersteuning bij het herstellen van de reputatie, de kosten van een PR-specialist kunnen voor vergoeding in aanmerking komen.
  • Forensisch onderzoek: wij vergoeden de kosten om uit te zoeken wat er mis is gegaan en om uit te zoeken wiens gegevens in gevaar zijn gebracht.
  • Melding van inbreuk: wij vergoeden de kosten die u maakt voor het opstellen en versturen van brieven aan gedupeerde betrokkenen, particulieren, betaalkaartbedrijven en toezichthouders.

De Data Risks verzekering sluit u online af via www.turien.nl.

Marjolijn van Dorp
Marketeer