Expertvisie – Hans Kortekaas – Boete voor datalekken van max. 820.000 euro of 10% van de omzet voorkomen

Boete voor datalekken van max. 820.000 Euro of 10% van de omzet voorkomen?

Meldplicht datalekken
Ondernemers worden sinds januari geconfronteerd met de wettelijke meldplicht datalekken met naar gradatie van impact verschillende boetehoogtes die kunnen oplopen tot 820.000 Euro of 10% van de omzet. De motivatie hierachter is dat iedereen volgens de wet recht heeft op eerbiediging van zijn persoonlijke levenssfeer en deze meldplicht dient om dit preventief en repressief te organiseren. De wet stelt daarom regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. U als ondernemer dient passende technische en organisatorische maatregelen ten uitvoer te brengen om persoonsgegevens van o.a. klanten, personeel, investeerders en leveranciers te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De geconstateerde en aan de criteria voldane datalekken dienen via het formulier binnen 72 uur gemeld te worden op de website van Autoriteit Persoonsgegevens, ook al verwerkt een andere organisatie uw gegevens. Wanneer het waarschijnlijk ongunstige gevolgen kan hebben op de persoonlijke levenssfeer van de betrokkene(n) dient u hem of haar ook te informeren. Sinds de invoering van de meldplicht datalekken begin dit jaar heeft de Autoriteit Persoonsgegevens al ruim 3400 meldingen ontvangen.

Datalek

Maar weet u ook wat dit is? Wat het voor u betekent? Hoe u een boete kunt voorkomen? En wat te doen bij een datalek? Bij een datalek gaat het om toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Een datalek is:

• een beveiligingsincident;
• met persoonsgegevens;
• dat direct of indirect terug te herleiden is tot een persoon;
• dat mogelijk leidt tot ernstige gevolgen voor de privacy van personen.

Voorbeelden van beveiligingsincidenten zijn:

– Gestolen of verloren gegevensdragers (bijv. usb stick) of apparaten (bijv. laptop);

– Verlies van gegevens door brand, diefstal of verlies;

– Hacker toegang heeft toegang tot persoonsgegevens gekregen;

– Slordig wachtwoordbeheer;

– Plaatsing van personeels- of klantenbestand op een public cloud (bijv. Dropbox) die onrechtmatig benaderbaar is;

– Malware-besmetting;

– Het sturen van een mailing met adressen in het CC-veld (i.p.v. het BCC-veld);

– Ook offline dus op papier (bijv. klantgegevens bij copieerapparaat).

Voorbeelden van persoonsgegevens zijn:
– inlog- of persoonsgegevens;
– financiële gegevens;
– school- of werkprestaties;
– gegevens over levensovertuiging, sexuele voorkeur, ras en gezondheid(ssituaties).

Ernstige gevolgen kunnen er zijn als er risico is op misbruik en fraude. Hierbij kan het een voordeel opleveren als deze versleuteld zijn of niet gebruikt kunnen worden, zodat degene die deze onrechtmatig heeft verkregen er niets mee kan aanvangen.
Investeringen en kosten voor de ondernemer
Voor u als ondernemer betekent dit dat u zorg dient te dragen voor adequate beveiliging, zowel technisch als organisatorisch. Ook hier geldt natuurlijk voorkomen is beter dan genezen, want datalek schade oplossen levert kosten op en kan reputatieschade veroorzaken. Technisch gezien kiezen steeds meer ondernemers voor vereenvoudigde beveiligingsoplossingen en diensten, waarbij de kosten nogal uit elkaar lopen. De vereenvoudiging zit hem in de integratie van technieken en procedures, waarbij ze gemakkelijk in te passen zijn in de beveiligingsorganisatie. Qua organisatie is het belangrijk de risico’s te beoordelen door de gegevens in relatie tot de beveiligingsniveaus te classificeren, niet opnieuw het wiel uit te vinden door de standaarden te volgen en beveiligingd- en privacybeleid en datalek procedures in te richten en deze regelmatig te evalueren en controleren.

ID Control organiseert door het gehele land en online in samenwerking met lokale ICT partijen en Alert Online in de gehele maand oktober Privacy Workshops. Via ONL kunt u deze workshops gratis bijwonen.  Het onderwerp van de workshops is:

“Boete voor datalekken van max. 820.000 Euro of 10% van de omzet voorkomen?”

Onderwerpen in deze Privacy and Security Workshops zijn:
– De risico’s en dreigingen bij overal en altijd toegang tot data, services en toepassingen;

– De Top 10 Cyber Security risico’s en dreigingen in het MKB;
– De Privacy en Meldplicht Datalekken Wetgeving in relatie tot beveiliging;
– Security trends, kansen en mogelijkheden met betrekking tot het nieuwe flexibele werken en ICT;
– Hack en Security Scan Demo;
– Plannen en invoeren, meten is weten, beheren en controleren -> voorkomen is beter dan genezen!
– Gelaagde, centrale, integrale en geconsolideerde beveiliging een must!
– Bedankt voor uw data, u hoort nog van ons, met vriendelijke groet: Dropbox, GDrive en OneDrive!
– De Top 10 Cyber Security oplossingen zoals voor netwerk-, toegangs-, data- en emailbeveiliging;
– Een klanten casus met bizarre security bezuinigingen en verbeteringen!

Wilt u meer weten stuur dan een email naar privacy@idcontrol.com