NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Bron: nieuwsbrief KING
Op 1 januari 2016 ging de meldplicht datalekken in. Dat betekent dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens als ze een ernstig datalek hebben. Denk aan een verloren USB-stick of gestolen laptop.
Soms moeten de instanties het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Je spreekt van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeeld: een kwijtgeraakte USB-stick met persoonsgegevens (die niet beveiligd is), een gestolen laptop of een inbraak in een databestand door een hacker.
Heb je hiermee te maken? Incidenten waarbij persoonlijke gegevens van burgers of medewerkers in gevaar komen, moet je melden bij het Servicepunt.
Regels
De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld over de meldplicht datalekken. Die zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Benieuwd wat dit voor uw gemeente betekent? Wat een datalek eigenlijk inhoudt? En wanneer u tot melding over dient te gaan?
WAT MOET IK MELDEN ALS GEMEENTE?
Een melding aan de Autoriteit Persoonsgegevens omvat een aantal zaken:
• De melder van het datalek.
• Degene met wie de Autoriteit Persoonsgegevens contact op kan nemen voor nadere informatie over de melding.
• Een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
• Het tijdstip van de inbreuk.
• De aard van de inbreuk.
• Het type persoonsgegevens waarover het gaat.
• De gevolgen die de inbreuk kunnen hebben voor de persoonlijke levenssfeer van de betrokkene.
• De technische en organisatorische maatregelen die de gemeente heeft getroffen om de inbreuk aan te pakken
en om verdere inbreuken te voorkomen.
• Of de gemeente het datalek heeft gemeld aan de betrokkene en zo niet, of de gemeente van plan is dit te
gaan doen:
- Zo ja, de inhoud van de melding aan de betrokkene.
- Zo nee, de reden waarom de gemeente afziet van het melden van het datalek aan de betrokkene.
• Of de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn
gemaakt door onbevoegden.
Concrete adviezen
Om goed voorbereid te zijn op de Meldplicht Datalekken heeft de IBD een aantal concrete adviezen. Deze adviezen hangen nauw samen met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
• Voer een baselinetoets BIG uit, eventueel gevolgd door een uitgebreide risicoanalyse, een Privacy Impact Assessment (PIA)en implementatie van de maatregelen. De basismaatregelen in de BIG zijn veelal passend tenzij er bijzondere persoonsgegevens worden verwerkt; op basis van een risicoafweging moet achteraf aantoonbaar zijn nagedacht over de privacy en passende informatiebeveiliging.
• Documenteer; zonder documentatie is er geen compliance.
• Sluit een gebruikersovereenkomst af indien uw gemeente gebruikmaakt van een Cloud-dienstverlener. Pas de bewerkersovereenkomsten vanwege Meldplicht Datalekken aan. De IBD biedt een standaard bewerkersovereenkomst template en een voorbeeld bijlage met maatregelen voor de bewerker die de gemeente als verantwoordelijke kan gebruiken.
• Benoem verantwoordelijken en hun verantwoordelijkheden in het gemeentelijk informatiebeveiligingsbeleid, bijvoorbeeld een Chief Information Security Officer (CISO) en/of een functionaris gegevensbescherming.
• Draag zorg voor encryptie van persoonsgegevens om te voorkomen dat bij een datalek de gegevens kunnen worden gelezen door derden. Dit geldt voor persoonsgegevens in transport en in opslag.
• Richt een incidentmanagementproces in om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden gehandeld.
• Registreer alle gegevensverzamelingen en vermeld wat er met betrekking tot informatiebeveiliging is gedaan. Zorg voor passende procedures en technische maatregelen om een datalek te kunnen ontdekken. Denk hierbij aan de incidentprocedure, logging en monitoring/ analyseren van de logging.
incidentprocedure werkt en wat de gevolgen kunnen zijn van een datalek voor de gemeente.
Lees meer op IBD-leaflet Meldplicht Datalekken.
© 2024 Gemaakt door Marco Klerks. Verzorgd door
Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!
Wordt lid van BREED - over de grenzen van informatie