Meldplicht Datalekken: zevenhonderd meldingen binnen drie maanden. Is uw organisatie voorbereid?

Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Uit een interview met Computable en de voorzitter van de Autoriteit Persoonsgegevens, Jacob Kohnstamm, blijkt dat er sinds het begin van het jaar al zevenhonderd meldingen zijn gemaakt. Rond de 450 meldingen worden nader onderzocht en veertig zaken zijn officieel in behandeling bij de Autoriteit Persoonsgegevens.

Kohnstamm geeft aan dat het voornamelijk gaat om meldingen waarbij persoonsgegevens onversleuteld zijn opgeslagen of gegevens verloren zijn gegaan die waren opgeslagen op externe datadragers. Een voorbeeld van een dergelijk situatie waarbij persoonsgegevens zijn opgeslagen op een externe datadrager is het incidentbij het Antoni van Leeuwenhoek Ziekenhuis. In dit geval ging het om diefstal van een externe harde schijf. Op deze externe harde schijf stonden persoonsgegevens van 781 patiënten, waarvan 199 nog in leven. Onder de persoonsgegevens bevonden zich ook bijzondere persoonsgegevens, zoals het type tumor en de voortgang van de behandeling.

In de gemeenten Rotterdam en Oegstgeest heeft zich een situatie voorgedaan waarbij onversleutelde persoonsgegevens zijn gelekt. Twee maanden lang waren de persoonsgegevens van 25.000 Rotterdammers en 8.000 inwoners van Oegstgeest toegankelijk voor onbevoegden door een fout van een ambtenaar. De ambtenaar had de persoonsgegevens gedeeld met een netwerkschijf, deze bleek verbonden met internet. Het ging hier om persoonsgegevens afkomstig uit belastingbestanden zoals naam, adresgegevens en burgerservicenummers.

Kohnstamm stelt dat organisaties strenger moeten toezien op het versleutelen van data om zo de bovenstaande situaties te voorkomen. Het goed beveiligen van persoonsgegevens om verlies of onrechtmatige verwerking te voorkomen, is een eis uit de Wet bescherming persoonsgegevens. Met de meldplicht voor datalekken riskeren organisaties boetes tot €820.000. Kohnstamm hoopt dat de meldplicht datalekken de aanzet geeft tot het periodiek testen van het informatiebeveiligingsbeleid van organisaties. De informatiebeveiliging moet worden gecontroleerd en er moet worden nagegaan of processen voor informatiebeveiliging goed wordt nageleefd door werknemers.

Is uw organisatie voorbereid op de meldplicht datalekken? Considerati helpt uw organisatie met het opstellen van een krachtig beleid om op te treden tegen datalekken. Neem voor meer informatie vrijblijvend contact op.