Cyberincidenten en nieuwe wetgeving: is uw organisatie voorbereid?

Terug naar articles

31 augustus, 2015

Begin deze maand berichtte de Volkskrant dat het aantal digitale aanvallen op websites en ICT- en datasystemen fors toeneemt. De aanvallen worden vaak uitgevoerd door criminele organisaties en buitenlandse overheden. Het is al lang niet meer ondenkbaar dat ook u hiervan slachtoffer wordt. Naast (grote) economische en reputatieschade komt daar voor u nu het risico op boetes bij door de meldplicht datalekken. Per 1 januari 2016 moeten grootschalige inbreuken op de beveiliging worden gemeld bij het College Bescherming Persoonsgegevens. En vanaf 1 januari 2016 mag de toezichthouder forse boetes uitdelen.

Als er sprake is van een inbreuk op de genomen beveiligingsmaatregelen moet een organisatie dit datalek melden bij het College bescherming persoonsgegevens (Cbp). Niet ieder datalek hoeft te worden gemeld; het moet gaan om een incident dat leidt tot een ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Als de inbreuk op de beveiliging ‘waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer’ van de betrokkene, dient ook de klant te worden ingelicht door de organisatie. Deze vage begrippen geven bedrijven niet de zekerheid die ze nodig hebben. Het Cbp publiceert voor het eind van dit jaar richtsnoeren om deze open normen te concretiseren.

De combinatie van toenemende aanvallen op informatiesystemen en de dreiging van boetes bij tekortkoming van beveiliging vraagt om toenemende aandacht voor de wijze waarop persoonsgegevens in een organisatie worden verwerkt en beschermd. Deze ‘bescherming’ ziet niet alleen op technische maatregelen; ook organisatorische maatregelen zoals het beperken van toegang tot gegevens en het creëren van beveiligings- en privacybewustzijn onder medewerkers is van belang.

Naast de meldplicht datalekken zal er voor organisaties uit de zogenaamde ‘vitale sectoren’ (o.a. telecom, energie, drinkwater,  transport, financiën, overheid) een meldplicht komen voor incidenten waarbij de beschikbaarheid of betrouwbaarheid van voor de Nederlandse samenleving vitale producten of diensten in ernstige mate wordt of kan worden onderbroken. Dit wetsvoorstel ‘gegevensverwerking en meldplicht cyber security’ wordt waarschijnlijk dit najaar naar de Tweede Kamer gestuurd. Hierover zullen wij u binnenkort verder informeren.

Voorbereiding door uw organisatie op de meldplicht datalekken is geen overbodige luxe. Het College bescherming persoonsgegevens krijgt vanaf 1 januari 2016 ook een uitgebreidere boetebevoegdheid van maximaal €810.000 of 10% van de jaaromzet. Dat is nu nog slechts €4.500. Bij voorkeur voorkomt u datalekken, maar de kans is groot dat ook u een keer data kwijt raakt. Wij raden dan ook aan goed te inventariseren of uw organisatie is voorbereid op het melden van een datalek aan de toezichthouder en het informeren van uw klanten en waar nodig uw procedures aan te passen. In onze volgende blog geven wij alvast een overzicht om uzelf voor te bereiden.

Vragen over de meldplicht datalekken of de meldplicht cyber security voor vitale organisaties? Neem gerust contact op.

, ,

Considerati20150514_-Bart_Pegge0009
Bart Pegge

Director Public Affairs practice

Gerelateerde blogs

Justitie toegang tot medische gegevens: paradox of realiteit? | Considerati

Considerati bij het VPR-jaarcongres 2016

Afgelopen vrijdag 16 september waren adviseurs van Considerati aanwezig bij het VPR Jaarcongres...

Lees meer

img_homepage_slimme_omgeving

Gemeente gebruikt camera’s in de strijd tegen bijstandsfraude

De gemeente Nijmegen gaat camera's inzetten om bijstandsfraudeurs op te sporen. Een...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.