Beheer

Security
Datalekbepaling is aan datalekker zelf

Datalekbepaling is aan datalekker zelf

Minister legt wetgeving uit aan de hand datalek Uber.

datalek © Shutterstock
7 maart 2018

Minister legt wetgeving uit aan de hand datalek Uber.

Het is aan een organisatie zelf om te bepalen of een datalek bij de Autoriteit Persoonsgegevens moet worden gemeld. Dat schrijft minister Dekker van Rechtsbescherming in antwoorden op vragen van PVDA-Kamerlid Kuiken. “Een bedrijf dat persoonsgegevens verwerkt, dient dus zelf vast te stellen of er sprake is van een datalek dat bij de Autoriteit Persoonsgegevens moet worden gemeld.”

Of een datalek moet worden gemeld hangt af van een aantal dingen: gaat het om een lek met persoonsgegevens en is de data toegankelijk na het lek. Als een organisatie passende technische maatregelen heeft genomen, encryptie bijvoorbeeld, zodat de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn die geen recht heeft op kennisname van die gegevens.

Naast dat het lek gemeld moet worden aan de Autoriteit, dient ook de getroffen persoon geïnformeerd te worden, zegt de minister. Dat dient op individuele basis te gebeuren. En de persoon moet informatie krijgen om de negatieve gevolgen van het datalek te beperken, zoals het wijzigen van de gebruikersnamen en wachtwoorden. Daarnaast kan ook algemene voorlichting worden gegeven, bijvoorbeeld op de website van het bedrijf.

Boete en onderzoek

Mocht een datalek niet worden gemeld en komt de Autoriteit Persoonsgegevens er wel achter, dan kan er een boete worden opgelegd, schrijft de minister. Ook is de Autoriteit bevoegd om onderzoek te doen naar mogelijke overtredingen van de wet.

De minister reageert indirect op het datalek bij Uber, waarbij data van 57 miljoen mensen werd gestolen bij Uberwaaronder 174.000 Nederlanders. Uber verzweeg de hack in eerste instantie, betaalde de dieven een bedrag van 100.000 dollar om hun daad stil te houden en de buit te vernietigen en meldde de diefstal pas maanden later aan de Autoriteit Persoonsgegevens.

Overigens is Uber niet het enige bedrijf dat een datalek verzwijgt. Slechts 11 procent van organisaties licht klanten direct in na een datalek. De helft brengt klanten niet volledig op de hoogte in geval van datadiefstal, aldus een jaarlijks onderzoek van CyberArk. Het informeren van klanten komt ná andere prioriteiten zoals: het inlichten van directie en medewerkers, het updaten van securitysystemen, het weer op gang brengen van de organisatie, en het beheren van de eigen reputatie en communicatie.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.