Management

Juridische zaken

Meldplicht door Eerste Kamer

11 juni 2015

De meldplicht datalekken geldt voor alle organisaties.Als er binnen hun organisatie sprake is van een ‘inbreuk op de beveiliging’ die nadelige gevolgen heeft of kan hebben voor de bescherming van persoonsgegevens,moeten zij dat aan het College beschermingpersoonsgegevens (CBP) melden. Ook moet een datalek gemeld worden aan ‘betrokkenen’ als die inbreuk ongunstige gevolgen kan hebben voor hun persoonlijke levenssfeer.

Belangrijk daarbij is dat de boetes voor het niet-melden fors zijn verhoogd en kunnen oplopen tot 810.000 euro of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon.

Daarnaast zijn organisaties verplicht een meldplicht datalekken contractueel op te leggen aan leveranciers (‘bewerkers’). Ongemerkt zijn veel leveranciers in juridische zin bewerker van data geworden, bijvoorbeeld wanneer ze voor klanten data in de cloud opslaan.

De meldplicht geldt vrijwel zeker vanaf begin 2016, al wezen leden van de Eerste Kamer wezen op enkele onduidelijkheden in de wet. Het venijn zit in deze zin: “Bedrijven en overheden moeten melding maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop.” Vooral de termen ‘ernstige’ en ‘aanzienlijke’ worden als te vaag beschouwd. En wat zijn ‘passende beveiligingsmaatregelen’ die geëist worden van de verwerkers van persoonsgegevens?

CBP formuleert richtsnoeren

Het CBP heeft aangekondigd richtsnoeren uit te brengen voor de meldplicht datalekken die hierover duidelijkheid kunnen verschaffen. Wat daar precies in moet staan, is nog niet ­duidelijk. Nederland ICT wil graag bijdragen aan de invulling van de beleidsregels, maar laat weten daar nog niets over te willen zeggen. “Het gesprek met het CBP willen we niet via de media laten lopen. Daarnaast is ook verdere ­afstemming met onze achterban nodig”, meldt een woordvoerder van de brancheorganisatie.

Pieter Lacroix van Sophos Nederland heeft wel ideeën over wat er in die beleidsregels zou moeten staan. “De richtsnoeren moeten tweeledig zijn; ze moeten zich richten op de bewustmaking van werknemers op het gebied van databeveiliging, en op tooling. De combinatie daarvan helpt om veilig te zijn.” De tooling kan ook ingezet worden om te voldoen aan de eis van de wetgever dat een organisatie kan bewijzen dat ze veilig bezig is. “Zo kan een organisatie bewijzen dat de gegevens op een gestolen laptop encrypted zijn. De compliancy moet te checken zijn. Denk daarbij aan tooling die automatisch informatie versleutelt.” Volgens hem zijn suites beter dan een lappendeken van point solutions. “Integrale rapportages zijn nodig om te kunnen bewijzen dat de beveiliging goed op orde was op het moment dat een incident heeft plaatsgevonden.”

Voor de troepen uit

Nederland loopt met de meldplicht datalekken vooruit op de EU-wetgeving die over ditzelfde onderwerp in de maak is. Critici menen dat het weinig zin heeft om nu al in Nederland wetgeving op te leggen die binnen afzienbare tijd overruled wordt door Europese wetgeving. Nederland ICT laat weten “dat wij vinden dat Nederland niet vooruit zouden moeten lopen op Europese regelgeving.” Lacroix van Sophos vindt dat bij de invulling van de richtsnoeren vastgehouden moet worden aan de EU-regeling. “Anders ontstaat daar verwarring over. Ja, die wet is er nog niet door. En nee, het is nog niet helemaal duidelijk wanneer dat gebeurt. Maar er liggen al wel ruim 600 pagina’s bij de EU. Die kun je daar goed bij betrekken.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!