SlideShare a Scribd company logo

Meldplicht datalekken

Sebyde
Sebyde

Overzicht van de veranderingen in de privacywetgeving en op welke manier bedrijven zich kunnen voorbereiden middels de Sebyde RI&E.

Business
1 of 9
Download to read offline
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde RI&E-Privacy
1 Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de Nederlandse wetgeving met betrekking tot de bescherming en de privacy van persoonsgegevens. De wetswijziging in de “Wet Bescherming Persoonsgegevens” (Wbp) is op 1 januari 2016 in werking getre- den. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorberei- ding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een “ICT- aangelegenheid” is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goed- keuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Se- curity Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie. Meldplicht Datalekken (Artikel 34A Wbp) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn:  Inbreuk op de beveiliging  Hackersaanval waarbij persoonsgegevens zijn gestolen  Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan  Geen adequate beveiliging van persoonsgegevens  Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een ernstig datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrok- kenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wet- geving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht).
2 De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ern- stige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Deze inbreuken dienen “onverwijld” te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens per- soonlijke levenssfeer”. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing “indien de verantwoor- delijke passende technische beschermingsmaatregelen heeft genomen waardoor de per- soonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens”. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkre- gen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beper- ken. Boetebevoegdheid van de toezichthouder (Artikel 66 Wbp) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu “bestuurlijke boetes” opleggen van “ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht”. Dit zijn boetes van materieel belang: maximaal 820.000 Euro of in sommige gevallen 10% van de jaaromzet. De toezichthouder legt geen bestuurlijke boete op “dan nadat het een bindende aanwij- zing heeft gegeven”. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing “indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”. Naamsverandering van de toezichthouder De toezichthouder, vroeger bekend onder de naam “College Bescherming Persoonsgege- vens”, heeft per 1-1-2016 een andere naam gekregen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens.
3 Veel gestelde vragen over de meldplicht datalekken Hieronder volgt een overzicht van een aantal veel gestelde vragen over de meldplicht datalekken. Ontstaat een datalek alleen als je gehackt wordt? Nee. We spreken van een datalek als persoonsgegevens toegankelijk worden voor onbe- voegden of als de gegevens verloren raken of onrechtmatig worden verwerkt. Dit kan dus niet alleen ontstaan als je gehackt wordt, maar ook als de gegevens worden gestolen bij een inbraak in een kantoorpand. Verlies of diefstal van een datadrager (externe harde schijf, tablet, laptop, smartphone) waarop persoonsgegevens staan opgeslagen is ook een datalek. Het is daarom van belang dat je weet welke gegevens er op die apparatuur opgeslagen staat. Moet ik alle datalekken melden? Niet alle datalekken moeten gemeld worden. Het betreft alleen de ernstige lekken. Een datalek is ernstig als het gaat om een grote hoeveelheid gegevens of als het gaat om privacygevoelige gegevens zoals bijvoorbeeld foto’s, BSN-nummers, creditcard gegevens, financiële gegevens, username/passwords, Identiteitsgegevens (bijv. kopieën van pas- poorten), gezondheidsgegevens (bijv. ziekteverzuim), werkbeoordelingen. De keuze of een datalek gemeld dient te worden ligt bij uzelf. U dient van de keuze en uw argumentatie over wel/niet melden een degelijke administratie aan te leggen en te be- waren. Indien er onjuiste argumentatie is gebruikt bij een besluit om een lek niet te melden heeft de Autoriteit Persoonsgegevens de mogelijkheid om achteraf alsnog een bindende aanwijzing op te leggen. Welke informatie moet ik aan de Autoriteit Persoonsgegevens melden? Een melding aan de autoriteit bevat gedetailleerde gegevens over het datalek, zoals bij- voorbeeld wanneer het lek is ontdekt, de aard van het datalek, hoe het datalek is ont- staan, welke persoonsgegevens er zijn gelekt, de hoeveelheid gegevens, welke maatrege- len er zijn genomen om het datalek te stoppen. Van elk datalek dient u deze informatie te bewaren in een administratie. Aan wie moet ik de melding doen? Een datalek wordt gemeld aan de Autoriteit Persoonsgegevens. Deze melding dient bin- nen 72 uur na ontdekking van het datalek te worden gedaan. De melding kunt u doen via de website van de autoriteit persoonsgegevens. (www.autoriteitpersoonsgegevens.nl) Bij het lekken van privacygevoelige gegevens is er een grote kans dat het datalek ook ongunstige gevolgen (bijv. identiteitsfraude, reputatieschade) heeft voor de betrokkenen (de personen waarover de gegevens zijn gelekt). In deze situatie dient u het datalek óók aan al deze betrokkenen te melden. Indien de gelekte gegevens versleuteld waren (en- crypted) dan is de melding aan de betrokkenen niet noodzakelijk.
4 Mijn gegevens staan opgeslagen bij een clouddienst provider of een hosting partij. Als u persoonsgegevens laat verwerken door een derde partij (dataopslag, SAAS- oplossing, salarisverwerking, marketingbedrijf, etc.) is er sprake van een “bewerker”. In het geval van een datalek bij de bewerker blijft u zelf verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens. U dient daarom de garantie te hebben dat uw bewerker een datalek onmiddellijk bij u meldt. De (wettelijk verplichte!) bewerkersovereenkomst tussen u en uw bewerker dient daar- om (onder andere) informatie te bevatten over hoe er wordt gehandeld in het geval er een datalek ontstaat. Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens ver- werken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een RI&E-Privacy programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen:
5 Module 1: Overzicht – Hoe staan we er voor? De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald:  Welke persoonsgegevens worden er in uw organisatie verwerkt? (Eigen gegevens of die van andere partijen)  Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd?  Aan welke wettelijke eisen moeten deze verwerkingen voldoen?  Is er een juridische grindslag voor de verwerkingen die worden gedaan?  Hoe is de organisatie opgebouwd?  Wat zijn de betrokken netwerken, systemen en applicaties?  Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?  Hoe staat het met de kennis van de medewerkers - Privacy Awareness  Welk security- en privacy- beleid is er al geïmplementeerd? De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vra- genlijsten voor de betrokken personen / afdelingen om de benodigde informatie te ver- krijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functiona- ris Gegevensbescherming). Resultaat: Een bruikbare privacy administratie Module 2: Inzicht – Waar liggen de risico’s? De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen blootstaan. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen.  Uitvoeren van security testen op Netwerk en systemen (Pentesten)  Uitvoeren van security testen van applicaties (Web Applicatie Security Scan)  Security awareness van de medewerkers  Phishing test voor de organisatie  In hoeverre is security en privacy “embedded” in de bedrijfsprocessen Resultaat: Een risico analyse met betrekking tot de verwerkingen Module 3: Aanpak – Wat gaan we doen? Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te mini- maliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:  Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)  Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedu- res)  Techniek (technische maatregelen in netwerken, systemen en applicaties) Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.
6 Module 4: Uitvoering – Aan de slag! Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.  De privacy administratie wordt opgezet.  Trainingen worden gegeven.  De privacy organisatie wordt ingericht.  Overeenkomsten worden gemaakt. Per verwerking wordt het PIA (Privacy Impact Assessment) rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld. Resultaat: Uw organisatie heeft gepaste maatregelen genomen. Module 5: Evaluatie – Is de aanpak succesvol! Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen. Resultaat: verbeterpunten, verfijningen ten aanzien van de bedrijfs-brede implementa- tie. Sebyde maakt graag een offerte voor het uitvoeren van module 1 van de RI&E-Privacy bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens. Waar te beginnen? Om de eerste stap van de RI&E-Privacy te kunnen uitvoeren dienen we te beschikken over enige basisinformatie over uw organisatie. Deze informatie kunt u invullen in de privacy checklist. Deze is aan te vagen via www.sebyde.nl/rie-privacy Als u de privacy checklist heeft ingevuld kunt u hem opsturen naar Sebyde ter evaluatie. De ingevulde gegevens worden dan beoordeeld door onze FG (Functionaris Gegevensbe- scherming) en ICT-architect en u ontvang een basis rapportage over de situatie met be- trekking tot de privacy. Voor deze beoordeling brengen we 495 Euro in rekening. Aan de hand van de ingevulde privacy checklist is er een goed beeld van de grootte, de complexiteit en het risicoprofiel van de organisatie. We kunnen dan een gericht voorstel uitbrengen over het uitvoeren van de eerste stap van het RI&E-Privacy programma. Tijdens deze eerste stap brengen we alle gegevensverwerkingen in kaart en worden ze beoordeeld op juridische grondslag en privacy risico’s. We bekijken tevens de situatie met betrekking tot de noodzakelijke bewerkersovereenkomsten en het kennisniveau van het personeel. (Awareness). Het resultaat van deze eerste stap is dat u inzicht heeft in de situatie met betrekking tot de privacy compliance en u beschikt over de noodzakelijke privacy administratie voor de Autoriteit Persoonsgegevens.
7 Sebyde Sebyde en Sebyde Academy ondersteunen bedrijven bij het verlagen van het aantal IT- security incidenten en datalekken. Dit doen wij vanuit Sebyde (www.sebyde.nl) door het aanbieden van advies en onderzoek op het gebied van het security- en privacy beleid. De Sebyde RI&E-Privacy helpt bedrijven bij het opzetten van de benodigde privacy admi- nistratie voor de Autoriteit Persoonsgegevens en geeft overzicht en inzicht in de situatie met betrekking tot de privacy compliance. Dit is belangrijke informatie aangezien de nieuwe wetgeving bedrijven verplicht om aantoonbaar inzicht te hebben in hun gege- vensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s. Meer informatie over de Sebyde RI&E-Privacy is te vinden op: https://www.sebyde.nl/rie-privacy Met onze phishing simulatie testen we de gevoeligheid van een organisatie op het gebied van phishing, eventueel gevolgd door effectieve korte workshops over phishing om het personeel bewust te maken. Hiervoor hebben we een platform beschikbaar waarmee bedrijven een ongelimiteerd aantal keer per jaar een phishing-test kunnen uitvoeren om te meten hoe gevoelig de organisatie is voor phishing. Dit levert belangrijke informatie op die weer kan dienen als basis voor de te nemen maatregelen om de risico’s te verla- gen. Meer info: https://www.sebyde.nl/phishing-test Met de Sebyde Webapplicatie Security Scan halen we alle kwetsbaarheden in uw web- applicaties (bijvoorbeeld uw website) boven water en krijgt u gericht advies hoe de ge- vonden kwetsbaarheden gerepareerd kunnen worden. Veel cybercriminelen breken in via onveilig geprogrammeerde websites. Het is in de meeste gevallen kinderspel om via een website in te breken. Laat daarom uw webapplicaties controleren om datalekken te voorkomen! Meer informatie is te vinden op: https://www.sebyde.nl/web-applicatie- security-scan/ Sebyde Academy Vanuit onze Sebyde Academy (www.sebydeacademy.nl) bieden we diverse workshops en presentaties aan om mensen bewust te maken op het gebied van security en privacy en ze te stimuleren en motiveren naar veilig gedrag met ICT-middelen en bedrijfsgege- vens. Tevens hebben we de mogelijkheid voor het aanbieden van op maat gemaakte online Awareness modules. Workshops op het gebied van security en privacy zijn een integraal onderdeel van de activiteiten om risico’s te verlagen en compliant te zijn aan de wetgeving. Een compleet overzicht van de Sebyde Academy workshops en presentaties stuur ik u op uw verzoek graag per email toe.
8 Contact gegevens Sebyde en Sebyde Academy Sebyde BV Telefoon: 085 - 2733376 Email: (algemeen) info@sebyde.nl Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV

Recommended

Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
Sebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
Sebyde
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 

Recommended

Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
Sebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
Sebyde
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013
Derk Yntema
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
Bart Van Den Brande
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
Bart Van Den Brande
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
Bart Van Den Brande
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
Bart Van Den Brande
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
Bart Van Den Brande
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Richard Claassens CIPPE
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
stonefield
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
Stefano Verkooy
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
Bart Van Den Brande
 
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
Gilad Bandel
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]Ruben Woudsma
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 

More Related Content

What's hot

Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013
Derk Yntema
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
Bart Van Den Brande
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
Bart Van Den Brande
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
Bart Van Den Brande
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
Bart Van Den Brande
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
Bart Van Den Brande
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Richard Claassens CIPPE
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
stonefield
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
Stefano Verkooy
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
Bart Van Den Brande
 
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
Gilad Bandel
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]Ruben Woudsma
 

What's hot (19)

Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]
 

Similar to Meldplicht datalekken

interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
AKD
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
Robbert Hoendervanger ✓
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
Bart Van Den Brande
 
AVG als grootste zorg-def
AVG als grootste zorg-defAVG als grootste zorg-def
AVG als grootste zorg-def
Saida Nhass CIPP-E
 
Privacy
PrivacyPrivacy
Privacy
Wilma van de Meerakker
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
Bart Van Den Brande
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Ikinnoveer
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
GDPR
GDPRGDPR
GDPR
Out Of Use
 
Gdpr
GdprGdpr
Gdpr
Out Of Use
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
webwinkelvakdag
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
Bart Van Den Brande
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
Media Perspectives
 
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacyOmgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
Bart Van Den Brande
 
Sirius legal
Sirius legalSirius legal
Sirius legal
WebshopVakbeurs
 

Similar to Meldplicht datalekken (20)

interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
AVG als grootste zorg-def
AVG als grootste zorg-defAVG als grootste zorg-def
AVG als grootste zorg-def
 
Privacy
PrivacyPrivacy
Privacy
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
GDPR
GDPRGDPR
GDPR
 
Gdpr
GdprGdpr
Gdpr
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
 
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacyOmgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
 
Sirius legal
Sirius legalSirius legal
Sirius legal
 

More from Sebyde

Drieluik pact privacy - 2 pagina's
Drieluik pact privacy - 2 pagina'sDrieluik pact privacy - 2 pagina's
Drieluik pact privacy - 2 pagina's
Sebyde
 
Drieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sDrieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina's
Sebyde
 
Drieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sDrieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina's
Sebyde
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina's
Sebyde
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
Sebyde
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
Sebyde
 
Members magazine q2 2015 internationaal
Members magazine q2 2015 internationaalMembers magazine q2 2015 internationaal
Members magazine q2 2015 internationaal
Sebyde
 
Members magazine q1 2015
Members magazine q1 2015Members magazine q1 2015
Members magazine q1 2015
Sebyde
 
Leaflet masterclass passwords
Leaflet masterclass passwordsLeaflet masterclass passwords
Leaflet masterclass passwords
Sebyde
 
Leaflet privacy workshop
Leaflet privacy workshopLeaflet privacy workshop
Leaflet privacy workshop
Sebyde
 
Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrime
Sebyde
 
Leaflet secure coding in php
Leaflet secure coding in phpLeaflet secure coding in php
Leaflet secure coding in php
Sebyde
 
Leaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitLeaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteit
Sebyde
 
Leaflet sebyde
Leaflet sebydeLeaflet sebyde
Leaflet sebyde
Sebyde
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programma
Sebyde
 

More from Sebyde (15)

Drieluik pact privacy - 2 pagina's
Drieluik pact privacy - 2 pagina'sDrieluik pact privacy - 2 pagina's
Drieluik pact privacy - 2 pagina's
 
Drieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sDrieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina's
 
Drieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sDrieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina's
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina's
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
 
Members magazine q2 2015 internationaal
Members magazine q2 2015 internationaalMembers magazine q2 2015 internationaal
Members magazine q2 2015 internationaal
 
Members magazine q1 2015
Members magazine q1 2015Members magazine q1 2015
Members magazine q1 2015
 
Leaflet masterclass passwords
Leaflet masterclass passwordsLeaflet masterclass passwords
Leaflet masterclass passwords
 
Leaflet privacy workshop
Leaflet privacy workshopLeaflet privacy workshop
Leaflet privacy workshop
 
Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrime
 
Leaflet secure coding in php
Leaflet secure coding in phpLeaflet secure coding in php
Leaflet secure coding in php
 
Leaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitLeaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteit
 
Leaflet sebyde
Leaflet sebydeLeaflet sebyde
Leaflet sebyde
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programma
 

Meldplicht datalekken

  • 2. 1 Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de Nederlandse wetgeving met betrekking tot de bescherming en de privacy van persoonsgegevens. De wetswijziging in de “Wet Bescherming Persoonsgegevens” (Wbp) is op 1 januari 2016 in werking getre- den. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorberei- ding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een “ICT- aangelegenheid” is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goed- keuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Se- curity Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie. Meldplicht Datalekken (Artikel 34A Wbp) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn:  Inbreuk op de beveiliging  Hackersaanval waarbij persoonsgegevens zijn gestolen  Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan  Geen adequate beveiliging van persoonsgegevens  Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een ernstig datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrok- kenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wet- geving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht).
  • 3. 2 De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ern- stige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Deze inbreuken dienen “onverwijld” te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens per- soonlijke levenssfeer”. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing “indien de verantwoor- delijke passende technische beschermingsmaatregelen heeft genomen waardoor de per- soonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens”. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkre- gen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beper- ken. Boetebevoegdheid van de toezichthouder (Artikel 66 Wbp) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu “bestuurlijke boetes” opleggen van “ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht”. Dit zijn boetes van materieel belang: maximaal 820.000 Euro of in sommige gevallen 10% van de jaaromzet. De toezichthouder legt geen bestuurlijke boete op “dan nadat het een bindende aanwij- zing heeft gegeven”. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing “indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”. Naamsverandering van de toezichthouder De toezichthouder, vroeger bekend onder de naam “College Bescherming Persoonsgege- vens”, heeft per 1-1-2016 een andere naam gekregen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens.
  • 4. 3 Veel gestelde vragen over de meldplicht datalekken Hieronder volgt een overzicht van een aantal veel gestelde vragen over de meldplicht datalekken. Ontstaat een datalek alleen als je gehackt wordt? Nee. We spreken van een datalek als persoonsgegevens toegankelijk worden voor onbe- voegden of als de gegevens verloren raken of onrechtmatig worden verwerkt. Dit kan dus niet alleen ontstaan als je gehackt wordt, maar ook als de gegevens worden gestolen bij een inbraak in een kantoorpand. Verlies of diefstal van een datadrager (externe harde schijf, tablet, laptop, smartphone) waarop persoonsgegevens staan opgeslagen is ook een datalek. Het is daarom van belang dat je weet welke gegevens er op die apparatuur opgeslagen staat. Moet ik alle datalekken melden? Niet alle datalekken moeten gemeld worden. Het betreft alleen de ernstige lekken. Een datalek is ernstig als het gaat om een grote hoeveelheid gegevens of als het gaat om privacygevoelige gegevens zoals bijvoorbeeld foto’s, BSN-nummers, creditcard gegevens, financiële gegevens, username/passwords, Identiteitsgegevens (bijv. kopieën van pas- poorten), gezondheidsgegevens (bijv. ziekteverzuim), werkbeoordelingen. De keuze of een datalek gemeld dient te worden ligt bij uzelf. U dient van de keuze en uw argumentatie over wel/niet melden een degelijke administratie aan te leggen en te be- waren. Indien er onjuiste argumentatie is gebruikt bij een besluit om een lek niet te melden heeft de Autoriteit Persoonsgegevens de mogelijkheid om achteraf alsnog een bindende aanwijzing op te leggen. Welke informatie moet ik aan de Autoriteit Persoonsgegevens melden? Een melding aan de autoriteit bevat gedetailleerde gegevens over het datalek, zoals bij- voorbeeld wanneer het lek is ontdekt, de aard van het datalek, hoe het datalek is ont- staan, welke persoonsgegevens er zijn gelekt, de hoeveelheid gegevens, welke maatrege- len er zijn genomen om het datalek te stoppen. Van elk datalek dient u deze informatie te bewaren in een administratie. Aan wie moet ik de melding doen? Een datalek wordt gemeld aan de Autoriteit Persoonsgegevens. Deze melding dient bin- nen 72 uur na ontdekking van het datalek te worden gedaan. De melding kunt u doen via de website van de autoriteit persoonsgegevens. (www.autoriteitpersoonsgegevens.nl) Bij het lekken van privacygevoelige gegevens is er een grote kans dat het datalek ook ongunstige gevolgen (bijv. identiteitsfraude, reputatieschade) heeft voor de betrokkenen (de personen waarover de gegevens zijn gelekt). In deze situatie dient u het datalek óók aan al deze betrokkenen te melden. Indien de gelekte gegevens versleuteld waren (en- crypted) dan is de melding aan de betrokkenen niet noodzakelijk.
  • 5. 4 Mijn gegevens staan opgeslagen bij een clouddienst provider of een hosting partij. Als u persoonsgegevens laat verwerken door een derde partij (dataopslag, SAAS- oplossing, salarisverwerking, marketingbedrijf, etc.) is er sprake van een “bewerker”. In het geval van een datalek bij de bewerker blijft u zelf verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens. U dient daarom de garantie te hebben dat uw bewerker een datalek onmiddellijk bij u meldt. De (wettelijk verplichte!) bewerkersovereenkomst tussen u en uw bewerker dient daar- om (onder andere) informatie te bevatten over hoe er wordt gehandeld in het geval er een datalek ontstaat. Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens ver- werken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een RI&E-Privacy programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen:
  • 6. 5 Module 1: Overzicht – Hoe staan we er voor? De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald:  Welke persoonsgegevens worden er in uw organisatie verwerkt? (Eigen gegevens of die van andere partijen)  Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd?  Aan welke wettelijke eisen moeten deze verwerkingen voldoen?  Is er een juridische grindslag voor de verwerkingen die worden gedaan?  Hoe is de organisatie opgebouwd?  Wat zijn de betrokken netwerken, systemen en applicaties?  Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?  Hoe staat het met de kennis van de medewerkers - Privacy Awareness  Welk security- en privacy- beleid is er al geïmplementeerd? De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vra- genlijsten voor de betrokken personen / afdelingen om de benodigde informatie te ver- krijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functiona- ris Gegevensbescherming). Resultaat: Een bruikbare privacy administratie Module 2: Inzicht – Waar liggen de risico’s? De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen blootstaan. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen.  Uitvoeren van security testen op Netwerk en systemen (Pentesten)  Uitvoeren van security testen van applicaties (Web Applicatie Security Scan)  Security awareness van de medewerkers  Phishing test voor de organisatie  In hoeverre is security en privacy “embedded” in de bedrijfsprocessen Resultaat: Een risico analyse met betrekking tot de verwerkingen Module 3: Aanpak – Wat gaan we doen? Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te mini- maliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:  Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)  Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedu- res)  Techniek (technische maatregelen in netwerken, systemen en applicaties) Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.
  • 7. 6 Module 4: Uitvoering – Aan de slag! Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.  De privacy administratie wordt opgezet.  Trainingen worden gegeven.  De privacy organisatie wordt ingericht.  Overeenkomsten worden gemaakt. Per verwerking wordt het PIA (Privacy Impact Assessment) rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld. Resultaat: Uw organisatie heeft gepaste maatregelen genomen. Module 5: Evaluatie – Is de aanpak succesvol! Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen. Resultaat: verbeterpunten, verfijningen ten aanzien van de bedrijfs-brede implementa- tie. Sebyde maakt graag een offerte voor het uitvoeren van module 1 van de RI&E-Privacy bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens. Waar te beginnen? Om de eerste stap van de RI&E-Privacy te kunnen uitvoeren dienen we te beschikken over enige basisinformatie over uw organisatie. Deze informatie kunt u invullen in de privacy checklist. Deze is aan te vagen via www.sebyde.nl/rie-privacy Als u de privacy checklist heeft ingevuld kunt u hem opsturen naar Sebyde ter evaluatie. De ingevulde gegevens worden dan beoordeeld door onze FG (Functionaris Gegevensbe- scherming) en ICT-architect en u ontvang een basis rapportage over de situatie met be- trekking tot de privacy. Voor deze beoordeling brengen we 495 Euro in rekening. Aan de hand van de ingevulde privacy checklist is er een goed beeld van de grootte, de complexiteit en het risicoprofiel van de organisatie. We kunnen dan een gericht voorstel uitbrengen over het uitvoeren van de eerste stap van het RI&E-Privacy programma. Tijdens deze eerste stap brengen we alle gegevensverwerkingen in kaart en worden ze beoordeeld op juridische grondslag en privacy risico’s. We bekijken tevens de situatie met betrekking tot de noodzakelijke bewerkersovereenkomsten en het kennisniveau van het personeel. (Awareness). Het resultaat van deze eerste stap is dat u inzicht heeft in de situatie met betrekking tot de privacy compliance en u beschikt over de noodzakelijke privacy administratie voor de Autoriteit Persoonsgegevens.
  • 8. 7 Sebyde Sebyde en Sebyde Academy ondersteunen bedrijven bij het verlagen van het aantal IT- security incidenten en datalekken. Dit doen wij vanuit Sebyde (www.sebyde.nl) door het aanbieden van advies en onderzoek op het gebied van het security- en privacy beleid. De Sebyde RI&E-Privacy helpt bedrijven bij het opzetten van de benodigde privacy admi- nistratie voor de Autoriteit Persoonsgegevens en geeft overzicht en inzicht in de situatie met betrekking tot de privacy compliance. Dit is belangrijke informatie aangezien de nieuwe wetgeving bedrijven verplicht om aantoonbaar inzicht te hebben in hun gege- vensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s. Meer informatie over de Sebyde RI&E-Privacy is te vinden op: https://www.sebyde.nl/rie-privacy Met onze phishing simulatie testen we de gevoeligheid van een organisatie op het gebied van phishing, eventueel gevolgd door effectieve korte workshops over phishing om het personeel bewust te maken. Hiervoor hebben we een platform beschikbaar waarmee bedrijven een ongelimiteerd aantal keer per jaar een phishing-test kunnen uitvoeren om te meten hoe gevoelig de organisatie is voor phishing. Dit levert belangrijke informatie op die weer kan dienen als basis voor de te nemen maatregelen om de risico’s te verla- gen. Meer info: https://www.sebyde.nl/phishing-test Met de Sebyde Webapplicatie Security Scan halen we alle kwetsbaarheden in uw web- applicaties (bijvoorbeeld uw website) boven water en krijgt u gericht advies hoe de ge- vonden kwetsbaarheden gerepareerd kunnen worden. Veel cybercriminelen breken in via onveilig geprogrammeerde websites. Het is in de meeste gevallen kinderspel om via een website in te breken. Laat daarom uw webapplicaties controleren om datalekken te voorkomen! Meer informatie is te vinden op: https://www.sebyde.nl/web-applicatie- security-scan/ Sebyde Academy Vanuit onze Sebyde Academy (www.sebydeacademy.nl) bieden we diverse workshops en presentaties aan om mensen bewust te maken op het gebied van security en privacy en ze te stimuleren en motiveren naar veilig gedrag met ICT-middelen en bedrijfsgege- vens. Tevens hebben we de mogelijkheid voor het aanbieden van op maat gemaakte online Awareness modules. Workshops op het gebied van security en privacy zijn een integraal onderdeel van de activiteiten om risico’s te verlagen en compliant te zijn aan de wetgeving. Een compleet overzicht van de Sebyde Academy workshops en presentaties stuur ik u op uw verzoek graag per email toe.
  • 9. 8 Contact gegevens Sebyde en Sebyde Academy Sebyde BV Telefoon: 085 - 2733376 Email: (algemeen) info@sebyde.nl Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV