Sla het menu over en ga direct naar de content van deze pagina. Sla het menu over en ga direct naar zoeken.
Man in pak die probeert zijn gegevens op slot te houden

6 tips om te voldoen aan de Meldplicht datalekken

Sinds 2016 geldt de Meldplicht datalekken in Nederland. Met de invoering van de nieuwe Europese privacywet op 25 mei 2018: de Algemene verordening gegevensbescherming (AVG), blijft die meldplicht bestaan – echter, in iets aangepaste vorm. U bent nog steeds verplicht om datalekken te registreren en – als de impact groot is – te melden. Met de 6 tips in dit artikel kunt u uw bedrijf voorbereiden op naleving van de AVG-meldplicht én van de bijbehorende zorgplicht.

Voor wie geldt de meldplicht?

De AVG geldt voor alle bedrijven die persoonsgegevens bezitten of verwerken: van zowel klanten als medewerkers. Valt uw bedrijf daaronder? Met deze 6 tips, kunt u dit belangrijke onderdeel van de AVG naleven.

Tip 1: Voer een duidelijk wachtwoordbeleid

Helaas komt het nog te vaak voor dat een datalek wordt veroorzaakt door menselijk handelen. Met een goed wachtwoordbeleid kunt u dit helpen voorkomen. Als u daarnaast gebruikmaakt van encryptie (versleuteling) en twee-factor-authenticatie (een extra verificatiemethode: naast het wachtwoord is een token (code) nodig om toegang te krijgen tot de gegevens), kunt u ervan uitgaan dat de kans op een datalek aanzienlijk kleiner is.

Tip 2: Versleutel privacygevoelige bedrijfsgegevens

Zorg dat privacygevoelige bedrijfsgegevens op alle computers, laptops, tablets en smartphones die in uw bedrijf worden gebruikt voor het verwerken van die informatie goed worden beveiligd, bijvoorbeeld door deze te versleutelen. Vergeet daarbij de verwisselbare media niet, zoals USB-sticks, cd’s, dvd’s en externe opslagdisks.

Tip 3: Voer een aantoonbaar beveiligingsbeleid

Als u een datalek meldt, moet u kunnen aantonen wat de oorzaak is van het lek. De Autoriteit Persoonsgegevens (AP): de handhavende instantie, zal u vragen om een informatiebeveiligingsbeleid en eventueel de logging (registratie van activiteiten). Om aan de meld- een aantoningsplicht te kunnen voldoen, is het in veel gevallen noodzakelijk om encryptiesoftware te gebruiken. Daarnaast adviseren wij u, waar mogelijk, gebruik te maken van twee-factor-authenticatie voor de toegangsbeveiliging van uw gevoelige bedrijfsgegevens (zie tip 1). Daarnaast stelt de AVG nóg strengere eisen aan de interne registratie van beveiligingsincidenten. Daarom moet u alle incidenten vastleggen. Aan de hand van deze documentatie moet de AP met terugwerkende kracht kunnen controleren hoe incidenten zijn verlopen en wat u gedaan heeft om ze te voorkomen en/of op te lossen.

Tip 4: Versleutel ook data in de cloud

Maakt u gebruik van clouddiensten voor het verwerken of opslaan van persoonsgegevens (Office 365, Google apps of Dropbox, maar ook online administratie- en boekhoudpakketten)? Wees u er dan van bewust dat u daarmee de beveiliging van uw data uit handen geeft aan de cloudprovider. Dat ontslaat u echter niet van uw verplichting om die gegevens te beschermen! Zorg er daarom voor dat de gevoelige data die u uploadt naar de cloudprovider versleuteld wordt opgeslagen.

Tip 5: Versleutel e-mail

Ook persoonsgegevens die worden gedeeld met derden, bijvoorbeeld per e-mail, moeten altijd versleuteld worden uitgewisseld. Dat kan met speciale apps of een Outlook-plug-in.

Tip 6: Meld een datalek binnen drie werkdagen

Of uw organisatie een datalek moet melden, is nog de vraag. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens. Is die groot? Dan bent u verplicht het incident binnen drie werkdagen te melden. Dat kan via het meldloket datalekken. Als u aan alle bovenstaande eisen voldoet, kunt u dat met een gerust hart doen: alle rapportage en vastlegging (logging) van digitale systemen is in uw bedrijf goed op orde.

Meer informatie vindt u op de website van ESET, specialist in IT-beveiliging.