DOWNLOAD BROCHURE

LEIDRAAD Meldplicht datalekken

Er wordt veel gezegd en geschreven over de ‘Wet meldplicht datalekken en uitbreiding boetebevoegdheid’, kortweg ‘Meldplicht Datalekken’. Deze wet verplicht u om een datalek waarbij persoonsgegevens betrokken zijn te melden bij de Autoriteit Persoonsgegevens (AP).

Northwave helpt organisaties met een integrale pragmatische aanpak van Informatiebeveiliging. Vanuit die ervaring en expertise hebben we deze compacte leidraad geschreven.

Hiermee krijgt u snel in beeld wanneer u een melding moet doen, welke gegevens u daarvoor nodig heeft en wat u daarvoor moet organiseren. Zo kunt u zelf eenvoudig bepalen welke stappen er voor uw organisatie nodig zijn. En als u dat prettig vindt, dan helpen onze gedreven experts u daar graag bij.

Wanneer moet ik melden?

Zelf beslissen

De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP. Dit beslismodel helpt u bepalen wat u moet doen.

WAT moet ik melden?

Checklist melding

U moet melding maken via een speciaal formulier op de website van de AP. Daarin moet u een aantal gegevens aanleveren. Deze worden hieronder kort beschreven, zodat u weet welke informatie u moet verzamelen binnen de hiervoor gestelde tijd van 72 uur.

1. Aard van de melding
Wat meldt u precies? Geef eventueel aan of de melding relatie heeft tot een eerdere melding en wat deze relatie is.

2. Wettelijk kader
Geef aan op grond van welke wettelijke bepaling de melding wordt gedaan. In de meeste gevallen zal de melding op basis van de Wet bescherming persoonsgegevens gebeuren (WBP).

3. Algemene informatie
Hier vult u de contactgegevens in van uw organisatie en de persoon die het datalek meldt. Dit wordt vaak gedaan door een Privacy Officer.

4. Gegevens over het datalek
Geef aan om wat voor persoonsgegevens het gaat, wat er mee is gebeurd en wanneer. Beschrijf de groep mensen die getroffen is, om hoeveel mensen het gaat en welke mogelijke gevolgen er zijn voor de betrokkene(n).

5. Vervolgacties naar aanleiding van het datalek
Beschrijf welke technische- en organisatorische maatregelen zijn genomen om de inbreuk aan te pakken en verdere inbreuken te voorkomen.

6. Inlichten van de betrokkenen
Geef aan wanneer het datalek is gemeld aan de betrokkene(n), op welke manier en welke informatie is verstrekt. Als de betrokkene(n) niet is geïnformeerd, beschrijf dan waarom u afziet van een melding.

7. Technische beschermingsmaatregelen
Geef aan of de persoonsgegevens zijn versleuteld en op welke manier.

8. Internationale aspecten
Beschrijf of de inbreuk betrekking heeft op personen in andere EU-landen en of u het datalek heeft gemeld bij andere Europese toezichthouders.

9. Vervolgmelding
Geef aan of de melding compleet is of dat er eventueel nog een vervolgmelding nodig is.

WAT MOET IK REGELEN?

Langs welk proces neemt u het besluit om wel of niet te melden?

De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP. De AP geeft u 72 uur om een melding te doen. Zeker bij complexere incidenten of situaties waarbij meerdere partijen zijn betrokken kan dat snel tot veel tijdsdruk leiden. U moet immers niet alleen een gefundeerd besluit nemen of u moet melden, maar ook behoorlijk wat gedetailleerde informatie kunnen aanleveren (zie checklist).

  • Bereid u voor. Richt een Incident Response Proces in.
  • Verzeker u van expertise bijvoorbeeld op het gebied van forensisch data-onderzoek.

Wat heeft u nu geregeld met uw leveranciers of partners?

Als gegevens in uw opdracht worden opgeslagen of verwerkt, bent u nog steeds zelf verantwoordelijk voor de melding. Uitbesteden van verwerking of opslag ontslaat u niet van die verantwoordelijkheid. Van belang is dus goed na te gaan wat u hebt geregeld in bewerkersovereenkomsten of andere afspraken en op welke wijze uw partners incidenten aan u melden.

  • Zorg niet alleen voor heldere juridische afspraken met uw dienstverleners maar controleer ook in de praktijk of deze afspraken worden nagekomen.
  • Oefen uw meldprocedure met enige regelmaat.Betrek ook uw leveranciers en partners.

WIE KAN ER BIJ UW DATA?

Een goed geïmplementeerde ICT beveiliging is cruciaal. Een belangrijke maatregel is het versleutelen van de gegevens die u bewerkt of opslaat. Bij een datalek kunnen derden dan niets met de informatie. Zorg ook voor een goede detectie van digitale inbraken. Daarnaast is het van belang te kunnen beschikken over logging van systemen. Dat is cruciaal voor een onderzoek naar een datalek.

  • Controleer of er een adequate rechten-structuur bestaat en wordt gehandhaafd voor de toegang tot de data.
  • Controleer of uw gevoelige data versleuteld wordt bewaard.
  • Controleer of er voldoende logging informatie wordt verzameld en bewaard van de systemen waarmee u privacy gevoelige gegevens bewerkt of bewaard.
  • Richt adequate monitoring en detectie in, zodat u meer zicht heeft op cyber-inbraken.

ZELF DOEN OF HULP INSCHAKELEN

IN UW PRAKTIJK

U heeft nu een beeld wanneer u een datalek moet melden, welke gegevens u hiervoor nodig heeft en wat u moet organiseren om in staat te zijn een melding te doen. Met wat tijd en energie kunt u de hoofdlijnen uitstekend zelf inregelen.

Er zijn een aantal aspecten die vragen om specifieke expertise die u wellicht niet zelf in huis heeft. We hebben daarom een speciale service ontwikkeld die u op een slimme manier werk uit handen neemt. U borgt daarmee de kwaliteit en continuïteit.

Response Plan Meldplicht Datalekken
We stellen met u een plan op en leggen dat toegankelijk vast. Met een helder proces bent u beter voorbereid op het melden van een incident. Daardoor toont u bij de AP ook aan dat u zorgvuldig bent in het nemen van verantwoordelijkheid. Daarnaast komt u bij een incident minder snel in tijdsproblemen.

Monitoring, Detectie en Logging
Vanuit ons Security Operations Centre (SOC) bieden we een complete Managed Service. Zo beschikt u over de technische oplossing die de juiste logfiles verzameld en daarnaast uw ICT omgeving intensief bewaakt.

CERT Abonnement Melding Datalekken
Northwave CERT (Computer Emergency Response Team) verleent u bijstand bij incidenten waarbij u forensische expertise nodig heeft om de juiste informatie te verzamelen die nodig is voor een melding. We garanderen beschikbaarheid en response tijd. Daarmee heeft u altijd snel de juiste mensen ter plaatse mocht het nodig zijn. Dat beperkt de kans op schade door een incident.

Oefening Datalek
We begeleiden een korte oefening waarin we een incident naspelen waarbij mogelijk data is gelekt. Door deze oefening implementeert u het proces en test u waar het proces of de uitvoering kan worden aangescherpt. U krijgt de beschikking over de oefenstof zodat u zelf de oefening kunt herhalen.

MEER WETEN OF EEN OFFERTE?
We helpen u graag. Neem contact met ons op. U heeft dan binnen 2 werkdagen een prijsopgave.