Datalekken! “Bedrijf X heeft een groot datalek gehad” of “Persoon Y lekte belangrijke gegevens naar instantie X”. Het is eerder regel dan uitzondering dat de kranten er vol van staan! Het is allemaal niets nieuws die Meldplicht Datalekken, die vanaf 1 januari 2016 van kracht gaat, maar de impact van deze meldplicht moeten we niet onderschatten. Heeft u al de juiste stappen gezet en maatregelen genomen om voor 1 januari 2016 klaar te zijn?
Meldplicht
Deze meldplicht is van toepassing op zowel het bedrijfsleven als de overheid. Kort samengevat betekent deze meldplicht dat er direct een melding gedaan moet worden bij het College Bescherming Persoonsgegevens, sinds kort hernoemd naar Autoriteit Persoonsgegevens (AP), indien er zich een datalek voordoet. Boetes die door het AP kunnen worden opgelegd kunnen oplopen tot 820.000 euro. Dat is geen sinecure!
Wetten
Een datalek betekent niet alleen dat persoonsgegevens naar buiten zijn gelekt, maar ook zaken als vernietiging of wijziging van deze persoonsgegevens worden gezien als een datalek. Naar verwachting zal in 2017 de nieuwe Europese databeschermingswet, naast de meldplicht datalekken, van kracht gaan. Het voorlopige akkoord is inmiddels bereikt. Het betreft een Europese wet en geen richtlijnen, zoals velen dachten. Deze wet zal leidend zijn en lokale wetgeving zal hierop aansluiting moeten vinden met eventuele extra maatregelen. Deze nieuwe Europese wet verplicht bedrijven die veel persoonsgegevens verwerken, een Privacy Officer aan te stellen die zorg draagt op het naleven van deze wetgeving. Ook bij deze wet hebben we te maken met hoge boetes, tot wel 4% van de wereldwijde omzet.
Kwaliteit en veiligheid
De Meldplicht Datalekken en de nieuwe Europese databeschermingswet zijn belangrijk om kwaliteit en veiligheid binnen en buiten de organisatie te waarborgen. Voor Archive-IT vanzelfsprekend, maar men moet het niet te ‘licht’ opvatten. Eigenlijk zouden deze regels en wetten niet nodig hoeven te zijn. Immers als goed ‘huisvader’ worden we geacht op een veilige manier met gegevens om te gaan. De praktijk is echter anders. Naar verwachting zullen de hoge boetes heel wat ogen gaan openen.
Archive-IT is ISO27001 en NEN7510 gecertificeerd. Dat betekent dat deze wet- en regelgeving onderdeel zijn van deze normeringen. Ook in dit kader heeft Archive-IT al de maatregelen getroffen om de Meldplicht Datalekken te omarmen. Tevens heeft Archive-IT stappen ondernomen richting de nieuwe Europese databeschermingswet die naar alle waarschijnlijkheid in 2017 actief wordt. Ook hier geldt dat bewustwording binnen de organisatie zeer belangrijk is en continu dient te worden meegenomen in alle bedrijfsprocessen.
De komende tijd zal duidelijk worden wat de impact zal zijn van deze wetten. Welke stappen heeft uw organisatie al gezet?