Achtergrondartikel


RedSocks bereidt bedrijven voor op meldplicht datalekken

Bent u er klaar voor?

1 januari 2016 treedt de meldplicht datalekken in werking. Vanaf die datum moeten alle private en publieke organisaties die persoonsgegevens verwerken elk geval van diefstal, verlies of misbruik van persoonsgegeven meldens. Binnen 24 of 72 uur. Bij het niet op tijd melden of niet voldoen aan de wettelijke eisen kunnen boetes worden opgelegd van maximaal 810.000 euro of tien procent van de omzet van de organisatie. Het tijdig treffen van voorbereidingen is van groot belang. RedSocks helpt daarbij, met de RedSocks malware threat defender (MTD) en een stappenplan dat samen met adviesbureau Duthler Associates is ontwikkeld.

Met de nieuwe meldplicht datalekken hoopt de wetgever dat bedrijven en instellingen hun informatiebeveiliging serieus gaan nemen en dat organisaties werkelijk transparant zijn over de verwerkingen van persoonsgegevens die onder hun verantwoordelijkheid vallen. De hoge sancties zijn bedoeld als stok achter de deur.

Een veelvoorkomend misverstand is dat het zich voordoen van een datalek op zichzelf een forse boete oplevert. Nee, het datalek niet of niet op tijd melden kan een forse boete opleveren. Echter, als ten tijde van de melding blijkt dat de informatiebeveiliging of privacybescherming niet voldoet aan de wettelijke eisen, dan is er inderdaad een kans dat hiervoor ook zo’n hoge boete wordt opgelegd.

Wat zijn uw verplichtingen? In geval van een datalek moet de verantwoordelijke toezichthouder binnen 24 uur of binnen 72 uur het volgende melden:

  • de aard van het datalek; 
  • de vermoedelijke omvang ervan; 
  • de vermoedelijke aard van de schade; 
  • de inspanningen die gepleegd worden om de schade te herstellen; 
  • raadgevingen aan betrokkenen om zo goed mogelijk de consequenties voor de eigen belangen te overzien; 
  • identiteit en contactgegevens van de functionaris voor de gegevensbescherming; en 
  • de maatregelen om inbreuk aan te pakken.

Hoe hierop voor te bereiden? Dit is best veel informatie die een organisatie binnen korte tijd beschikbaar moet hebben. Om bedrijven hierop voor te bereiden, stelde RedSocks samen met Duthler Associates een stappenplan op die er kort samengevat als volgt uitziet:

  • Stap 1: Pas de contracten met leveranciers, waarvan sommige zijn te kwalificeren als bewerker, aan aan de meldplicht datalekken. 
  • Stap 2: Zorg dat u uw verantwoordelijkheids- en aansprakelijkheidsdomein kent en documenteer alle verwerkingen van persoonsgegevens. Zorg vervolgens voor een doeltreffende interne controle. 
  • Stap 3: Stel de effectieve werking van getroffen beheers- en beveiligingsmaatregelen ter bescherming van privacy vast. Met het toepassen van de RedSocks malware threat defender kunnen datalekken in de technische informatie-infrastructuur worden opgespoord en wordt er bewijs aangedragen van de effectieve werking van de maatregelen in het netwerk.


Opsporing verzocht De meldplicht gaat ervan uit dat u datalekken razendsnel kunt opsporen. Maar hoe doet u dat nu het beste? Precies deze vraag stelde IT-securitybedrijf RedSocks zichzelf bij het ontwikkelen van de RedSocks malware threat defender (MTD). Mede-oprichter Pepijn Janssen (links op de foto): “In mijn carrière binnen opsporingsdiensten van overheid en politie moest ik constateren dat geen enkele oplossing computersystemen voor honderd procent beveiligt. Met dat gegeven als uitgangspunt spitst RedSocks zich dus toe op het opsporen van malware in het IT-netwerk en is hierin bewezen effectief.” Risicolijsten en algoritmen worden 24/7 bijgewerkt om ervoor te zorgen dat datalekken altijd razendsnel opgespoord worden. Zo voldoet de gebruiker direct ook aan de voorwaarde dat maatregelen aantoonbaar effectief moeten zijn.

Snel back to business
Door te accepteren dat het tegenwoordig niet meer de vraag is of zich een datalek zal voordoen, maar wanneer, wapent u zich het beste tegen de risico’s die voortvloeien uit de meldplicht datalekken. Met het tijdig treffen van adequate maatregelen bent u snel ‘back to business as usual’ – zelfs in het geval van een datalek. Het stappenplan om te voldoen aan de meldplicht datalekken vindt u op:

www.redsocks.nl/files/Redsocks_Datalekken_2015_NL_webinteractive.pdf


Lees meer over