Nieuw: meldplicht datalekken. Beveilig jouw website

logo
door: Richard 07-01-2016| Leestijd: 6 minuten| Categorie: SSL / veiligheid

De Wet Bescherming Persoonsgegevens (WBP) is per 1 januari 2016 gewijzigd. We hebben vanaf nu te maken met een meldplicht datalekken.

Ook krijgt het College Bescherming Persoonsgegevens (CBP, tegenwoordig Autoriteit Persoonsgegevens) een uitgebreidere boetebevoegdheid.

Kort gezegd houdt de wetswijziging in dat er een aantal veiligheidszaken binnen jouw bedrijf optimaal geregeld moeten worden. We reiken de handvatten aan.

Privacybeveiliging wordt steeds belangrijker. In het dagelijkse leven laten we online overal onze privégegevens achter. Uiteraard in goed vertrouwen.

Jij moet als eigenaar van een website of webshop dat vertrouwen wel kunnen garanderen. Dat was al zo, maar dat was meer een morele plicht. Nu wordt het toezicht op de online veiligheid van persoonsgegevens strenger.

Wat is er aangepast?

De twee belangrijkste aanpassingen zijn de meldplicht bij een datalek en de boetebevoegdheid van Autoriteit Persoonsgegevens.

Een meldplicht bestond al in de Nederlandse wetgeving, maar viel onder de Telecommunicatiewet. Dit verplichtte alleen aanbieders van elektronische communicatienetwerken en –diensten, zoals callcenters, om melding te maken van datalekken.

De groep waarop de wet invloed heeft is nu dus vergroot: zowel bedrijven als overheden zijn verplicht ernstige online lekken te melden.

Daarnaast is er de boetebevoegdheid van de Autoriteit Persoonsgegevens. Waar het College Bescherming Persoonsgegevens eerder beperkte bevoegdheden had, zijn deze uitgebreid.

Zo vallen veel meer algemene verplichtingen die de wet stelt onder de bevoegdheid. Wanneer persoonsgegevens niet behoorlijk en zorgvuldig worden verwerkt of langer worden bewaard dan nodig is treedt Autoriteit Persoonsgegevens op.

Andere voorbeelden zijn wanneer de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.

Het CBP beoordeelt de beveiliging van persoonsgegevens op basis van het Privacy Impact Assessment (PIA).


Een datalek houdt in dat persoons- of bedrijfsgegevens onbedoeld zijn vrijgekomen of dat er een onrechtmatige verwerking van de gegevens plaatsvond.

Meldplicht datalekken

Voor een betere bescherming van persoonsgegevens worden bedrijven en overheidsinstanties verplicht om ernstige datalekken actief te melden bij Autoriteit Persoonsgegevens en in sommige gevallen bij de betrokken personen.

Of je een melding moet maken hangt af van de ernst van de situatie. Alleen wanneer het datalek nadelige gevolgen heeft voor de betrokken personen is het noodzakelijk om de Autoriteit Persoonsgegevens op de hoogte stellen.

Bij nalatigheid van de melding bedraagt de maximale boete momenteel 810.000,- euro.

Bescherming online persoonsgegevens

Heb je een webshop of een website waarop je persoonsgegevens opvraagt, dan ben je verplicht om passende maatregelen te treffen om de gegevens te beschermen. Zo voorkom je en datalek en hoef je er ook geen melding van te maken.

Voorkom een datalek

1
Breng de zwakke plekken in kaart. Dit houdt in dat je de risico’s beoordeelt. Welke gegevens zijn gevoelig en is de verwerking hiervan optimaal ingericht? Inventariseer ook de dreigingen die kunnen leiden tot een datalek.
2
Vraag nooit meer gegevens op dan noodzakelijk is voor het uitvoeren van de dienst. Zo kunnen namen in veel gevallen achterwege blijven en heb je voor het versturen van facturen geen telefoonnummers, politieke voorkeuren of andere gevoelige informatie nodig.
3
Beperk de toegang tot persoonsgegevens tot uitsluitend medewerkers die er baat bij hebben de gegevens in te zien. Alleen wanneer een medewerker actief met de gegevens aan de slag moet is het verstandig die persoon toegang te geven.
4
Controleer of jouw CRM-systeem aan de laatste update voldoet en doe hetzelfde voor jouw CMS-systeem. Bekijk hier het stappenplan voor een veilige update.
5
Zijn alle plugins nog actueel en gebruik je moderne beveiligingstechnieken voor jouw website? Zo niet beveilig dan nu jouw webformulieren.

CBP-schema voor de betrouwbaarheidseisen, waarbij de verantwoordelijke binnen een organisatie vaststelt aan welke eisen het informatiesysteem moet voldoen.

Richtpunten voor meldplicht datalekken

Wanneer jouw backend up-to-date is en jouw webformulieren optimaal beveiligd, dan is het van belang toch nog een aantal zaken in acht te nemen om goed voorbereid te zijn op de gevolgen van deze wetswijziging. Want, wat doe je wanneer er toch een USB-stick met persoonsgegevens kwijtraakt, een laptop wordt gestolen of een hacker jouw data meeneemt?

Richt goed incidentenbeheer in

Controleer regelmatig of de beveiligingsmaatregelen worden nageleefd. Plan periodiek een moment in waarop bekeken wordt of alle beveiligingsniveaus nog up-to-date zijn en of de mate van beveiliging nog past bij de verwerking van de persoonsgegevens. Pas waar nodig de beveiligingsmaatregelen aan.

Maak iemand verantwoordelijk

Benoem binnen de organisatie een persoon die datalekken beoordeelt en afhandelt. Niet in alle gevallen is het nodig om een melding te maken.

Beslis welke persoon binnen de organisatie datalekken beoordeelt. Meldt bij de Autoriteit Persoonsgegevens en eventueel ook bij de betrokken personen.

Weet hoe je wilt informeren

Kies een manier die bij jouw bedrijf past om betrokken personen op de hoogte te brengen van het datalek. Het is natuurlijk in geen geval leuk om te horen dat persoonlijke gegevens op straat zijn beland. Om schade aan jouw bedrijfsnaam te beperken is het goed een protocol op te stellen om over een datalek te informeren.

Een vooraf vastgesteld protocol helpt je bij het snel en adequaat kunnen handelen in geval van een onvoorziene situatie.

Maak afspraken met externe partijen

Controleer jouw afspraken met personen buiten de organisatie. Heeft jouw ICT’er bijvoorbeeld toegang tot beschermde documenten? Of kan jouw administratiekantoor wel bij de gegevens terecht, maar is hij niet verantwoordelijk voor de verwerking hiervan?

In dat soort gevallen is het goed om een geheimhoudingsplicht op te stellen en voorwaarden voor het beheer van apparatuur met toegang tot de data.

Wachtzin

Onderneem direct maatregelen voor de veiligheid van jouw website. Dat begint al bij het instellen van een nieuw sterk wachtwoord van je CMS en e-mail, of liever nog een wachtzin.

Wij laten in de blog ‘Must: versterk je wachtwoord! Tips op een rij‘ weten hoe je deze eenvoudig en snel maakt en hoe jij jouw zin makkelijk kunt onthouden.

logo
Over: Richard

Richard is een gestructureerde en administratieve kei, die alles over onze diensten weet. Met zijn veelzijdigheid heeft hij dé oplossing voor jouw administratieve vragen.