Beveiligingsincidenten en datalekken, hoe ga je er mee om?
De Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing is, stelt andere en strengere eisen aan de omgang met persoonsgegevens. Dit heeft ook betrekking op de wijze waarop met een mogelijk beveiligingsincident of datalek moet worden omgegaan. Maar hoe dan?
Als ondernemer is, het in het kader van het behoorlijk omgaan met persoonsgegevens, uiteraard van belang dat je er voor zorgt dat de persoonsgegevens die je verwerkt zowel organisatorisch als softwarematig goed beveiligd zijn tegen onrechtmatig gebruik.
Conform de AVG moet je hiervoor als ondernemer passende technische en organisatorische maatregelen nemen. Dat houdt in dat je als organisatie moderne techniek moet gebruiken om persoonsgegevens te beveiligen. Ook is het relevant dat je naast de gebruikte techniek kijkt naar hoe je als ondernemer in algemene zin omgaat met persoonsgegevens. Je kan daarbij bijvoorbeeld denken aan wie binnen de organisatie toegang heeft tot de gegevens en tot welke gegevens.
Organisaties die persoonsgegevens gaan verzamelen, moeten dus al vooraf nadenken over de beveiliging hiervan. Bovendien moet beveiliging van persoonsgegevens binnen je bedrijf een blijvend punt van aandacht zijn.
Als je als ondernemer andere partijen inschakelt om persoonsgegevens te verwerken (denk aan de salarisadministrateur), dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven namelijk verantwoordelijk voor de naleving van de AVG.
Mocht het, ondanks alle getroffen beveiligingsmaatregelen, toch zo zijn dat er sprake is van een beveiligingsincident, dan is het noodzakelijk dat een dergelijk incident vastgelegd en onderzocht wordt om te kunnen bepalen of het incident een datalek betreft en of deze gemeld moet worden aan de toezichthoudende organisatie (in Nederland de Autoriteit Persoonsgegevens) en aan de betrokkene(n).
In hoofdlijn kan gesteld worden dat of je een datalek moet melden, afhankelijk is van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
Om daarbij enige houvast te hebben is het raadzaam om een handleiding/protocol voor de melding, beoordeling en afhandeling van beveiligingsincidenten en datalekken binnen je bedrijf te hebben.
Een dergelijke protocol hanteer je bij het melden en afhandelen van (mogelijke) beveiligingsincidenten binnen jouw bedrijf, dan wel van (mogelijke) beveiligingsincidenten die buiten je bedrijf hebben plaatsgevonden, maar waarvoor je als verwerkingsverantwoordelijke verantwoordelijkheid draagt, bijvoorbeeld als een beveiligingsincident zich bij een verwerker van jou voordoet.
Daarnaast zorgt een duidelijk protocol voor een eenduidig beleid binnen je bedrijf waar het gaat om beveiligingsincidenten en voorkom je dat beveiligingsincidenten niet (tijdig) worden opgemerkt en eventueel niet (tijdig) worden gemeld. Iedereen weet dan namelijk hoe er gehandeld moet worden, zodra hij of zij een beveiligingsincident ontdekt of hem of haar dit ter ore komt.
Protocollen en meer
Om jou, als lid van de KNS, daarbij zo goed mogelijk te ondersteunen heeft de KNS op haar website een model datalekprotocol en een datalekregister beschikbaar. Het zal je niet verbazen dat in het door jou vastgestelde privacybeleid, waar tevens een model voor beschikbaar is, een verwijzing staat naar het datalekprotocol, zodat je een eenvormig beleid kan voeren waar het gaat om de waarborging van het op juiste wijze werken met persoonsgegevens binnen jouw bedrijf.