Vanaf 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht waardoor
organisaties wettelijk verplicht zijn om datalekken te melden bij de Autoriteit
Persoonsgegevens (AP). Deze wet zorgt voor veel verwarring. ICT-partijen die oplossingen bieden op het gebied van informatiebeveiliging, spelen hier handig op in. Misschien is het wel het meest genoemde verkoopargument voor producten en diensten op gebied van informatiebeveiliging in de afgelopen periode. Daarom is het goed om te bekijken waar het nu echt om gaat.
Een datalek is onlosmakelijk verbonden aan persoonsgegevens. Persoonsgegevens kunnen worden herleid tot een natuurlijk persoon. Denk bijvoorbeeld aan NAW-
gegevens. Bijzondere persoonsgegevens bevatten extra gevoelige informatie, zoals strafrechtelijk verleden, seksuele geaardheid, godsdienst en ras.
Een datalek kan voor een bedrijf grote gevolgen hebben. Denk bijvoorbeeld aan imagoschade. Maar ook de gevolgen voor de betrokken personen kunnen zeer
ernstig zijn. Zeker wanneer het gaat om bijzondere persoonsgegevens. Een datalek van deze gegevens kan onder meer leiden tot uitsluiting, financiële schade of tot (identiteits-) fraude. En daarom wordt van organisaties verwacht als een goed
huisvader te zorgen voor de bescherming van deze gegevens.
Er kan al sprake zijn van een datalek, wanneer u een mail stuurt en de geadresseerden in het “aan” of “cc” veld zet, in plaats van het “bcc” veld, waardoor alle ontvangers kunnen zien aan wie u de betreffende mail heeft gestuurd.
Nu is het de vraag of deze wet ook gevolgen heeft voor uw organisatie. Om hier een antwoord op te kunnen geven, zult u eerst twee vragen moeten beantwoorden:
– Verwerkt u (gevoelige) persoonsgegevens?
– Weet u wat de impact voor de betrokkene(n) kan zijn wanneer deze persoons-
gegevens worden gelekt?
Wanneer u persoonsgegevens verwerkt, bestaat er een kans dat ook ú met een datalek te maken krijgt. En in dat geval is het goed om in kaart te brengen welke informatie u verwerkt en welke impact het op de betrokkenen heeft wanneer deze informatie wordt gelekt. U zult ongetwijfeld de benodigde maatregelen willen treffen om deze informatie te beschermen. Wanneer u zich verantwoordelijk voor voelt, en dat bent u volgens de wet, zult u ongetwijfeld de benodigde maatregelen willen treffen om deze informatie te beschermen. En dan zal deze nieuwe wet voor u geen last zijn.
