Blog
Blog
Met de komst van de GDPR wordt de huidige meldplicht datalekken uitgebreid. Er komt, naast de meldplicht voor datalekken, ook een documentatieplicht bij. Dit zodat de Autoriteit Persoonsgegevens kan controleren of er daadwerkelijk aan de meldplicht is voldaan.
Elke inbreuk op de beveiliging waarbij gegevens ongewenst zijn ingezien, verstrekt, gewijzigd of zelfs verloren zijn gegaan, wordt gezien als een datalek. Dit kan bijvoorbeeld gebeuren bij het verlies van een USB-stick of een laptop met daarop klantgegevens. Of bij een hack waarbij vertrouwelijke gegevens zijn buitgemaakt. Maar ook het per ongeluk verzenden van vertrouwelijke gegevens naar een verkeerd emailadres is een voorbeeld van een datalek.
Met de ingang van de GDPR op 25 mei 2018 moet de volgende informatie over een datalek worden geregistreerd:
Naast de informatie over het datalek schrijft de GDPR voor om ook de volgende zaken te registreren:
De reden dat je bovenstaande informatie registreert, is om aan te kunnen tonen dat je datalekken monitort en in kaart brengt. Ook is het de bedoeling dat organisaties leren van datalekken.
Overigens hoef je niet elk datalek te registreren. Dit hoeft alleen als de informatie die in handen van derden kan zijn gekomen een risico oplevert. Een risico houdt in dat kwaadwillenden iets met deze informatie kunnen doen, zoals identiteitsfraude of het aanbrengen van reputatieschade.
Als er een datalek plaatsvindt, dan moeten er twee partijen op de hoogte worden gesteld: de toezichthoudende autoriteit en de personen waar deze data betrekking op heeft. De melding moet binnen 72 uur na de ontdekking van het datalek worden gedaan.
Veel klantdata bevindt zich op lokale apparaten zoals laptops of smartphones. Microsoft Enterprise & Security Suite (EMS) kan je helpen om de beveiliging daarvan centraal te organiseren. De beveiligingsstatus van de apparaten kan worden gemonitord en versleuteling is af te dwingen. In het geval van verlies of diefstal kan het apparaat op afstand worden gewist.
Deel dit verhaal