Contact

Blog Identiteit & veiligheid Monitoring & compliancy


Met de komst van de GDPR wordt de huidige meldplicht datalekken uitgebreid. Er komt, naast de meldplicht voor datalekken, ook een documentatieplicht bij. Dit zodat de Autoriteit Persoonsgegevens kan controleren of er daadwerkelijk aan de meldplicht is voldaan.

Datalek

Elke inbreuk op de beveiliging waarbij gegevens ongewenst zijn ingezien, verstrekt, gewijzigd of zelfs verloren zijn gegaan, wordt gezien als een datalek. Dit kan bijvoorbeeld gebeuren bij het verlies van een USB-stick of een laptop met daarop klantgegevens. Of bij een hack waarbij vertrouwelijke gegevens zijn buitgemaakt. Maar ook het per ongeluk verzenden van vertrouwelijke gegevens naar een verkeerd emailadres is een voorbeeld van een datalek.

Registratie datalek

Met de ingang van de GDPR op 25 mei 2018 moet de volgende informatie over een datalek worden geregistreerd:

  • Een omschrijving van het lek;
  • Wanneer het lek is ontstaan;
  • Wat er met de gegevens is gebeurd;
  • Van welke groepen personen er gegevens zijn gelekt;
  • Van hoeveel personen er data is gelekt;
  • Om welk soort gegevens het gaat.

Naast de informatie over het datalek schrijft de GDPR voor om ook de volgende zaken te registreren:

  • Gevolgen van het dataverlies (bijv. identiteitsfraude);
  • Welke maatregelen je neemt om een lek in de toekomst te vermijden of te beperken;
  • Wat je al hebt gedaan om dit lek te voorkomen.

De reden dat je bovenstaande informatie registreert, is om aan te kunnen tonen dat je datalekken monitort en in kaart brengt. Ook is het de bedoeling dat organisaties leren van datalekken. 

Welke datalekken registreren?

Overigens hoef je niet elk datalek te registreren. Dit hoeft alleen als de informatie die in handen van derden kan zijn gekomen een risico oplevert. Een risico houdt in dat kwaadwillenden iets met deze informatie kunnen doen, zoals identiteitsfraude of het aanbrengen van reputatieschade.

Meldplicht

Als er een datalek plaatsvindt, dan moeten er twee partijen op de hoogte worden gesteld: de toezichthoudende autoriteit en de personen waar deze data betrekking op heeft. De melding moet binnen 72 uur na de ontdekking van het datalek worden gedaan.

Voorkomen datalek

Veel klantdata bevindt zich op lokale apparaten zoals laptops of smartphones. Microsoft Enterprise & Security Suite (EMS) kan je helpen om de beveiliging daarvan centraal te organiseren. De beveiligingsstatus van de apparaten kan worden gemonitord en versleuteling is af te dwingen. In het geval van verlies of diefstal kan het apparaat op afstand worden gewist. 


Laat je gegevens achter en wij nemen contact met je op.

Wil je teruggebeld worden?