Invoering Wet Meldplicht Datalekken | KPMG | NL

Veel organisaties moeten nog een verbeteringssprintje van één maand trekken dankzij invoering ‘Wet Meldplicht Datalekken

Invoering Wet Meldplicht Datalekken'

Per 1 januari 2016 zal de “Wet Meldplicht Datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp” van kracht zijn. Organisaties zijn dan verplicht direct een melding te maken bij de toezichthouder College bescherming persoonsgegevens (CBP) in het geval van een ernstig datalek (en soms ook bij de gedupeerden van zo’n datalek).

1000

Gerelateerde content

Veel organisaties moeten nog een privacy verbeteringssprintje van één maand trekken dankzij invoering ‘Wet Meldplicht Datalekken’

Daarnaast is het CBP in staat gesteld boetes op te leggen van maximaal EUR 810.000 (de hoogste categorie) of 10% van de omzet bij ernstige nalatigheid van naleving van de Wet bescherming persoonsgegevens. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zo veel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Nog geen actie ondernomen?
Privacy heeft in het verleden binnen veel organisaties niet een hoge prioriteit gekregen, er bestaat dan ook nog veel achterstallig werk op dit gebied. Organisaties die er nog niet aan toegekomen zijn om de naleving van de meldplicht en/of de privacywetgeving te controleren, adviseren wij een risicogerichte aanpak te hanteren. Een traject om volledig aan de privacywetgeving te voldoen duurt maanden, zo niet jaren (afhankelijk van de complexiteit van de organisatie en de omvang van de persoonsgegevens). Wij adviseren organisaties die nog moeten starten met het voldoen aan de Wet Meldplicht Datalekken de komende maand de volgende pragmatische aanpak te volgen:

Een privacy taskforce:
Stel een privacy taskforce samen die moet zorg dragen voor alle activiteiten op het gebied van de meldplicht/privacy. Betrek daarbij medewerkers vanuit verschillende disciplines die een link hebben met het onderwerp (denk Legal, IT, Security, HR, Compliance, Marketing, Inkoop). Plan de agenda’s van desbetreffende medewerkers zo veel mogelijk vrij. Ze zullen alle tijd nodig hebben om in december nog het voornoemde sprintje te trekken.

Meldplicht datalekken en de quick wins:
Laat de privacy taskforce starten met het oppakken van de meldplicht datalekken en de quick wins in de tijd die er nog is tot 1 januari a.s.:

  • Stel een procedure op voor het melden van datalekken binnen de eigen organisatie. Haak hierbij aan op mogelijk bestaande procedures waarbij ook een meldplicht bestaat (security-incidenten, compliance-incidenten etc.). Neem de punten van het document “Richtsnoeren meldplicht datalekken” (link) van het CBP hierin mee.
  • Maak iemand binnen de taskforce eindverantwoordelijk voor de implementatie van de procedure.
  • Indien niet kan worden aangehaakt bij bestaande meldprocedures, regel dan een centraal punt in de organisatie in waar datalekken gemeld kunnen worden.
  • Breng medewerkers op de hoogte van wat ze moeten melden in het kader van welke gebeurtenissen of incidenten ze moeten melden. Maak daarbij duidelijk dat wellicht niet alles in het kader van de Meldplicht relevant is, maar nodig de medewerkers wel uit om zaken te melden.
    Gebruik hierbij een tweetrapsraket:
    1) stuur een e-mail met een introductie over het onderwerp privacy en de meldplicht datalekken. Kondig in de e-mail een informatiesessie aan.
    2) Plan een informatiesessie inzake privacy/meldplicht, waarin de meldplicht datalekken nader wordt uitgelegd.
    Gebruik gedurende deze sessie duidelijke voorbeelden van wat een datalek is en wat niet. Zorg voor voldoende ruimte in de sessie om vragen te kunnen beantwoorden. Maak ook een opname van de sessie voor de medewerkers die er niet bij konden zijn.

Naast voornoemde acties zijn er andere quick wins:

  • Het opstellen van een privacybeleid.
  • Het zo nodig aanscherpen van het informatiebeveiligingsbeleid en een verwijzing opnemen naar het privacybeleid.
  • Het aanscherpen van dataretentiebeleid.
  • De overmatige uitgegeven toegangsrechten tot systemen met persoonsgegevens beperken.
  • Het aanscherpen van de contracten met derden partijen (leveranciers/partners) met een privacyclausule.

Zodra deze quick wins zijn gerealiseerd, adviseren wij organisaties een verdere projectmatige aanpak te hanteren om te voldoen aan de privacyvereisten van het CBP. Deze activiteiten zullen hoogstwaarschijnlijk verder doorlopen in 2016. De volgende stappen zijn hierbij van toepassing:

Privacy Quick Scan:
Voer een Privacy Quick Scan uit waarmee de gap tussen de huidige situatie en de privacyvereisten (CBP-richtsnoeren) inzichtelijk wordt. Daarbij is één van de eerste stappen (beknopt) te inventariseren welke persoonsgegevens waar worden verwerkt binnen de organisatie en hoe er met deze persoonsgegevens wordt omgegaan (rekening houdende met de privacyvereisten). Bepaal op basis van de uitkomsten van de Privacy Quick Scan de meest risicovolle aandachtsgebieden. Stel bijvoorbeeld vast binnen welke domeinen de impact van een datalek, de kans of de gevolgen er van het grootst zijn. Een privacyproject is voor veel organisaties een uitdaging om te plannen aangezien er vaak nog weinig privacystandaarden in detail zijn opgezet. De daadwerkelijke tekortkomingen worden pas gaande het project langzaam duidelijk. Om toch de belangrijkste zaken eerst op te pakken is een Privacy Quick Scan nuttig.

Plan:
Bepaal de privacy-ambitie voor de organisatie (hoe snel dient er voldaan te worden aan alle privacyvereisten). Stel vervolgens een privacyprojectplan samen op basis van de resultaten van eerdere stappen. Bepaal de prioriteiten in de planning op basis van de risicovolle aandachtsgebieden. Neem ook de volgende producten in het projectplan op:

  • De nog niet-gerealiseerde quick wins bij stap 2.
  • Overeenkomst en vastlegging van de rollen en verantwoordelijkheden bij het uitvoeren van het privacybeleid.
  • Een inventarisatie van het landschap van persoonsgegevens.
  • De benodigde Privacy Impact Assessments en de daaruit voortvloeiende te nemen maatregelen.
  • Een privacy baseline (standaarden die zullen gelden voor de persoonsgegevens binnen de organisatie zoals een toegangsbeheerprocedure).
  • Awarenesstrainingen voor het personeel.
  • Handhaving en monitoring van geïmplementeerde standaarden.

Uitvoering: 
Voer het opgestelde projectplan uit. Hanteer daarbij een pragmatische aanpak. Probeer niet te veel tijd te besteden om perfecte producten op te leveren (beleid en procedures kunnen gaandeweg het project nog verder worden verbeterd). Echter, geef voldoende aandacht aan activiteiten die er voor zorgen dat de organisatie in de toekomst ook privacycompliant blijft (“dweil niet met de kraan open”). Test of opgestelde procedures in de praktijk werken. Begin klein met een aantal pilots.

Valkuilen tijdens een privacy-implementatie
Een valkuil bij het implementeren van een privacyproject is om wettelijke vereisten te letterlijk te nemen en te verzanden in stroperige procedures en hoge kosten. De praktijk heeft al uitgewezen dat een compliancegerichte aanpak vaak niet leidt tot het gewenste doel en risico’s (zoals informatie-beveiliging) voor organisaties niet voldoende worden gemitigeerd.

Daarnaast bestaan er ook veel misverstanden over de interpretatie van de privacywetgeving en bijbehorende begrippen. Bijvoorbeeld de interpretatie van een datalek. Organisaties spreken vaak over een datalek in het geval dat er (persoons)gegevens op straat zijn komen te liggen. Het College Bescherming Persoonsgegevens (CBP) hanteert echter een breder begrip voor de definitie ‘datalek’:

 

“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.”

 

Veel voorkomende verbeterpunten
Het voldoen aan privacywetgeving heeft in het verleden niet altijd de hoogste prioriteit gehad binnen organisaties. Dat uit zich in de praktijk onder andere op de volgende wijze:

  • Overmatig uitgegeven toegangsrechten voor persoonsgegevens.Er worden meer persoonsgegevens verwerkt dan nodig.
  • Verantwoordelijkheden van persoonsgegevens die nog niet of onduidelijk zijn belegd.
  • Geen of onduidelijke afspraken over wat te doen bij een mogelijk datalek.
  • Onvoldoende afspraken over privacybescherming en hoe om te gaan met datalekken in contracten met partners en leveranciers.
  • Onvoldoende kennis en bewustzijn van de privacyvereisten en de belangrijkste privacyrisico’s binnen de organisatie.

Consequenties van het niet-naleven van de privacywetgeving
Het CBP zal een boete uitdelen bij ernstige nalatigheid. De verwachting is dat het CBP niet direct de maximale boete zal uitdelen aan organisaties die met grote inspanning bezig zijn om aan de privacywetgeving te voldoen. Het verleden heeft echter wel uitgewezen dat het CBP de media met regelmaat opzoekt. In het geval dat wordt ontdekt dat de privacywetgeving niet wordt nageleefd, kan een organisatie dus ernstige reputatieschade riskeren en het vertrouwen van klanten en partners daarmee verliezen.

Twijfels over nakoming van de privacywetgeving?
Mocht u twijfels hebben of uw organisatie voldoende is voorbereid op de aankomende privacywetgeving dan is het laten uitvoeren van een Data Privacy Quick Scan een zeer nuttige exercitie. KPMG biedt deze Data Privacy Quick Scan aan, waarmee snel een beeld kan worden geschetst wat binnen een organisatie nog dient te worden opgepakt om privacywetgeving na te leven. Een Data Privacy Quick Scan geeft u een eerste indicatie van de algehele privacy paraatheid van uw organisatie en geeft u inzicht in waar uw organisatie staat ten opzichte van de privacyvereisten.

Vragen over bovenstaande aanpak of de nakoming van de privacywetgeving? Neem contact met ons op.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig