C Y B E R SECU R ITY MELDPLICHT DATALEKKEN TELL ME, SHOW ME, PROVE ME! Vanaf 1 januari 2016 wordt de wet ‘Meldplicht Datalekken en uitbreiding bestuurlijke bevoegdheid Cbp’ van kracht. Hiermee loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming (AVG) die naar verwachting eind 2017 in heel Europa zal gaan gelden. In bijna alle gevallen is de gemeente wettelijk verantwoordelijk voor de gegevensverwerking. Wat houdt deze meldplicht in en hoe kunnen overheden zich hierop voorbereiden? Tekst: Saskia Laaper, zelfstandig privacy-adviseur en Programmamanager Informatie-uitwisseling LIEC C entraal in de AVG staat het begrip accountability. Accountability gaat een stap verder dan verantwoordelijkheid; het betekent daadwerkelijke verantwoordingsplicht, controleerbaarheid en aansprakelijkheid. Het gaat erom dat de verantwoordelijke in het hele proces van gegevensverwerking in control is over de persoonsgegevens die hij verwerkt. De verantwoordelijke moet niet alleen kunnen vertellen hoe het zit met de gegevensverwerkingen, hij moet ook kunnen laten zien en zelfs bewijzen dat alles daadwerkelijk zo wordt uitgevoerd zoals is beschreven. Kortom, van tell me naar show me naar prove me. ALOMVATTENDHEID De wet Meldplicht Datalekken geeft ons een eerste indruk van de alomvattendheid van het begrip accountability in de AVG en wat dit voor organisaties gaat betekenen. Het doel van de wet is om de gevolgen van een datalek voor de betrokkenen zoveel mogelijk te beperken en hiermee een bijdrage te leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Het kan bij datalekken gaan om digitale lekken als gevolg van hacking maar ook om het zoekraken van een usb-stick, een print 42 van een digitaal dossier of om verkeerd geadresseerde e-mail. Een datalek is geen ver-van-mijn-bedshow maar een dagelijkse realiteit voor talloze organisaties, zo ook voor gemeenten. Het is dus niet de vraag óf gemeenten hier na de DigiNotar-affaire opnieuw mee te maken zullen krijgen, maar wanneer het zal gebeuren, op welke schaal en met welke gevolgen. EXTRA MELDPLICHT Het nieuwe artikel 34a van de Wet bescherming persoonsgegevens (Wbp) legt een extra meldplicht op aan verantwoordelijken wanneer er met de verwerking van persoonsgegevens iets is misgegaan. Allereerst de verplichting om het College Bescherming Persoonsgegevens (CBP) direct in kennis te stellen wanneer er aanzienlijke kans is op ernstige nadeE B A B lige gevolgen voor de persoonlijke levenssfeer van burgers. Ten tweede de verplichting om ook de betrokken burEen derde verplichting die voortkomt uit de meldplicht betreft het bijhouden van een register van alle inbreuken met aangers direct in kennis te stellen wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. De gemeente zal de betreffende burgers onder andere meteen moeten informeren over de aard van de inbreuk en de vermoedelijke gevolgen en over de maatregelen die de gemeente neemt om de gevolgen te beperken. Het gaat daarbij om een combinatie van algemene en individuele informatievoorziening, zoals een mededeling op de gemeentelijke website, een individuele e-mail aan getroffen burgers en het instellen van een centraal contactpunt. Een verantwoordelijke gemeente hoeft de betrokken burgers echter niet te informeren als er passende technische beschermingsmaatregelen (zoals adequate versleuteling) zijn genomen.
43 Online Touch Home