Tips om te voldoen aan de wet meldplicht datalekken

Ieder bedrijf dat met persoonsgegevens werkt, krijgt ermee te maken: de nieuwe wet meldplicht datalekken. Maar hoe voorkom je een torenhoge boete? 5 tips van experts.

Vanaf 1 januari 2016 gaat de meldplicht datalekken in. Organisaties die met persoonsgegevens werken zijn dan verplicht om alle vormen van gelekte persoonsgegevens te melden. Eerder zetten we al essentiële informatie over de meldplicht datalekken op een rij. Maar hoe voorkom je dat je straks een torenhoge boete krijgt voor iets wat je onbewust gedaan hebt? 5 tips van experts.

1. Stel een draaiboek op

Reduceer risico’s door uitgebreide controle op techniek en processen en organisatorische maatregelen vast te leggen in een draaiboek. Het moet voor iedereen binnen de organisatie duidelijk zijn hoe je bij een incident moet optreden en wie welke verantwoordelijkheden draagt.

2. Stel een privacy officer aan

Overheidspartijen en organisaties die persoonsgegevens van meer dan 5.000 individuen verwerken zijn verplicht een privacy officer aan te stellen. Dat is een persoon die zich richt op de privacy-effecten van ict-omgevingen.

Het hoeft geen fulltime functie te zijn. Als er maar iemand is aangewezen die deze taak heeft. De rol van privacy officer kan ook aan een externe partij worden uitbesteed. Maar let op, bij incidenten blijft de eigen organisatie verantwoordelijk.

3. Maak afspraken met bewerkers

Bedrijven delen steeds vaker privacygevoelige informatie zoals klant- en medewerkersdata met andere organisaties. Taken als salarisverwerking zijn bijvoorbeeld uitbesteed. Het is dan verstandig om afspraken te maken over de bescherming van die data en hoe er bij een incident moet worden opgetreden.

4. Neem risicobeperkende maatregelen

De toezichthouder onderzoekt bij een melding welke maatregelen een organisatie heeft genomen om het verlies van gegevens te voorkomen. De sanctie wordt mede bepaald op basis van de genomen maatregelen.

Neem daarom voldoende risicobeperkende maatregelen. De meest bekende zijn encryptie – het versleutelen van data – en de mogelijkheid om privacygevoelige informatie op gestolen of verloren apparatuur op afstand te wissen.

5. Sluit aan op standaarden en analyseer risico’s

Experts raden aan om privacygevoelige data volgens document- en veiligheidsstandaarden te organiseren, zoals de standaard voor informatiebeveiliging ISO 27001. Ook periodieke risicoanalyses moeten de kansen op het lekken van privacygevoelige informatie verkleinen.

Lees ook: