Nieuws
image

CBP publiceert conceptregels meldplicht datalekken

maandag 21 september 2015, 11:34 door Redactie, 6 reacties

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptregels over de nieuwe meldplicht datalekken gepubliceerd die volgend jaar ingaat en vraagt partijen om de komende vier weken op deze conceptversie van de regels te reageren.

De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken gaat vanaf 1 januari 2016 gelden.

Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 810.000 euro.

Wanneer melden

Of organisaties verplicht zijn om een melding van een datalek te doen hangt af van de ernst van het datalek. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.

De regels van het College bescherming persoonsgegevens zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen. De komende 4 weken kan er op de conceptversie worden gereageerd. Vandaag verscheen op Security.NL ook het achtergrondartikel "Nieuwe meldplicht datalekken: vrees voor boetes terecht?", dat ingaat op het risico dat bedrijven straks lopen om beboet te worden.

Reacties (6)
21-09-2015, 12:13 door Anoniem
Nu alleen nog zorgen dat AP zelf haar zaken op orde heeft en niet zelf een bron van datalekken wordt; die info is immers uiterst gevoelig; heb daar gezien het overheids-trackrecord best een hard hoofd in ...
21-09-2015, 13:25 door Anoniem
https://cbpweb.nl/nl/melden/meldplicht-datalekken geeft bij mij Beveiligde verbinding mislukt.

Misschien moeten ze eerst iets aan hun eigen beveiliging doen om data lekken te voorkomen ;)
21-09-2015, 14:55 door Overcome
Door Anoniem: https://cbpweb.nl/nl/melden/meldplicht-datalekken geeft bij mij Beveiligde verbinding mislukt.

Misschien moeten ze eerst iets aan hun eigen beveiliging doen om data lekken te voorkomen ;)

(1) Bij mij geen enkele foutmelding, dus ik denk dat het heel goed aan je eigen systeem/ verbinding kan liggen.
(2) SSL labs geeft een A- aan cpbweb.nl, iets waar ze best trots op kunnen zijn. Ik kom 9 v/d 10 keer heel wat slechter tegen.
(3) Hun databeveiliging staat volledig los van mogelijke connectieproblemen die jij ondervindt.
21-09-2015, 15:15 door Anoniem
De Autoriteit Persoonsgegevens.
LoL denken ze dat z'n naam ze meer autoriteit gaat geven ofzo... lol. Beetje jammer die naam.
21-09-2015, 19:48 door karma4
Met ISO27018 en het voorstel stuk bij de CBP uh AP zal er niet snel sprake zijn van datalekken.
De voorwaarde is namelijk dat het PII Persoonlijke identificeerbare gegevens gaat.
Wie heeft zich bij het CBP geregistreerd als gebruiker met alle indentifceerbare herleidbare persoons gegevens?
De link naar voorstel waar het CBP om gaat is bij het achtergrondartikel te vinden
30-09-2015, 09:44 door Anoniem
Die boete van de Autoriteit Persoonsgegevens is niet mis, maar is in mijn ogen wel in verhouding met het wegmoffelen van een ernstig datalek. Het zet organisaties aan het denken. Echter zou de focus niet moeten liggen op het voorkomen van een boete, maar op het voorkomen van een datalek waarbij persoonsgegevens verloren raken. Om dit te realiseren is het belangrijk om niet alleen de netwerkrand, maar ook de data zelf te beschermen. Dit door sterke authenticatie, het encrypteren van bedrijfsgevoelige/persoonlijke/financiële data en het veilig en centraal managen van keys. Zo zorgen organisaties ervoor dat de gegevens onbruikbaar worden voor hackers, als zij onverhoopt toch binnen het netwerk binnendringen. - Dirk Geeraerts, identity en data protection expert bij Gemalto -
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search