image

Meldplicht datalekken roept veel vragen op

zaterdag 16 januari 2016, 11:33 door Redactie, 20 reacties

Sinds 1 januari is in Nederland de Meldplicht Datalekken van kracht. Veel bedrijven zitten echter nog met vragen, zo blijkt uit een rondgang van Security.NL onder verschillende juristen. De juridische experts verwachten dat de Autoriteit Persoonsgegevens, de instantie die de Meldplicht Datalekken handhaaft, de eerste tijd voornamelijk zal waarschuwen.

De Meldplicht Datalekken houdt in dat zowel bedrijven als overheden melding moeten maken bij de Autoriteit Persoonsgegevens als er een datalek is opgetreden. In een aantal gevallen moet het datalek ook aan de mensen bekend worden gemaakt van wie de persoonsgegevens zijn gelekt. Volgens de wet moet er in ieder geval een melding worden gemaakt als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overtreden van de meldplicht kan worden bestraft met een boete van 820.000 euro of 10% van de jaarlijkse omzet.

Vragen

Veel organisaties zitten nog met vragen, zo vertelt Arnoud Engelfriet. Engelfriet is ICT-jurist en partner bij juridisch adviesbureau ICTRecht. “Mijn bedrijf is de afgelopen maanden platgebeld en -gemaild met vragen over de meldplicht datalekken.” Ook bij advocatenkantoor SOLV Advocaten was het druk, zegt Thomas van Essen, die partner is bij het kantoor. “We hebben ontzettend veel vragen gekregen van mensen die wilden weten hoe het zit en wat ze moesten doen.”

Volgens Engelfriet stellen veel organisaties de vraag wat ze nu precies moeten doen en of het mogelijk is om onder de wet uit te komen. Iets wat niet kan, zo merkt hij op. Wel kan door goed beleid de impact worden beperkt. “En als je ook je ketenaansprakelijkheid borgt door bewerkersovereenkomsten met leveranciers te sluiten, dan heb je juridisch gedaan wat je kunt.” Ook werd vaak gevraagd of en hoe de aansprakelijkheid naar werknemers kan worden verlegd. Iets dat volgens Engelfriet niet mogelijk is.

Een andere veelgestelde vraag is wanneer bedrijven nu precies moeten melden en wanneer er sprake is van 'ernstige nadelige gevolgen', zoals in de meldplicht is opgenomen, aldus Van Essen. De Autoriteit Persoonsgegevens maakte onlangs bekend dat het een programma gebruikt dat de meldingen van organisaties eerst filtert voordat het in actie komt. Zodoende moeten alleen de meldingen overblijven waarbij burgers direct moeten worden gewaarschuwd of er onzorgvuldig gehandeld is.

"Het is niet zo dat de wet ons verplicht om alle meldingen te onderzoeken. We zullen er zeker een aantal uit pakken waarvan we denken dat er meer aan de hand is. Maar de meldplicht is in eerste instantie bedoeld voor de verantwoordelijke van de database", zo liet Jacob Kohnstamm, voorzitter van de Autoriteit Persoonsgegevens, onlangs nog weten.

Naast de vraag over wanneer er gemeld moet worden willen organisaties ook weten hoe ze de meldplicht binnen hun eigen organisatie vorm moeten geven, gaat Van Essen verder. Hij merkt in dit kader op dat het niet uitmaakt of een bedrijf de juiste beveiligingsmaatregelen heeft genomen. In het geval dat data in handen van onbevoegden vallen is er altijd sprake van een datalek.

Ook hebben organisaties veel vragen over de bewerkersovereenkomst. Artikel 14 van de Wet bescherming persoonsgegevens verplicht organisaties om met leveranciers, die in opdracht van hen persoonsgegevens verwerken, een dergelijke overeenkomst te sluiten, stelt Engelfriet. In de bewerkersovereenkomst worden de verantwoordelijkheden en plichten vastgelegd maar worden ook de aansprakelijkheid en beveiliging geregeld.

Engelfriet zegt: "Volgens de wet moet je als verantwoordelijke organisatie datalekken bij de Autoriteit Persoonsgegevens melden, maar formeel is de leverancier niet expliciet verplicht jou te waarschuwen dat er bij hem een datalek is opgetreden. Daarmee verzaak jij dus je meldplicht. In de bewerkersovereenkomst móet je dat dus ondervangen door een contractuele meldplicht naar jou op te nemen."

Vooral waarschuwingen

Volgens Ot van Daalen, advocaat bij Project Moore Advocaten, zal de Autoriteit Persoonsgegevens niet meteen boetes uitdelen en in eerste instantie vooral waarschuwen. "Ik verwacht dat de Autoriteit Persoonsgegevens haar boetebevoegdheden in eerste instantie alleen zal inzetten voor de overduidelijke privacy-inbreuken: de eerste paar boete-zaken moeten slam dunks zijn, zodat de besluiten juridisch ook stand houden. Ik denk daarom dat ze zeker in het begin niet zoveel boetes zal opleggen."

Ook Engelfriet denkt niet dat het snel boetes zal regenen. "Voor een boete is vereist dat men opzettelijk of grof nalatig handelde. Bij een datalek dat redelijkerwijs niet kon worden voorkomen, zal dus geen boete kunnen volgen. Wij verwachten dus vooral waarschuwingen, maar je moet uiteraard wel je zaakjes op orde hebben. Wie geen beleid heeft, is per definitie grof nalatig, zo staat in die richtlijn."

Van Essen heeft een zelfde mening. "Ik denk niet de Autoriteit Persoonsgegevens er met een gestrekt been zal ingaan”, zo stelt hij. "Voordat de Autoriteit Persoonsgegevens een boete kan opleggen moet het eerst een bindende aanwijzing geven, tenzij er sprake is van opzet, dan hoeft het niet." Organisaties die een datalek niet melden lopen dan ook niet meteen tegen een boete aan, maar zullen eerst een waarschuwing ontvangen.

De boetes mogen dan misschien uitblijven, Van Daalen verwacht dat door de nieuwe meldplicht veel datalekken die tot voor kort onder de radar bleven, nu in de openbaarheid gaan komen. "Dat is misschien pijnlijk voor een bedrijf, maar op de lange termijn nuttig - want het is nog veel pijnlijker als klanten er via andere bronnen achter komen dat hun data is gelekt."

Van Essen denkt dat bedrijven door de meldplicht hun beveiliging tegen het licht gaan houden. Ook de Autoriteit Persoonsgegevens noemt dit preventieve effect een belangrijk onderdeel van de meldplicht.

Tips

Afsluitend hebben de experts nog een aantal tips voor organisaties die met de meldplicht datalekken worstelen.

Tips van Arnoud Engelfriet:

  1. Maak beleid, waarin je vastlegt hoe datalekken intern moeten worden gemeld en wie er besluit naar de Autoriteit Persoonsgegevens te stappen. Maak ook procedures die dit uitwerken, zodat de documentatie op orde is (welke dingen vastleggen, wie bewaart dat en hoe is het inzichtelijk). Documentatie moet worden verschaft aan de Autoriteit immers.
  2. Dwing bij leveranciers van tools garanties af ten aanzien van datalekken. Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken, of laat ze opdraaien voor de kosten van een security audit.
  3. Sluit met dienstverleners bewerkersovereenkomsten met daarin vergelijkbare garanties plus een meldplicht naar jou, zodat jij een melding bij de Autoriteit kunt doen als deze dienstverleners een lek veroorzaken.
  4. Publiceer ethisch hackbeleid. Zo krijg je gratis tips over mogelijke datalekken die je kunt fixen voordat ze werkelijk worden misbruikt.
  5. Audit jezelf. Onderzoek in ieder geval waar de toegang tot persoonsgegevens beperkt kan worden. Moet iedereen echt bij alle klantgegevens kunnen, waarom liggen die papieren dossiers niet in een afgesloten kast en is het echt nodig dat archief twintig jaar te bewaren?

Tips van Ot van Daalen:

  1. Stel een incident respons protocol op, zodat je alvast weet wat je moet doen als er een datalek is.
  2. Stel een datalek-team samen, zodat je de juiste mensen alvast bij elkaar hebt.
  3. Controleer je afspraken met leveranciers, zodat ze jou op de hoogte stellen van een meldplicht bij hun.
  4. Houd je beveiligingsmaatregelen in de gaten, zodat je snel van een datalek op de hoogte bent.
Reacties (20)
16-01-2016, 13:22 door Erik van Straten
Dank aan de redactie voor dit artikel, en aan Arnoud en Ot voor de tips. Handig zo'n overzicht!
16-01-2016, 15:50 door Anoniem
Hoe ondervang je eigenlijk dat je als klant wel een mooie overeenkomst met je leverancier hebt maar je geen mogelijkheid hebt om verder na te gaan of een leverancier zich wel aan die overeenkomst houdt? Je klant niet inlichten omdat je niet zeker bent of die wel/niet is getroffen door een lek is al geen uitzondering. Daar brengt de wet geen verandering in.
17-01-2016, 11:04 door Dick99999 - Bijgewerkt: 17-01-2016, 11:05
Dat ik aansprakelijk ben voor bewerkers of tools is nieuw voor mij. Het legt een bom onder de hele wet. Het is net zoals bij kwaliteitssystemen: voor het MKB is het niet haalbaar om grote toeleveranciers en dienstverleners zoals Google, Microsoft, Amazon, KPN en de banken iets te laten tekenen. Zal voor data lekken hetzelfde worden, denk ik.

Samen met anderen (ver)werken wordt steeds belangrijker gezien de tendens om services in te kopen. Als Onedrive of Office 365 van Microsoft lek is, zou ik aansprakelijk zijn als zij helpen (service) mijn gegevens te verwerken? Als MKB'er zou ik MS moeten vragen een overeenkomst te tekenen? En zou ik naar mijn bank moeten gaan om iets overeen te komen voor het geval daar iets mis is met (betaal)persoonsgegevens?
17-01-2016, 14:08 door karma4
Door Dick99999: Dat ik aansprakelijk ben voor bewerkers of tools is nieuw voor mij. Het legt een bom onder de hele wet. Het is net zoals bij kwaliteitssystemen: voor het MKB is het niet haalbaar om grote toeleveranciers en dienstverleners zoals Google, Microsoft, Amazon, KPN en de banken iets te laten tekenen. Zal voor data lekken hetzelfde worden, denk ik.

Samen met anderen (ver)werken wordt steeds belangrijker gezien de tendens om services in te kopen. Als Onedrive of Office 365 van Microsoft lek is, zou ik aansprakelijk zijn als zij helpen (service) mijn gegevens te verwerken? Als MKB'er zou ik MS moeten vragen een overeenkomst te tekenen? En zou ik naar mijn bank moeten gaan om iets overeen te komen voor het geval daar iets mis is met (betaal)persoonsgegevens?
Als je bij Microsoft dan wel AWS (amazon) rondkijkt. https://azure.microsoft.com/nl-nl/support/trust-center/transparency/ Van Amazon heb ik het ook doorgelopen komt op het zelfde uit. Een lijstje van alle links / serviceproviders met een kwaliteitsoordeel zou handig zijn. KPN doet het niet meer zelf maar heft het uitbesteed (Microsoft).
Zij gaan er van uit als bewerkers (service providers) dat je als klant/afnemer voor jou data verantwoordelijk bent en blijft. Met een heleboel audits met normen (zie naleving) proberen ze daar meer onderbouwing aan te geven. Dan staan er nog steeds een paar zinnen dat je alles naar je eigen richtlijnen moet zien te controleren of alles wel klopt.

Het sluit goed aan aan bij het oorspronkelijke artikel met alle adviezen.
18-01-2016, 08:02 door Anoniem
Veel bedrijven zitten echter nog met vragen, zo blijkt uit een rondgang van Security.NL onder verschillende juristen.

Da's wel een beetje aan de late kant, is het niet ? Bedrijven hebben alle tijd gehad om zich hierop voor te bereiden. Maar kennelijk interesseert het sommige ondernemers pas wanneer de wet eenmaal van kracht is.
18-01-2016, 08:34 door Anoniem
Inderdaad handig dit maar een hoop vragen kan ik nog geen helder antwoord op vinden.
BV: de Wet is van toepassing op bedrijven en overheden, maar hoe zit het met bijvoorbeeld met verenigingen? Je zou zeggen dat het op alle rechtspersonen van toepassing is maar een kleine tennis- of voetbalvereniging zie ik niet snel maatregelen nemen om een en ander te ondervangen. Die zullen geen bewerkersovereenkomsten sluiten maar hebben wel leveranciers.

Daarnaast mis ik de bredere juridische context. Bijvoorbeeld de ontwikkelingen rondom de uitspraak over het Safe Harbor verdrag. De impact van die uitspraak op zich is al complex genoeg. Hoe verhoudt dit zich tot bewerkersovereenkomsten en de wet meldplicht datalekken?
18-01-2016, 12:03 door Anoniem
Het is helemaal niet nodig om een contract af te sluiten voor CBP artikel 14. Een goede leverancier zou dit in zijn leveringsvoorwaarden moeten hebben staan. Dat kan voldoende verbintenis zijn.
18-01-2016, 14:43 door Anoniem
Door Anoniem: Het is helemaal niet nodig om een contract af te sluiten voor CBP artikel 14. Een goede leverancier zou dit in zijn leveringsvoorwaarden moeten hebben staan. Dat kan voldoende verbintenis zijn.
Misschien, maar als je er blind op vertrouwt dat je leverancier een goede is dan kan je van een koude kermis thuiskomen als blijkt dat dat tegenvalt en dat niet die leverancier maar jij verantwoordelijk wordt gehouden voor het niet goed regelen van je zaken. Je zal dus toch zelf moeten nagaan of die voorwaarden wel deugen en actie moeten ondernemen als dat niet zo is.
18-01-2016, 17:11 door Dick99999 - Bijgewerkt: 18-01-2016, 17:11
Door Anoniem: Het is helemaal niet nodig om een contract af te sluiten voor CBP artikel 14. Een goede leverancier zou dit in zijn leveringsvoorwaarden moeten hebben staan. Dat kan voldoende verbintenis zijn.
Hoe moet ik de bovenstaande tips 2 en 3 dan lezen? Of zit het verschil in de woorden contract,overeenkomst en verbintenis?

2. Dwing bij leveranciers van tools garanties af ten aanzien van datalekken. Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken, of laat ze opdraaien voor de kosten van een security audit.

3. Sluit met dienstverleners bewerkersovereenkomsten met daarin vergelijkbare garanties plus een meldplicht naar jou, zodat jij een melding bij de Autoriteit kunt doen als deze dienstverleners een lek veroorzaken.
18-01-2016, 22:21 door karma4
Door Anoniem: Het is helemaal niet nodig om een contract af te sluiten voor CBP artikel 14. Een goede leverancier zou dit in zijn leveringsvoorwaarden moeten hebben staan. Dat kan voldoende verbintenis zijn.
zie http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_05-12-2015#Hoofdstuk2_Paragraaf1_Artikel14
met toelichting http://wetten.overheid.nl/BWBR0033572/geldigheidsdatum_05-12-2015#1_15 [/ur]"“De strekking van de bepaling is te voorkomen dat bij eventuele tekortkomingen in de gegevens­verwerking, verantwoordelijke en bewerker zich wat betreft hun verantwoordelijkheden achter elkaar zouden kunnen verschuilen. "Je voorstel gaat tegen de genoemde strekking in. Ergo je bent veplicht (due dilligence) zelf onderzoek te doen.
19-01-2016, 12:29 door Anoniem
"Veel bedrijven zitten echter nog met vragen, zo blijkt uit een rondgang van Security.NL onder verschillende juristen."
"Ook werd vaak gevraagd of en hoe de aansprakelijkheid naar werknemers kan worden verlegd. Iets dat volgens Engelfriet niet mogelijk is."

Goh, falend management dat eindelijk wat aangerekend kan worden en ze voelen de bui al hangen wanneer de wet een week van kracht is?
Het is al een lange tijd te merken geweest dat IT vaak als een noodzakelijk kwaad wordt gezien, maar deze twee quotes bevestigen de verrotheid van houdingen van managers dat dit zich zo kán afspelen.
Wat vertelt het ons over de bedrijven met deze vragen?

- Een aantal bedrijven hebben net als voor veel vormen van maintenance geen tijd ingedeeld bij hun IT'ers om dit in te laten schatten, óf hebben geeneens IT/Maintenance.
- De verantwoordelijkheid dat IT'ers bijna van nature in non-IT-bedrijven in zo'n situatie vast zitten willen ze nu ook weer gaan afschuiven. Ook al is dat de eigenlijke oorzaak dat we hier beland zijn...
- Nu moet er tijd ingedeeld worden en dus geld om preventief te handelen... (iets waar waarschijnlijk een gros van de IT'ers voor op de tafels mag hameren)

Beste Manager die zich in bovenstaande punten kan herkennen; Ontsla uzelf en zet iemand die wel de werkzaamheden kan overzien (zoals bijvoorbeeld een IT'er) in uw stoel en stop met indirect uw eigen projecten/it-structuur/bedrijf te saboteren...

Ik juich dat er eindelijk een voet begint te ontstaan waarmee we falen op management-niveau kunnen gaan aantonen. Het is eindelijk ook tijd geworden voor het management om ons vak met respect te behandelen, en dat ze niet meer onderhevig zijn aan een (in feite veelal) erg enthousiaste hobbyist die zelf extra tijd bij mag rossen (en alsnog alles verweten wordt op het moment dat iets fout gaat terwijl je doorgaans wél je best doet met te weinig tijd en budget)... Die mensen (zo zie ik mijzelf) zijn te goed voor het gemiddelde management-team in een non-IT-centered organisatie en worden keer op keer gepushed zodat zij zichzelf willen bewijzen maar zelfs bedankje al te veel gevraagd lijkt. En daar houd je dan als 'echte IT'er' dan het hand voor in het vuur... De mensen die dát veroorzaken, kunnen we op dit soort momenten eindelijk keihard pakken.
Niet alleen zijn zij de meest directe aanleiding tot een situatie met veelvuldige datalekken, ze durven als manager zijnde veelal niet eens te onderkennen dat ze daar (zelfs al zou het indirect zijn) een hand in gespeeld hebben... Te kinderachtig voor woorden.
19-01-2016, 14:52 door Anoniem
Door Anoniem: "Veel bedrijven zitten echter nog met vragen, zo blijkt uit een rondgang van Security.NL onder verschillende juristen."
"Ook werd vaak gevraagd of en hoe de aansprakelijkheid naar werknemers kan worden verlegd. Iets dat volgens Engelfriet niet mogelijk is."

Goh, falend management dat eindelijk wat aangerekend kan worden en ze voelen de bui al hangen wanneer de wet een week van kracht is?
Het is al een lange tijd te merken geweest dat IT vaak als een noodzakelijk kwaad wordt gezien, maar deze twee quotes bevestigen de verrotheid van houdingen van managers dat dit zich zo kán afspelen.
Wat vertelt het ons over de bedrijven met deze vragen?

- Een aantal bedrijven hebben net als voor veel vormen van maintenance geen tijd ingedeeld bij hun IT'ers om dit in te laten schatten, óf hebben geeneens IT/Maintenance.
- De verantwoordelijkheid dat IT'ers bijna van nature in non-IT-bedrijven in zo'n situatie vast zitten willen ze nu ook weer gaan afschuiven. Ook al is dat de eigenlijke oorzaak dat we hier beland zijn...
- Nu moet er tijd ingedeeld worden en dus geld om preventief te handelen... (iets waar waarschijnlijk een gros van de IT'ers voor op de tafels mag hameren)

Beste Manager die zich in bovenstaande punten kan herkennen; Ontsla uzelf en zet iemand die wel de werkzaamheden kan overzien (zoals bijvoorbeeld een IT'er) in uw stoel en stop met indirect uw eigen projecten/it-structuur/bedrijf te saboteren...

Ik juich dat er eindelijk een voet begint te ontstaan waarmee we falen op management-niveau kunnen gaan aantonen. Het is eindelijk ook tijd geworden voor het management om ons vak met respect te behandelen, en dat ze niet meer onderhevig zijn aan een (in feite veelal) erg enthousiaste hobbyist die zelf extra tijd bij mag rossen (en alsnog alles verweten wordt op het moment dat iets fout gaat terwijl je doorgaans wél je best doet met te weinig tijd en budget)... Die mensen (zo zie ik mijzelf) zijn te goed voor het gemiddelde management-team in een non-IT-centered organisatie en worden keer op keer gepushed zodat zij zichzelf willen bewijzen maar zelfs bedankje al te veel gevraagd lijkt. En daar houd je dan als 'echte IT'er' dan het hand voor in het vuur... De mensen die dát veroorzaken, kunnen we op dit soort momenten eindelijk keihard pakken.
Niet alleen zijn zij de meest directe aanleiding tot een situatie met veelvuldige datalekken, ze durven als manager zijnde veelal niet eens te onderkennen dat ze daar (zelfs al zou het indirect zijn) een hand in gespeeld hebben... Te kinderachtig voor woorden.


Niet mee eens, er zijn ook zat voorbeelden van managers die wel info sessies/cursussen voor hun personeel organiseerden! Sterker nog, een van mijn collega's gisteren nog en de uitkomst: Op de aangegeven pijnpunten bij ons hebben wij nog steeds geen echt antwoord, waarom niet? Omdat het niet duidleijk is!
19-01-2016, 20:18 door karma4
Door Anoniem:
Niet mee eens, er zijn ook zat voorbeelden van managers die wel info sessies/cursussen voor hun personeel organiseerden! Sterker nog, een van mijn collega's gisteren nog en de uitkomst: Op de aangegeven pijnpunten bij ons hebben wij nog steeds geen echt antwoord, waarom niet? Omdat het niet duidleijk is!
Het zal niet zwart wit alleen maar foute of geode managers zijn. Nu hanteren ze zelf graag het pareto principe ofwel de 80/20 regel uitgelegd naar eigen voorkeur.
Gezien de problematieken zoals met de falende ICT projecten gebrek aan data governancen (oa data-lekken) en het geluid dat security kwalitief geode software niet kan omdat het een sluitpost is (time to market / cheap) laten we dan stellen 80% van de mangers faalt op dit data governance vlak en 20% niet. Persoonlijk schat ik in dat het percentage niet falen nog lager ligt.Veel mogelijkheden voor quick wins met smart afspraken in de star methodiek.
20-01-2016, 11:18 door Anoniem
Alle reacties lezende raak ir er meer en meer van overtuigd dat er maar 1 goede oplossing is: alle data dictbij je houden en versleuteld opslaan op je eigen server(s) Daarbij de toegang tot de database regelen met een certificaat en alle handelingen "loggen". Dat voor wat betreft "data in rest". Wat tot nu toe steeds onderbelicht blijft is het volgende: Juist vandaag werd mij uit diverse hoeken gemeld dat er wederom e-mails, met als bijlage je loonstrook, open en bloot over het internet heen vliegen. E-mail is te onderscheppen, bedrijven, instellingen en overheden die privacygevoelige informatie per mail versturen zijn dus MASSAAL aan het datalekken! Want, op het moment dat je op de "send" knop drukt, of op het moment dat de boekhoudapplicatie dit geautomatiseerd doet, kan alles onderschept worden. Een inbreuk in je IT systemen kun je met een beetje geluk ontdekken, "afluisteren" van je e-mails komt pas aan het licht als op enig moment jouw vertrouwelijke data "op straat" komt te liggen. Dan zul je je hoofd breken over hoe dat is veroorzaakt en je kunt alleen maar gissen en niets aantonen, maar gelekt heb je wel en gemeld heb je het niet.

Ad Koolen
22-01-2016, 09:48 door Anoniem
Leuke tips......

Maar zullen we niet eens starten met een risico analyse op onze eigen omgeving ?
De meeste bedrijven weten nog niet eens welke systemen er in hun netwerk staan, welke van deze systemen bewaren kritische data en wie hebben toegang tot deze data ?

Daarna komt het beleid aan bod, mag kritische data lokaal op systemen (werkstations, USB, laptops, etc) opgeslagen worden ? En zoja, hoe ? En zo nee, hoe voor komen we dat ?

Gaan we dit zelf allemaal testen ? (Slager keurt eigen vlees) of laten we dat extern auditen ?
25-01-2016, 17:58 door wim-bart
Door Dick99999: Dat ik aansprakelijk ben voor bewerkers of tools is nieuw voor mij. Het legt een bom onder de hele wet. Het is net zoals bij kwaliteitssystemen: voor het MKB is het niet haalbaar om grote toeleveranciers en dienstverleners zoals Google, Microsoft, Amazon, KPN en de banken iets te laten tekenen. Zal voor data lekken hetzelfde worden, denk ik.

Samen met anderen (ver)werken wordt steeds belangrijker gezien de tendens om services in te kopen. Als Onedrive of Office 365 van Microsoft lek is, zou ik aansprakelijk zijn als zij helpen (service) mijn gegevens te verwerken? Als MKB'er zou ik MS moeten vragen een overeenkomst te tekenen? En zou ik naar mijn bank moeten gaan om iets overeen te komen voor het geval daar iets mis is met (betaal)persoonsgegevens?

Dus alles waar je geen contract/afspraak mee kan maken dicht zetten en geen zaken mee doen.
30-01-2016, 20:39 door repmeer
Is een geheimhoudingsverklaring voldoende of dekt die niet hetzelfde als een bewerkersovereenkomst?
03-02-2016, 10:57 door Anoniem
Door repmeer: Is een geheimhoudingsverklaring voldoende of dekt die niet hetzelfde als een bewerkersovereenkomst?

Dat is onvoldoende. Op pagina 32 in de CBP Richtsnoeren uit 2013 staat een rijtje onderwerpen die de toezichthouder wil terugzien in afspraken tussen Verantwoordelijke en Bewerker.

https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf
10-02-2016, 13:26 door Anoniem
"E-mail is te onderscheppen, bedrijven, instellingen en overheden die privacygevoelige informatie per mail versturen zijn dus MASSAAL aan het datalekken! "

=> als dit zo is kunnen we nu het email-kanaal sluiten.

=> Wat is hier wijsheid, welke kaders rondom email naar klanten hebben jullie vastgesteld?
10-02-2016, 22:05 door Anoniem
Kijk ook eens bij het CIP www.cip-overheid.nl die club maakt non-profit inzichtelijk hoe je privacy en Security in je bedrijf of organisatie kan inbedden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.