Print:

Melden is een zorgplicht!

Paul Korremans , Partner

LinkedIn profiel

De Meldplicht Datalekken heeft de bewustwording ten aanzien van het verwerken en beveiligen van persoonsgegevens sterk verbeterd. Ook de grote hoeveelheid publicaties over datalekken en de brede aandacht voor het onderwerp privacy heeft hieraan bijgedragen. Bijna alle organisaties (m.u.v. het MKB) die persoonsgegevens verwerken realiseren zich dat de kwaliteitseisen hoger moeten worden. Met welk doel en grondslag worden de persoonsgegevens verwerkt en hoe worden ze beveiligd. Het MKB heeft over het algemeen nog onvoldoende besef dat een datalek met bijzondere persoonsgegevens gemeld moet worden bij de Autoriteit Persoonsgegevens (AP).

Aantal meldingen bij de AP
Melden is een zorgplicht! IIR

Op dit moment hebben er 4.500 meldingen plaatsgevonden bij de AP, waarvan 1.102 in Zorg & Welzijn en 380 bij Gemeenten. De overige meldingen kan men verdelen over de verschillende sectoren. Hier worden geen significante, in het oog springende, afwijkingen waargenomen. Een voorzichtige conclusie zou kunnen zijn dat in de zorg en bij gemeenten men onzorgvuldig zou zijn met de verwerking van persoonsgegevens. Echter men kan ook stellen dat zij een hoge moraliteit hebben en wel melden, terwijl andere sectoren dat minder doen. Ook is de complexiteit en zijn de hoeveelheid persoonsgegevens die in beide sectoren worden verwerkt bijzonder hoog.

Bij de uitbreiding van de Wbp met de Meldplicht Datalekken heeft het Ministerie van Justitie een onderzoek gedaan naar het aantal datalekken en kwam uit op 62.000 per jaar. Wij blijven dus ver achter op de inschatting hiervan. De AP vermoedt dat vele datalekken niet worden gemeld door onbewust en risicomijdend gedrag.

Tot op heden zijn er nog geen boetes uitgedeeld door de AP, echter er lopen verschillende onderzoeken die kunnen uitmonden in een boete. Overigens het doel van de boetes is niet om de staatskas te spekken, maar wil met dit middel ons gedrag veranderen waardoor er een grotere zorgvuldigheid in acht wordt genomen bij de verwerking en bescherming van persoonsgegevens.

Bewust gedrag

Tijdens mijn vele spreekbeurten merk ik dat de aanwezigen op zoek zijn naar handvatten om hun organisatie te helpen bij de bewustwording van het management en de collega’s. Er vindt nog teveel een risico afweging plaats, waarbij een mogelijke boete wordt afgewogen tegen de inspanningen. Hierbij wordt vaak de reputatieschade niet meegenomen, die vele malen meer kost dan een boete!

Het is de ‘zachte’ organisatorische kant die veel meer aandacht moet krijgen, omdat hier de risico’s van een datalek het grootst is. En de aandacht hiervoor is een permanente aandacht! De technische maatregelen zijn vaak voldoende in beeld en hier zien we allerlei goede oplossingen komen om datalekken te reduceren.

Goed doordacht incidence respons beleid

Maar ook het hebben van een datalek meldplan, dat breed wordt gedragen in de organisatie, is een niet onbelangrijk aandachtspunt. Als er een datalek ontstaat moet de organisatie niet in een kramp schieten, maar de juiste afweging kunnen maken van de acties die ondernomen moeten worden. Een draaiboek, kennis en de juiste personen zorgen er dan voor dat de juiste adequate maatregelen worden genomen. Dit vraagt om een goed doordacht en op de organisatie afgestemd incidence respons beleid.

In de praktijkopleiding Meldplicht Datalekken in actie, waaraan ik als docent verbonden ben, doorlopen de cursisten de verschillende stappen van dit respons beleid voor hun organisatie. Na afloop hebben ze een ingevuld stappenplan die ze direct in hun werkomgeving kunnen toepassen. Ze verkleinen hiermee de kans op een datalek, boetes en imagoschade.

Paul M.H. Korremans MM, Consultant bij Comfort-Information Architects en vicevoorzitter NGFG, is docent van de praktijktraining Meldplicht Datalekken in Actie.