Meerderheid bedrijven niet voorbereid op Meldplicht Datalekken
10-08-2015 | door: Redactie

Meerderheid bedrijven niet voorbereid op Meldplicht Datalekken

Uit meerdere recente onderzoeken blijkt dat in tegenstelling tot wat vaak wordt gedacht, niet alleen kleine bedrijven maar ook grote ondernemingen hun IT-beveiliging niet op orde hebben.

Echter, per 1 januari 2016 wordt de Meldplicht Datalekken van kracht. Deze meldplicht geldt voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens. Tegenwoordig is naast het opslaan van klantgegevens in verband met orders, ook het verzamelen van bijvoorbeeld emailadressen voor marketingdoeleinden de gewoonste zaak van de wereld.

Hiermee valt een groot deel van de Nederlandse bedrijven, zowel privaat alsook in de publieke sector, onder de reikwijdte van de meldplicht. Indien een ernstig datalek (waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens) plaatsvindt, dient de verantwoordelijke niet alleen een melding in te dienen bij de toezichthouder (het College Bescherming Persoonsgegevens) maar ook alle betrokkenen te informeren.

Het niet (kunnen) voldoen aan de eisen zoals gesteld in de meldplicht, kan leiden tot een bestuurlijke boete van € 810.000. Indien meer toepasselijk, kan dit voor bedrijven met een jaaromzet boven de 8 miljoen euro zelfs oplopen tot 10 procent van de jaaromzet.

Bovenstaand maakt duidelijk dat de meldplicht serieuze consequenties kan hebben indien bedrijven geen adequate opvolging geven aan het beschermen van hun persoonsgegevens. Volgens Ruud Klaiber (Directeur bij Triangle-Solutions BV) begint het voldoen aan de meldplicht met een inventarisatie van de aanwezige data op een bedrijfsnetwerk: “Het is van groot belang te inventariseren wat voor data er aanwezig is op een bedrijfsnetwerk en waar deze data is opgeslagen. Zonder dit inzicht is het haast onmogelijk om een effectieve beveiliging in te stellen.”

Vervolgens kan er gericht detectie ingeregeld worden op de belangrijkste bestanden en databases, zodat effectief gemonitord wordt wat er met deze data gebeurd. Door middel van real-time detectie systemen kan er automatisch een alert worden verstuurd indien er mogelijk een (poging tot) inbreuk op de beveiliging plaats vindt.

Naast het detecteren van mogelijke datalekken, dient er voor een eventuele melding bekend te zijn wat de aard van de inbreuk is geweest en ‘een beschrijving van de vermoedelijke gevolgen van de inbreuk’. “Een groot deel van de bedrijven heeft op dit moment geen mogelijkheden tot het detecteren van een inbreuk, laat staan dat deze bedrijven kunnen bepalen welke bestanden gecompromitteerd zijn”, aldus Klaiber. “Dat dit gebrek aan inzicht problemen oplevert bij het informeren van betrokkenen is een zorgwekkende constatering.”

Meer informatie: http://www.vdss.nl/brochures.ashx

Terug naar nieuws overzicht

Tags

Security
Security