Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Wat betekent de meldplicht datalekken voor u?

advertisement 
Aon Risk Solutions
Wat betekent de meldplicht
datalekken voor u?
Wijziging Wet bescherming persoonsgegevens - Januari 2016
Risk. Reinsurance. Human Resources.
Wat gaat er veranderen?
De Wet bescherming persoonsgegevens
(Wbp) is per 1 januari 2016 gewijzigd en
er geldt een meldplicht voor datalekken.
Organisaties die verantwoordelijk zijn voor
de verwerking van persoonsgegevens, zijn
voortaan verplicht om een datalek bij de
Autoriteit Persoonsgegevens (AP) te melden.
Vaak moeten zij ook degene(n) informeren van
wie de gelekte persoonsgegevens zijn.
Het fenomeen ‘datalek’ is breed gedefinieerd.
Daardoor krijgt u al snel met de meldplicht
te maken. Voorbeelden van een datalek
zijn o.a. een verloren USB-stick, een hacker
die databestanden steelt, malware die
persoonsgegevens aantast en een e-mail met
privacy-gevoelige gegevens die verstuurd is
naar een onjuiste persoon.
• Bij een datalek gaat het om toegang tot
of vernietiging, wijziging of vrijkomen
van persoonsgegevens zonder dat dit de
bedoeling is van de organisatie.
• Boetes bij een datalek kunnen oplopen
tot maximaal EUR 820.000 of 10% van de
jaaromzet.
• Schade en claims voortvloeiend uit een
datalek worden doorgaans niet gedekt door
de traditionele verzekering.
Verplichtingen
Acties
• U dient een gerechtvaardigd doel te hebben
voor het opslaan van privacygevoelige
gegevens.
• Gegevens mogen niet langer worden
bewaard dan noodzakelijk.
• Een datalek moet binnen 72 uur worden
gemeld bij de Autoriteit Persoonsgegevens.
• U dient passende technische en
organisatorische maatregelen te nemen,
bijvoorbeeld:
- encryptie van bestanden;
- risicoanalyse om kwetsbaarheden te ontdekken.
- Informeren van betrokkenen (de personen van wie u de gegevens lekt).
• Breng in kaart welke software/applicaties u
gebruikt en waar data wordt opgeslagen.
• Weet welke gegevens u bewaart, bewerkt en
verwerkt.
• Stel een crisisplan op.
• Zoek uit wie binnen uw organisatie
verantwoordelijk is voor het melden van een
datalek, en hoe u een datalek meldt.
• Voer een risicoanalyse uit en neem de vereiste
beheersmaatregelen.
• Ga bewerkersovereenkomsten aan met
externe partijen die beschikking hebben over
uw data.
• Herzie uw contractmanagement om
aansprakelijkheid bij een incident te regelen.
Let op ketenaansprakelijkheid! Maakt u gebruik
van externe leveranciers voor de opslag van uw
data, zoals datacenters en cloud providers, sluit dan
bewerkersovereenkomsten af. U bent namelijk ook
verplicht om een datalek bij zo’n leverancier te melden.
Wanneer en hoe meldt u een datalek?
Er zijn bij een lek drie opties: • U hoeft geen melding te maken.
• U moet melding maken bij de AP.
• Het lek moet zowel bij de AP als de getroffen personen worden gemeld
JA
Is er sprake van ernstige nadelige
gevolgen voor de bescherming
van persoonsgegevens?
JA Heeft het lek ernstige nadelige
gevolgen voor de persoon van wie
de gegevens zijn?
NEE
DATALEK?
NEE
U hoeft geen actie
te ondernemen.
NEE
JA Binnen 72 uur onverwijld melden aan:
- Autoriteit Persoonsgegevens
(via webformulier)
- personen op wie de gegevens
betrekking hebben.**
U dient het lek binnen 72 uur
onverwijld* te melden aan
Autoriteit Persoonsgegevens
(via webformulier).
Actie vereist? Aon kan u helpen.
Organisaties die voor persoonsgegevens verantwoordelijk
zijn, dienen volgens de Wet bescherming
persoonsgegevens zelf technische en organisatorische
maatregelen te treffen tegen verlies of onrechtmatige
verwerking van data. Zulke maatregelen houden niet
alleen het beveiligingsniveau van ‘uw’ persoonsgegevens
zelf op niveau; ze vergroten ook het bewustzijn binnen
uw organisatie. Uiteindelijk is het zaak dat een scherpere
databeveiliging raakt ingebed in de dagelijkse praktijk.
en in de risico’s voor de betrokkenen en voor uw organisatie. Ook het risicobewustzijn binnen uw organisatie groeit
met een PIA. Crisisplan
Aon kan u helpen bij diverse maatregelen:
Met crisisplanning, trainingen en oefeningen – en met het
opstellen van protocollen en crisisplannen – helpt Aon uw
organisatie bij de voorbereiding op een eventuele cybercrisis. Maar we zijn er ook als het misgaat: tijdens een crisis
geven we advies, achteraf evalueren we het incident samen
met u om ervan te leren.
Risicoanalyse
Verzekeringsportefeuille
Voor systematisch inzicht in cyberrisico’s is een
risicoanalyse cruciaal. Aon helpt u bij die analyse en zet
de abstracte dreiging van een datalek om in een concrete
aanpak. Onze benadering is een aanvulling op uw reguliere
IT-security. Wij helpen u om eventuele schade en kosten
van een cyberincident te beheersen.
Privacy Impact Assessment
Een privacy impact assessment (PIA) is hét middel om
privacy-risico’s gestructureerd en helder in beeld te krijgen. De PIA geeft inzicht in de impact van een datalek
Een datalek kan leiden tot forse financiële schade. Denk
daarbij aan een boete van de AP, een privacy-claim van de
betrokkene(n) of ondersteuning van IT-experts bij dataherstel. Deze kosten zijn doorgaans niet gedekt door traditionele verzekeringspolissen. Aon adviseert u om uw verzekeringsportefeuille goed te controleren en aan te laten sluiten
op de digitale risico’s. Wij helpen u op weg naar een op
maat gemaakte verzekering die de belangrijkste cyberrisico’s dekt, van mogelijke aansprakelijkheidsrisico’s tot eigen
kosten voor de organisatie bij een calamiteit.
* ‘Onverwijld’ houdt in dat u, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek om een onnodige melding te voorkomen. Blijkt een melding
nodig, dan doet u die uiterlijk 72 uur na de ontdekking van het incident. Is vlak voor de deadline nog niet geheel duidelijk wat er is gebeurd en om welke persoonsgegevens het gaat,
dan doet u de melding op basis van de gegevens waarover u op dat moment beschikt. U kunt een melding naderhand altijd nog aanvullen of intrekken.
** Met uitzondering van financiële instellingen: zij hoeven een datalek niet te melden aan betrokkene(n)
Bent u voorbereid?
RISICOANALYSE
PRIVACY
IMAPCT
ASSESSMENT
CRISISPLAN
VERZEKERINGSPROGRAMMA
• Kent u de belangrijkste digitale assets van uw organisatie?
• Kent u de belangrijkste digitale risico’s en heeft u daar
beheersmaatregelen tegen genomen?
• Kent u uw contractuele verplichtingen richting externe
partijen?
• Heeft u met uw (digitale) leveranciers een
bewerkersovereenkomst afgesloten?
• Heeft u een duidelijk beeld van de schade voor uw organisatie
bij een systeemuitval?
• Weet u welke gevoelige gegevens u beheert en verwerkt?
• Is het duidelijk wie verantwoordelijk is voor de verwerking van
de gegevens?
• Heeft uw opslag van persoonsgegevens een gerechtvaardigd
doel?
• Weet u of deze gegevens veilig zijn en kunnen ze bij verlies
worden teruggehaald?
• Weet u of deze gegevens encrypted zijn?
• Weet u welke systemen en applicaties van vitaal belang zijn
voor de opslag en vewerking van deze gegevens?
• In hoeverre is uw organisatie voorbereid op calamiteiten en een
crisis?
• In hoeverre is uw organisatie voorbereid op ICT- en
cyberincidenten?
• Heeft u een plan voor het geval zich een ICT-incident voordoet?
• Heeft u een protocol waarin staat wie, waar en wanneer
melding maakt?
• Weet u welke notificatie u bij een datalek moet versturen aan
betrokkenen?
• Weet u welke (externe) stakeholders u bij een datalek moet
inschakelen? (IT forensics, juridische ondersteuning)
• Kent u uw actuele risico’s (externe bedreigingen, interne
kwetsbaarheden)?
• Weet u wat de financiële gevolgen zijn wanneer deze risico’s
zich voordoen?
• Wat mag u in dat geval van uw huidigie
verzekeringsprogramma verwachten?
• Wat zijn de mogelijkaheden van een cyberverzekering?
• Hoe verloopt het aanvraagproces van een cyberverzekering?
Oorzaken
�Incidenten
�Bewuste poging
�Kwade opzet
�Medewerker
�Derde partij
Kenmerken
�Hack of datalek
�Virus, Malware etc.
�Cyber afpersing
�Identiteitsfraude
�Ongeautoriseerde toegang
�Systeemverstoringen
�Informatievernietiging
�Diefstal
�Smaad & laster
�Privacy schending
�Verlies en misbruik van IP
Gevolgen
�Melding datalek
�Systeemverstoringen
�Onderzoek
�Schade digitale gegevens
�Afpersing
�Wettelijke aansprakelijkheid
jegens klanten, leveranciers
�Behoefte juridisch advies,
PR & Communicatie
�Bedrijfsstilstand
�Incident-response,
crisis management
Resultaten
�Reconstructie- en notificatiekosten
�Kosten juridische bijstand,
claims, crisis management
�Boetes
�Toename Compliance kosten
�Vervangingskosten
�Daling (klant) vertrouwen
�Impact beurskoers
�Merk- en reputatieschade
In het kort
• Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd.
De privacywetgeving is nu strikter. Het toezicht is in handen van de Autoriteit
Persoonsgegevens (voorheen College Bescherming Persoonsgegevens).
• U dient een gerechtvaardigd doel te hebben voor het opslaan van privacygevoelige
gegevens.
• Een datalek dient binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld te zijn.
• Verzuimt u dat te doen, dan kan de Autoriteit Persoonsgegevens boetes uitdelen tot
EUR 820.000 of 10% van de jaaromzet.
• Er gelden extra verplichtingen bij de verwerking van persoonsgegevens (wettelijke
grondslag, expliciete toestemming van consument).
• U dient passende technische en organisatorische maatregelen te nemen om een
datalek te voorkomen.
Waarop moet u letten?
Aon heeft ruime ervaring met de advisering over cyberrisico’s. Wij weten wanneer
organisaties rekening moeten houden met deze risico’s. In de onderstaande gevallen
moeten bedrijven en organisaties extra alert zijn.
• Als persoonlijke gegevens worden verzameld, bewaard, verwerkt of opgeslagen.
• Als de organisatie sterk afhankelijk is van elektronische processen of
computernetwerken.
• Als de organisatie voor de bedrijfsvoering intensief samenwerkt met leveranciers,
service providers en andere derden.
• Als de organisatie te maken heeft met wettelijke bepalingen op het gebied van data,
privacy of systeembeveiliging.
• Als er zorg bestaat over de materiële schade die kan voortvloeien uit
cybercriminaliteit, bedrijfsspionage en systeemuitval.
• Als medewerkers onvoldoende zijn opgeleid of onvoldoende zijn voorbereid op
incidenten die te maken hebben met cyberrisico’s.
Over Aon
Aon plc, genoteerd aan de effectenbeurs van New York (NYSE:AON), is een toonaangevende
wereldwijde adviseur op het gebied van risicomanagement, makelaar van (her)verzekeringen en biedt HR-oplossingen
en outsourcing services. Onze organisatie heeft
wereldwijd meer dan 72.000 medewerkers in ruim 120 landen en heeft maar een doel: het innovatief ondersteunen van klanten op het gebied van risico’s en mensen. We empower
results: wij delen onze kennis en data, zodat klanten zich kunnen blijven bezighouden met succesvol ondernemen. In Nederland heeft Aon negen vestigingen met
1.660 medewerkers. Aon maakt deel uit van Aon
plc in Londen, Verenigd Koninkrijk.
Ga naar www.aon.nl voor meer informatie over
Aon en naar www.aon.com/manchesterunited om
meer te lezen over het wereldwijde partnership
met Manchester United.
© 2016 Aon Nederland
All rights reserved. No part of this report may be reproduced,
stored in an automated data file or published, in any form or manner
whatsoever, electronically, mechanically, by photocopying, recording
or any other manner, without prior written permission of Aon.
Contact
mr. Leslie (L.A.) Clement
+31 (0)10 448 78 02 +31 (0)6 46 34 22 94
[email protected] Wessel Exterkate
+31 (0)6 11316984
[email protected]
1023-04-datalekken-V2
aon.nl/cyber
Risk. Reinsurance. Human Resources.
Related documents
Eerste hulp bij datalekken
Eerste hulp bij datalekken
Meldplicht datalekken in werking getreden
Meldplicht datalekken in werking getreden
wat te doen bij een datalek ddma how to: 3 stappen, 5 tips bij
wat te doen bij een datalek ddma how to: 3 stappen, 5 tips bij
Datalekken - InstallatieWerk
Datalekken - InstallatieWerk
Informatie inzake ongevallenverzekering KNHB
Informatie inzake ongevallenverzekering KNHB
Informatiebeveiliging
Informatiebeveiliging
Aon*s Political Risk Map: politieke risico*s voor
Aon*s Political Risk Map: politieke risico*s voor
Privacy statement
Privacy statement
Risicomanagement in het onderwijs
Risicomanagement in het onderwijs
Eshuis SnelScan Informatiebeveiliging
Eshuis SnelScan Informatiebeveiliging
Mutatie-specifieke behandeling mrt 2017
Mutatie-specifieke behandeling mrt 2017
Klik hier om het document de bekijken.
Klik hier om het document de bekijken.
Deze Privacy Beleidsregels omschrijven de manier waarop
Deze Privacy Beleidsregels omschrijven de manier waarop
Privacyrisico`s onder controle?!
Privacyrisico`s onder controle?!
2. Privacy van leerlingen en hun ouders
2. Privacy van leerlingen en hun ouders
Privacyverklaring
Privacyverklaring
Privacyreglement CJG Barneveld
Privacyreglement CJG Barneveld
Privacy-Statement-Obvion-juni-2015
Privacy-Statement-Obvion-juni-2015
2 Voorkoming witwassen van kapitaal en financiering
2 Voorkoming witwassen van kapitaal en financiering
docx bestandOvereenkomst Ziekenhuis en Auditor
docx bestandOvereenkomst Ziekenhuis en Auditor
Informatie over de rechten van de begunstigde onder
Informatie over de rechten van de begunstigde onder
Toezicht in het sociaal domein
Toezicht in het sociaal domein
Download
advertisement