6 tips om je als gemeente te wapenen tegen datalekken

16 september 2015

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat onder andere gemeenten direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Naast het melden bij het CBP, moeten gemeenten in bepaalde gevallen ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie gemeenten gegevens verwerkt. Hierbij hangt het van de ernst van het datalek af of gemeenten dit wel of niet moeten doen. Meldt een gemeente een datalek ten onrechte niet bij het CBP? Dan kan het CBP de desbetreffende gemeente een boete geven, die kan oplopen tot € 810.000.

Genoeg redenen op u als gemeenten hier tegen te wapenen. eGem geeft hiervoor de volgende 6 tips:

  1. Maak de  baselinetoets van de InformatieBeveiligingsDienst (IBD)
    En vervolg deze met een risicoanalyse en een Privacy Impact Assessment (PIA) en implementeer de maatregelen.
  2. Maak beleid rondom incidenten.
    Richt een incidentmanagementproces in om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden gehandeld.
  3. Maak iemand verantwoordelijk
    Stel een Chief Information Security Officer (CISO) of een functionaris gegevensbescherming aan leg hun verantwoordelijkheden vast.
  4. Maak medewerkers bewust van de risico’s
    Zorg voor bewustwording bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentprocedures werken en wat de gevolgen kunnen zijn van een datalek voor de gemeente.
  5. Leg alles goed vast
    Documenteer alles zorgvuldig, zodat u kunt aantonen dat u werkt in overeenstemming met de geldende wet- en regelgeving.
  6. Gebruik encryptie
    Maak gebruik van encryptie van persoonsgegevens om te voorkomen dat bij een datalek de gegevens kunnen worden gelezen door een derde.

Bronvermelding:
IBD gemeenten
College Bescherming Persoonsgegevens