Betalen bij verzwijgen datalek

Tilburg University moet ernstige datalekken vanaf 1 januari melden bij het College bescherming persoonsgegevens (Cbp). De Nederlandse meldplicht datalekken verplicht bedrijven en overheden om lekken van persoonsgegevens te melden. Ook betrokkenen moeten op de hoogte worden gesteld. Bij de meldplicht horen datalekken van persoonsgegevens die (mogelijk) ernstige gevolgen kunnen hebben. Het doel is die gevolgen zo veel mogelijk te beperken. Wie zich niet aan de wet houdt, kan een boete verwachten die kan oplopen tot meer dan 800.000 euro. Het Cbp slaat alle meldingen op in een register. Ook de betrokkenen moeten weten dat hun gegevens zijn gelekt, zodat zij daarop kunnen reageren. Bij het verliezen van wachtwoorden kunnen inloggegevens bijvoorbeeld gewijzigd worden.

Tilburg University is al maanden bezig met het treffen van voorbereidingen op de wet. Aldus Jeffeny Hoogervorst,  ICT Security Officer. Er zijn maatregelen genomen om datalekken beter in beeld te brengen. Hoogervorst licht toe: “Als hardware gestolen wordt, dan registreren we dat zodat meerdere partijen daarvan op de hoogte zijn.” Ook is er een functionaris persoonsgegevens ingesteld, deze houdt zich bezig met de manier waarop de universiteit met datalekken omgaat. Volgens Hoogervorst is Tilburg University voldoende voorbereid op de wet, maar de praktijk moet uitwijzen voor welke specifieke gevallen de meldplicht geldt.

“Bedrijven moeten op 1 januari alles op orde hebben, en dat is erg kort dag”

Hoogervorst vertelt dat de universiteit de laatste tijd vooral bezig is geweest met het duiden van de wet. Hij legt uit dat bijvoorbeeld ook dataverlies onder de meldplicht valt. “Daarvan is sprake wanneer gegevens in verkeerde handen komen of gewist zijn en niet meer teruggehaald kunnen worden.” Bij bestudering van de regels werd ook duidelijk dat niet alle datalekken bij de betrokkenen gemeld hoeven worden. Hoogervorst: “Dat hoeft bijvoorbeeld niet als een laptop met persoonsgegevens zo goed versleuteld is, dat misbruik onmogelijk is.”

Last-minute

Het Cbp maakte vorige week bekend wat de regels voor de meldplicht zijn. Volgens Nederland ICT, de branchevereniging van ICT-bedrijven, had dat eerder gemoeten: “Het Cbp had zes maanden nodig om de tekst op te stellen. Bedrijven moeten op 1 januari alles op orde hebben; dat is erg kort dag.” Organisaties hebben volgens ICT Nederland meer tijd nodig om zich voor te bereiden op de wet. “Bedrijven die hun ICT bijvoorbeeld uitbesteden, moeten ook de mogelijkheid hebben om goede afspraken te maken.” De branchevereniging verwacht in het begin van het nieuwe jaar enige coulance van het Cbp.

_Advertentie.