Het is je waarschijnlijk niet ontgaan. Vanaf 1 januari 2016 is iedere (zorg)organisatie verplicht om ernstige datalekken direct te melden. Er is sprake van een ernstig lek wanneer dit leidt (of kan leiden) tot nadelige gevolgen voor bescherming van de persoonsgegevens. Een dergelijk lek moet worden gemeld bij Autoriteit Persoonsgegevens en aan degenen van wie de gegevens zijn gelekt. Meer informatie hierover vind je op de website van Autoriteit Persoonsgegevens.
Met de meldplicht datalekken wil de regering de gevolgen van een datalek zoveel mogelijk beperken. Op deze manier wordt een bijdrage geleverd aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Organiseer de veiligheid van je data
Om vertrouwen te behouden, boetes en imagoschade te voorkomen, is het belangrijk dat je jezelf organiseert rondom deze meldplicht. Zet een proces op. Wijs verantwoordelijken aan. Creëer bewustzijn!
Met een eenvoudig proces worden de risico’s m.b.t. datalekken inzichtelijk en beheersbaar. Voor een aantal klanten hebben wij met onze software het proces ingericht en ondersteunt:
- Vastleggen/registreren: Een datalek kan in iedere laag van de organisatie voorkomen. Het is daarom belangrijk dat iedere medewerker eenvoudig en snel een (potentieel) datalek kan melden.
- Analyseren: Een datalek analyseren doe je om 3 redenen. Betreft het een ernstig datalek dat moet worden gemeld bij de Autoriteit Persoonsgegevens? Moeten betrokkenen op de hoogte worden gesteld? Hoe heeft het lek kunnen ontstaan en kunnen we hier van leren?
- Melden: Als uit de analyse blijkt dat sprake is van een ernstig datalek moet deze zo spoedig mogelijk worden gemeld bij de Autoriteit Persoonsgegevens.
- Voorkomen: De analyse heeft mogelijk waardevolle verbeteracties opgeleverd. Verzamel verbeteracties en zorg dat deze daadwerkelijk worden uitgevoerd. Alleen op deze manier wordt een dergelijke datalek in de toekomst voorkomen.
- Rapporteren: Meten is weten! Creëer overzichtelijke rapportages en dashboards. Zie in één oogopslag waar de risico’s zitten en prioriteer verbeteracties.
TPSC als 'bewerker' van persoonsgegevens
Onderdeel van de Meldplicht Datalekken is ketenverantwoordelijkheid. In de keten is de organisatie die de persoonsgegevens verzameld, hoofdverantwoordelijke voor de gegevens. Ook als deze organisatie de gegevens laat verwerken door een derde partij, een ‘bewerker’. Voorbeelden van bewerkers zijn hosting providers, Cloud providers, accountants, en software leveranciers.
Ja, ook TPSC is een bewerker van persoonsgegevens. Om misverstanden tussen de verantwoordelijke en de bewerker(s) te voorkomen is een bewerkersovereenkomst nodig. Hierin worden afspraken vastgelegd over de aansprakelijkheid, het melden van datalekken, etc.
Maakt jouw organisatie gebruik van onze software, TPSC Cloud™? Dan neemt jouw TPSC consultant deze maand hierover contact op met de organisatie.
Meer informatie
Wil je meer weten over hoe een speciale applicatie voor het registreren van datalekken voor je organisatie kan werken. We vertellen je graag meer.
