28
Oct
2015

Checklist meldplicht datalekken

In een eerder blog hebben wij uitgelegd, welke impact de meldplicht datalekken voor uw organisatie kan hebben. De meldplicht houdt in, dat organisaties het College bescherming persoonsgegevens (CBP, per 1 januari 2016 de Autoriteit Persoonsgegevens) direct in kennis moeten stellen van een datalek of een inbreuk op hun beveiliging, die ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens of leidt tot een aanzienlijke kans daarop. De meldplicht datalekken gaat in op 1 januari 2016.

Als u organisatie leveranciers inschakelt voor de verwerking van persoonsgegevens, dient u met dit bedrijf onmiddellijke goede afspraken te maken ten behoeve van het voldoen aan deze meldplicht. Dit kan in de bewerkersovereenkomst. Wij helpen u graag bij het opstellen of het actualiseren van de afspraken die u met uw bewerkers moet maken.

Daarnaast hebben wij onlangs nog melding gemaakt van de Safe Harbor uitspraak. In  deze uitspraak heeft het Europese Hof van Justitie beslist dat de Safe-Harbor regels ongeldig zijn. De mogelijkheden voor uw organisatie om persoonsgegevens te transporteren naar de Verenigde Staten zijn daardoor beperkt. Inmiddels zijn Europese en Amerikaanse overheden druk aan het onderhandelen over nieuwe afspraken.

Deze ontwikkelingen kunnen van grote betekenis zijn voor uw organisatie.  Graag zetten we de belangrijkste aandachtspunten voor u op een rij:

  • Zijn er derde-partijen die voor uw organisaties persoonsgegevens verwerken? Sluit een bewerkersovereenkomst en zorg er voor dat daarin afspraken worden gemaakt ten aanzien van de meldplicht datalekken, onder meer over de afhandeling van de meldplicht en over de verdeling van aansprakelijkheid;
  • Verwerken deze derde-partijen de persoonsgegevens ook in- of vanuit de Verenigde Staten? Zo ja, dan ondersteunen wij u graag nader met het vinden van een oplossing;
  • Onderzoek hoe die derde-partijen omgaan met informatiebeveiliging en maak concrete afspraken over de beveiligingsmaatregelen die zij moeten nemen;
  • Bent u bekend met de conceptrichtsnoeren meldplicht datalekken? Zo nee, wij helpen u graag met de implementatie van deze richtsnoeren;
  • Stel een contactpersoon aan voor privacy aangelegenheden (Functionaris Gegevensbescherming). Dit zal een verplichting worden op grond van de komende Europese Privacy-verordening;
  • Indien mogelijk, sluit een cyberverzekering op dit gebied.

Wilt u meer weten over dit onderwerp, neem dan vrijblijvend contact met ons op.