Uitbreiding calamiteitenplan bij Datalekken ?

Wbp en datalekken

De Wet bescherming Persoonsgegevens is sinds 1 januari 2016 gewijzigd naar aanleiding van een groot aantal incidenten, waarbij door een inbreuk op de beveiliging van, onder meer, websites persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer. De Wbp regelt nu, in artikel 34a, de zogenaamde meldplicht datalekken en ook is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. Ook bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. De toezichthouder kan  sancties van € 810.000 (voorheen € 4.500) opleggen. Alleen ernstige datalekken moeten worden gemeld via een webformulier. De gemeente moet binnen 24 uur datalekken bij de toezichthouder melden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Vaak zijn menselijke fouten de oorzaak van datalekken.

 

Ketenaansprakelijkheid en bewerkersovereenkomst

De wet meldplicht Datalekken gaat uit van een vorm van ketenaansprakelijkheid. KING/IBD hebben een bewerkersovereenkomst ontwikkeld. De bewerkersoveernkomst dient te waarborgen dat de verplichtingen die vanuit de Wbp zijn gesteld, ook door de leverancier worden nageleefd. Daartoe dienen in de bewerkersovereenkomst afspraken te worden gemaakt voor het beschermen van de persoonsgegevens. Deze afspraken zijn voornamelijk gericht op de vertrouwelijkheid en integriteit van de gegevens van uw gemeentelijke klanten

Zo staat in deze overeenkomst  het volgende:

De bewerker zal onmiddellijk bij het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9.3 van deze overeenkomst.

Calamiteitenplan en datalekken

De meeste gemeenten hebben het landelijke informatiebeveiligingsplan van de IBD vertaald naar de eigen organisatie. Dat is een waarborg op strategisch niveau. In feite is datalekken een calamiteit, gelijk een wateroverlast in een archiefruimte. Voor de uitvoering van de meldplicht datalekken kan de uitwerking op operationeel niveau in het calamiteitenplan een aanrader zijn.

Welke gemeente of andere organisatie heeft de uitvoering van deze wet anders belegd ? Graag ervaringen delen.

 

 

Weergaven: 845

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Annemieke de Boer op 1 Juli 2016 op 13.48

Ons calamiteitenplan voor de archieven is alleen gericht op het analoge archief in de archiefruimten en archiefbewaarplaats. (Denk aan: risicoanalyse, afspraken met BHV, hoe te handelen bij wateroverlast e.d., overzicht van contactpersonen...)

Beveiliging van IT-systemen (o.a. ten aanzien van persoonsgegevens)  valt buiten de directe invloedssfeer van onze teams DigiDIV en historisch archief, en de processen en procedures die daarmee samenhangen worden dus ook elders geformuleerd en gecoördineerd.

Het calamiteitenplan stuur ik aan de directie, de beheerders van de archiefruimten, het hoofd BHV, en er is een verkorte versie voor de wachtdienst. De doelgroep voor een handleiding "hoe te handelen bij datalekken" is vele malen groter dan de groep mensen die het calamiteitenplan moet kennen. Al is het maar omdat het iedereen kan overkomen dat zijn laptop gestolen wordt.

Permalink Antwoord van Yvonne Welings op 1 Juli 2016 op 15.08

Beste Annemieke, Inderdaad bestaan calamiteitenplannen voor ICT en analoge archieven vaak naast elkaar. Eigenlijk is dat vreemd daar de omvang het aantal fysieke archieven afneemt en de digitale bestanden toenemen.

Ik heb de gedachtegang ook voorgelegd aan een medewerker van KING en die antwoordde me als volgt:

Opnemen in het calamiteitenplan is zeker geen slecht plan. Ik neem dan even aan dat er ook een verbinding is met de risico-inventarisatie die je normaal gesproken elk jaar doet.

Daarin zou je het risico van een datalek prima kunnen opnemen en de bijbehorende effecten beschrijven. Dan kunnen ook de maatregelen worden geduid en worden gevolgd.

Zo maak je het wel meer een onderdeel van de reguliere bedrijfsvoering.

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden