Waarom hebben we het hier eigenlijk over?
Al sinds 1 januari 2016 is de Wet Meldplicht Datalekken is in werking gesteld. Dus vanaf dat moment zijn organisaties verplicht melding te maken van “beveiligingsincidenten” met betrekking tot persoonsgegevens. Op het niet nakomen van deze verplichting staat aanzienlijke boetes. En per mei 2018 komt hier nog eens de Algemene Verordening Gegevensbescherming (EU wetgeving – General Data Protection Regulation) over heen, die tot gevolg heeft dat een directie/MT zelfs persoonlijk aansprakelijk gesteld kan worden.
Wat is dan precies een datalek?
De definitie is helaas wat onduidelijk en op meerdere manieren te interpreteren. Het staat geformuleerd als een inbreuk op de beveiliging, waarbij een aanmerkelijke kans bestaat op nadelige gevolgen voor betrokkenen. Dit betekent dat elk beveiligingsincident waarbij persoonsgegevens misbruikt kunnen worden, in potentie een datalek is dat gemeld moet worden. Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de toezichthouder (Autoriteit Persoonsgegevens) gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft en/of om (kleinere maar) gevoelige gegevens gaat.
Met de Meldplicht Wet Datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Waar bestaan de gevaren zoal uit?
Denk aan het gebruik van makkelijke wachtwoorden, verlies van een telefoon of USB drive, of een hele computer, maar ook aan het meelezen op een scherm, Ransomware, gebruik van prive apparaten bij de behandeling van vertrouwelijke gegevens en ga zo nog maar even door.
U als organisatie moet passende organisatorische en technische maatregelen treffen ter bescherming van de persoonsgegevens die u verwerkt. De Autoriteit Persoonsgegevens heeft met beleidsregels invulling gegeven aan de elementen waar uw informatiebeveiliging aan moet voldoen. Dit is geen verplichting, maar beperkt de kans op hoge boetes en reputatieschade. Het levert ook geen garanties op. Elk geval wordt apart behandeld om te beoordelen of de beveiliging “passend” was.
Wat kun je er tegen doen?
Uiteraard kun je (en moet je) als organisatie een aantal maatregelen treffen die de kwetsbaarheid verkleinen. Value360 heeft hiervoor verschillende mogelijkheden die we u kunnen bieden.
Maar daarnaast is er een duidelijke trend dat werknemers zich via steeds meer apparaten en toegangspunten aanmelden op het bedrijfsnetwerk. Organisaties worden hierdoor maar al te vaak blootgesteld aan risico’s. Uw gebruikers zijn dus vaak de zwakste schakel.
Speciaal hiervoor is de online training DIEV™ (Data Informatie Eindgebruikers Veiligheidstraining) ontwikkeld. Met deze training zorgt u dat ervoor dat uw eindgebruikers continu geïnformeerd én alert gehouden worden om veilig te blijven werken. Met DIEV™ worden gebruikers getraind in het herkennen van phishing en ransomware e-mails en andere vormen van social engineering. We laten aan de hand van voorbeelden (video’s, screenshots, e-mails e.d.) zien wat de gevaren zijn
(Ransomware, Phishing, Hacking, ID-fraude, oplichting, gevaren van Free Wifi en Social
Media) en dan vooral wat eindgebruikers daar tegen kunnen doen. Met DIEV™ geeft u
invulling aan en/of verhoogt u het beveiligingsbewustzijn van de medewerkers.
De training wordt afgesloten met een Kennistest, zodat je als organisatie kunt aantonen dat je
voorzorgsmaatregelen hebt genomen, ter voorkoming van boetes!
Neem daarom contact met ons op voor een op maat gemaakte aanbieding voor uw organisatie. Info@value360.nl