Meldplicht datalekken

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (dus ook tandartsen) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. 

Soms moet het datalek ook gemeld worden aan de betrokkenen. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens van patiënten, een gestolen laptop of een inbraak in een databestand door een hacker.

Melding doen
U kunt een datalek melden bij het Meldpunt Datalekken van de Autoriteit Persoonsgegevens (voorheen het College voor Bescherming van Persoonsgegevens).

Meer informatie vindt u op de website van de Autoriteit Persoonsgegevens.

 

Datalekken voorkomen

Onderstaande 10 regels kunnen u helpen datalekken te voorkomen en bieden houvast op het moment dat een datalek zich voordoet binnen uw organisatie.

 

Contactpersoon

1. Wijs een contactpersoon aan die verantwoordelijk is voor het melden van een eventuele datalek bij de Autoriteit Persoonsgegevens. De contactpersoon fungeert als eerste aanspreekpunt voor alle incidenten omtrent datalekken. Stel de contactpersoon bij een datalek direct op de hoogte zodat deze kan beslissen over de melding bij de Autoriteit Persoonsgegevens.

Beveiligingsbeleid

2. Voorkom ten alle tijden dat onbevoegden toegang tot persoonsgegevens hebben. Zorg dat computergebruikers (balieassistente etc.) altijd met een wachtwoord inloggen. Bij het verlaten van de werkplek (dus ook voor toiletgebruik) moet de computer onmiddellijk op schermbeveiliging gaan. Laat geen usb-sticks of externe harde schijven onbeheerd achter. 
Nog beter is: beveilig (bijzondere) persoonsgegevens door middel van encryptie of een andere vorm van versleuteling. Versleutelde gegevens zijn bij een eventuele lek niet tot een natuurlijke persoon te herleiden. 

3. Zorg ervoor dat medewerkers alleen persoonsgegevens kunnen verspreiden via e-mail of Clouddiensten waar u een contract mee heeft en die gebruik maakt van encryptie of een andere vorm van versleuteling (bijvoorbeeld Zorgmail). Idealiter zijn persoonlijke e-mail accounts niet toegankelijk voor medewerkers.  

4. Houd uw beveiligingssoftware op computers en andere elektronische communicatiesystemen actueel. Zorg dat de laatste versies zijn geïnstalleerd en dat abonnementen hierop niet verlopen.

5. Draag actief uw informatiebeveiligingsbeleid intern uit. Wijs medewerkers op de meldplicht bij datalekken en zorg dat zij weten wie de contactpersoon is.

Derden

6. Sluit met partijen die ten behoeve van uw organisatie gegevens verwerken een bewerkingsovereenkomst af. Neem daarin op wie verantwoordelijk is bij een eventueel datalek. Voor zover u reeds bewerkingsovereenkomsten heeft afgesloten, bekijk dan of deze nog actueel zijn. 

Interne documenten

7. Zorg dat u een draaiboek of intern protocol heeft op het moment dat een datalek zich voordoet. Zorg dat uw medewerkers dit draaiboek of protocol kennen.

8. Stel een communicatieplan op voor het geval een datalek zich voordoet. Bereid ook een persbericht voor, als u verwacht dat de media met u contact gaan zoeken.

9. Registreer alle interne inbreuken op de beveiliging die mogelijk als datalek kunnen kwalificeren. Zelfs als u er niet zeker van bent dat sprake is van een datalek is het raadzaam het betreffende incident te registreren.

Tot slot 

10. Laat een externe expert uw praktijk op data veiligheid controleren. Indien u het risico op schade wenst af te dekken kunt u een cyberrisk of -crime verzekering afsluiten. Via de ANT kunt u met ledenvoordeel een security scan laten uitvoeren, daarnaast bieden wij een cyber-risk verzekring aan.