Wetgevers en toezichthouders proberen de verwerking van groeiende bergen informatie in steeds betere banen te leiden. De nieuwste ontwikkeling: regels voor het geval het toch misgaat. Met name partijen die online actief zijn lopen het risico slachtoffer te worden van een aanval of ander ‘dataincident’. Hierbij een korte samenvatting wat hen sinds 1 januari staat te wachten en in de nabije toekomst mogelijk op hen afkomt.
Wet meldplicht datalekken
Met ingang van 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Zodra er een inbreuk plaatsvindt op de beveiliging die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet de verantwoordelijke – dat wil zeggen de partij die het doel en de middelen van de verwerking van persoonsgegevens vaststelt – dit melden bij de Autoriteit persoonsgegevens (voorheen College bescherming persoonsgegevens). Hierbij maakt het niet uit of het bijvoorbeeld gaat om een hack of om een vergeten USB-stick in de trein. Als men een datalek moet melden bij de Autoriteit Persoonsgegevens, dan kan het ook zo zijn dat het datalek ook gemeld moet worden aan de personen op wie de gegevens betrekking hebben. Een dergelijke melding is vereist indien het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Weigert men te melden dan kan de Autoriteit Persoonsgegevens een boete opleggen.
De Autoriteit persoonsgegevens heeft beleidsregels (PDF) opgesteld over de meldplicht datalekken. Deze beleidsregels bieden hulp bij het bepalen of er sprake is van een datalek, en zo ja, of men dit moet melden bij de Autoriteit Persoonsgegevens en mogelijk de betrokkenen.
Europese richtlijn cybersecurity
Recentelijk kwam er vanuit de EU het nieuws dat er overeenstemming bereikt is over de tekst van de richtlijn netwerk- en informatiebeveiliging (NIB-richtlijn). Na het bereikte akkoord tussen het Europees Parlement en de Raad zal de finale versie naar verwachting niet lang meer op zich laten wachten.
De richtlijn zal een algemene beveiligingsplicht en meldplicht voor beveiligingsincidenten in het leven roepen die veel marktpartijen zal raken. Ook worden lidstaten verplicht om informatie over beveiligingsincidenten tussen de betrokken autoriteiten uit te wisselen. De meldplicht zal gelden voor aanbieders van essentiële diensten in specifieke sectoren zoals de gezondheidszorg, nutssector (energie en water), transport en de financiële sector (inclusief banken). Een lidstaat mag vervolgens zelf de essentiële aanbieders aanwijzen die voldoen aan de vooraf vastgestelde criteria.
Naast bovengenoemde sectoren vallen aanbieders van bepaalde online diensten ook onder de reikwijdte van de NIB-richtlijn. Grote partijen zoals Amazon, Google en eBay zullen daarom – voor zover ze dat nog niet hadden – hun beveiliging op orde moeten hebben en bij incidenten een melding moeten maken. Kleine aanbieders van online diensten zullen niet onder de richtlijn vallen. Welke aanbieders van online diensten wel of niet onder de reikwijdte van de NIB-richtlijn zullen vallen is nog niet exact bekend. Dit zal pas duidelijk worden zodra de definitieve tekst van de richtlijn openbaar wordt gemaakt.
