Wet meldplicht datalekken: waarom het mkb nu actie moet ondernemen
Op 1 januari 2016 is de Wet meldplicht datalekken ingegaan. Dat betekent dat het vanaf nu verplicht is om verlies of onrechtmatige verwerking van persoonsgegevens te melden bij de toezichthouder: de Autoriteit Persoonsgegevens. Bij nalatigheid of onrechtmatigheid kan dit leiden tot forse boetes, soms wel tot tien procent van je jaaromzet. Nu kun je als kleinere mkb-organisatie denken: dat zal zo’n vaart niet lopen bij ons. Maar dat is een grote fout. Het is tijd voor actie, en wel nu.
Natuurlijk had je als bedrijf al lang actie ondernomen voor die eerste januari 2016. Maar misschien waren die acties nog niet afdoende. Of voelde je je niet verplicht om ze echt goed door te voeren. Want je weet ook wel dat je secuur moet omgaan met privacygevoelige informatie over klanten en medewerkers. Nu kun je je bij patiëntgegevens van een ziekenhuis of de wachtwoorden van een e-mailbedrijf nog wel voorstellen dat die niet zomaar op straat mogen liggen. En dat een ontvreemde of verloren usb-stick met strafdossiers van een advocaat niet in de metro mag blijven liggen, lijkt ook logisch. Maar het gaat in de nieuwe wet om alle gegevens in de persoonlijke sfeer. En daar valt dus ook onder wat medewerkers binnen een organisatie doen. E-mailen met hun persoonlijke accounts, sociale media gebruiken, verbinding maken via hun eigen smartphone via het wifinetwerk van het bedrijf. Als je als mkb niet vastlegt hoe je personeel met dit soort activiteiten mag omgaan, ontstaan er situaties met een hoog risico op datalekken. Lekken die je – zeker nu de nieuwe wet van kracht is – te allen tijde wilt voorkomen.
Maak een ICT-beleid
Daarom denk ik dat het nu tijd is voor actie. Te beginnen met het opstellen van een ICT-beleid. Hoe ga je om met het gebruik van computers, laptops, smartphones en andere apparaten in je organisatie? Mogen werknemers Facebook gebruiken? En kunnen bijlagen ook via de persoonlijke mail worden verstuurd en is een usb-stick wel veilig? Door dit soort zaken vast te leggen in een handboek en dit te verspreiden onder je personeel, voorkom je al een hoop narigheid. En echt hoor, het zal je verbazen hoeveel bedrijven daarover niets hebben afgesproken. Stap twee is dan het doorvoeren van eventuele technologische verbeteringen. Securityoplossingen, antivirus, spamfiltering; die zijn essentieel om die nare boetes te ontlopen. Onze ICT-dienstverleners kunnen het mkb helpen aan de perfecte oplossingen.
Kwaliteit van informatie
Uiteindelijk wil elke organisatie dat zijn gegevens van hoge kwaliteit zijn. Ook als het gaat om een ‘kleinere’ mkb-organisatie. Denk bijvoorbeeld eens aan een sauna die klantgegevens heeft opgeslagen binnen zijn IT-omgeving. Zodra die omgeving gehackt wordt en de klantgegevens worden gemanipuleerd, kan het zomaar nog heter onder de voeten worden dan het daar al is. Al is het alleen maar omdat de facturatie niet meer kan plaatsvinden of omdat klanten niet willen delen dat ze daar vijf keer per week komen. Garandeer als organisatie dan ook altijd dat de gegevens die je beheert van hoge kwaliteit zijn door te zorgen voor confidentialiteit, integriteit en beschikbaarheid. Of ook wel: Confidentiality, Integrity, Availability (CIA). Ook het mkb kan met deze factoren de hoogste kwaliteit informatie realiseren. En de minste kans op boetes van de Autoriteit Persoonsgegevens.
Op 18 februari 2016 om 10.00 uur organiseert Portland een webinar dat ingaat op de nieuwe Europese privacywetgeving en de Nederlandse regelgeving rondom datalekken.
Lees meer
