Transcript rapport Meldplicht datalekken

Meldplicht datalekken
Auteur(s):
Project Moore in opdracht van SURF
Versie:
1,0
Datum:
Juli 2014
Radboudkwartier 273
3511 CK Utrecht
Postbus 19035
3501 DA Utrecht
030 - 2 305 305
[email protected]
www.surfnet.nl
ING Bank NL54INGB0005936709
KvK Utrecht 30090777
BTW NL 0089.60.173.B01
Meldplicht datalekken
Inhoudsopgave
1 Inleiding ........................................................................................................................................... 4 2 Het melden van een datalek ........................................................................................................... 5 3 Stappenplan voorbereiding meldplicht datalekken ..................................................................... 7 4 Veel gestelde vragen ...................................................................................................................... 8 Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie
Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Meldplicht datalekken
Dit document ‘Meldplicht Datalekken’ is een handreiking voor de instellingen die behoren tot de
doelgroep van SURF. Het document bevat een stappenplan dat de instellingen kunnen gebruiken bij
hun voorbereiding op de meldplicht waardoor zij compliant met de toekomstige wetgeving kunnen
worden. Het stappenplan benadert het vraagstuk vanuit de optiek van integrale veiligheid en
benadrukt daarom de taken en verantwoordelijkheden voor verschillende functionarissen binnen de
organisaties van de doelgroep. Ter informatie is een korte vraagbaak opgenomen waarin SURF uitlegt
wat de meldplicht inhoudt en waarin de antwoorden op de belangrijkste vragen over datalekken en de
meldplicht zijn te vinden.
De teksten in dit document zijn gebaseerd op het Voorstel van wet Wijziging Wet bescherming
persoonsgegevens (Meldplicht datalekken) en de Nota van Wijziging van 15 april 2014.
3/11
Meldplicht datalekken
1
Inleiding
Geregeld lezen we in de media dat gegevens van werknemers, studenten of patiënten letterlijk op
straat liggen; dossiers die worden aangeboden als oud papier, een gestolen smartphone of een
verloren USB-stick. Als persoonsgegevens in handen vallen van derden die geen toegang tot die
gegevens mogen hebben spreken we van een datalek. Het risico op datalekken wordt steeds groter
omdat onze persoonsgegevens in steeds meer databanken en/of op dragers zijn opgeslagen. Er zijn
verschillende categorieën datalekken denkbaar; bepalend voor de reikwijdte van het wetsvoorstel is
dat sprake moet zijn van een inbreuk op een beveiligingsmaatregel en dat er ernstige nadelige
gevolgen zijn voor de privacy van betrokkenen.
Een datalek kan nadelige gevolgen hebben voor persoonlijke levenssfeer van betrokkenen doordat de
weggelekte gegevens oneigenlijk gebruikt kunnen worden. Identiteitsfraude is hiervan een voorbeeld
maar ook kan gedacht worden aan ongewenste profilering of doorbreking van bewust gekozen
anonimiteit. Om ernstige nadelige consequenties voor de bescherming van persoonsgegeven te
beperken is het wetsvoorstel ‘Wijziging van de Wet bescherming persoonsgegevens en de
Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van
maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)’ ingediend. Deze
meldplicht draagt bij aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Na overleg met diverse partijen heeft het Ministerie van Veiligheid en Justitie in april 2014 het
wetsvoorstel aangepast waardoor de meldplicht is versoepeld. Door deze aanpassingen beoogt de
wetgever de bepalingen over de meldplicht te verduidelijken en te vereenvoudigen. Daarnaast moeten
de aanpassingen zorgen voor een beter evenwicht tussen de belangen die zijn gediend met een
goede bescherming van persoonsgegevens en de administratieve en nalevingskosten die met een
meldingsverplichting gepaard gaan.
Het wetsvoorstel introduceert een verplichting voor de verantwoordelijke om datalekken te melden.
Hierdoor moeten onderwijs- en onderzoeksinstellingen die persoonsgegevens verwerken straks
bepaalde inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens
rapporteren aan zowel aan het College bescherming persoonsgegevens (Cbp) als aan de
betrokkenen. Als een instelling hieraan niet voldoet riskeert zij een hoge boete die kan oplopen tot
maximaal 450.000 euro.
De meldplicht in het wetsvoorstel heeft alleen betrekking op doorbrekingen van de maatregelen voor
de beveiliging van persoonsgegevens. De meldplicht staat dus in nauw verband met de
beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis
waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer
moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige
verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het
onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de
beveiligingsnormen uit de Wbp toepast.
De wetgever streeft een geclausuleerde meldplicht na: alleen die inbreuken die ernstige nadelige
gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens moeten bij het Cbp
worden gemeld. Door deze clausulering worden inbreuken met geringe nadelige gevolgen voor de
bescherming van persoonsgegevens uitgezonderd van de meldplicht.
De toekomstige Europese Privacy Verordening kent ook een meldplicht voor datalekken; de invoering
meldplicht datalekken in Nederland loopt vooruit op de regelgeving die op dit moment in Brussel wordt
voorbereid.
4/11
Meldplicht datalekken
2
Het melden van een datalek
Door een wijziging van de Wbp (invoering artikel 34a) wordt een algemene meldplicht datalekken voor
alle organisaties in de publieke en private sector ingevoerd. Een onderwijs- of onderzoekinstelling is
straks verplicht een datalek te melden die ernstige nadelige gevolgen voor de privacy van de
betrokkenen heeft. De meldplicht geldt voor de ‘verantwoordelijke’ zoals deze in de Wbp is
gedefinieerd. ‘Betrokkenen’ zijn de personen van wie de persoonsgegevens zijn gelekt. Omdat er
sprake is van een hoge sanctie bij niet naleving van de meldplicht heeft dit een directe relatie met de
governance van de instelling.
Zodra het datalek bekend is, moet de instelling het incident melden bij het Cbp. De instelling moet
hierbij een inschatting maken van de ernst van de nadelige gevolgen voor de bescherming van de
persoonsgegevens; zij hoeft niet het daadwerkelijk gebleken ernstig misbruik hiervan te beoordelen.
De instelling moet het datalek ook melden aan de betrokkenen (zoals studenten, (tijdelijke)
werknemers van de instellingen, stagiaires, en/of patiënten) als de inbreuk op de verwerkte
persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.
De instelling zal bij een melding aan het Cbp moeten aangeven of zij van plan is om ook de
betrokkenen van de inbreuk in kennis te stellen. Het Cbp kan deze melding aan betrokkenen zonodig
afdwingen.
Melding aan het Cbp en betrokkenen kan achterwege blijven als de betreffende persoonsgegevens
onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de
gegevens. Volgens het Cbp geeft een passende versleuteling van persoonsgegevens bij een
beveiligingslek geen gevaar voor ernstige nadelige gevolgen voor de privacy van betrokkene. De
instelling is verantwoordelijk voor de beoordeling of voldaan is dit het criterium van onbegrijpelijkheid
of ontoegankelijkheid voor derden. Indien hier twijfels over zijn is melding aan het Cbp aan te raden.
Verder rust op de onderwijsinstelling de verplichting om in de contracten met (IT-)leveranciers een
vergelijkbare meldplicht op te nemen, die erop neerkomt dat deze leveranciers de instelling informeren
indien sprake is van een datalek. Het Juridische Normenkader Cloudservices voor het hoger onderwijs
1
in Nederland geeft voorbeelden van bepalingen die hiervoor gebruikt kunnen worden .
Bij het niet voldoen aan bovengenoemde verplichtingen kan het Cbp een boete opleggen van
maximaal EUR 450.000. Dit is een aanzienlijke uitbreiding van de huidige boetebevoegdheid van het
College.
Om te beoordelen of een instelling een datalek moet melden, moet de instelling alle van de volgende
drie vragen bevestigend beantwoorden:
1. Is er sprake van een inbreuk op de beveiligingsmaatregelen (een datalek)?
2. Zijn de verwerkte persoonsgegevens daardoor blootgesteld aan verlies of onrechtmatige
verwerking?
3. Heeft deze blootstelling geleid tot ernstige nadelige gevolgen voor de bescherming van de
verwerkte persoonsgegevens of de privacy van de betrokkenen?
1
Juridische Normenkader Cloudservices Hoger Onderwijs Definitieve versie 2013
http://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2013/juridisch-normenkader-cloudservices-hogeronderwijs.pdf
5/11
Meldplicht datalekken
Bij de beantwoording van de eerste vraag moet niet alleen gedacht worden aan actieve handelingen
om de beveiliging te doorbreken zoals hacken van bestanden maar moet ook diefstal of verlies van
dragers waarop persoonsgegevens zijn opgeslagen worden meegenomen. Wanneer gegevens
zodanig zijn beveiligd dat het redelijkerwijs is uitgesloten dat een datalek kan leiden tot kennisname
van persoonsgegevens door onbevoegden kan kennisgeving aan het Cbp en betrokkene achterwege
blijven.
Blootstelling aan ernstige nadelige gevolgen in de vorm van onrechtmatige verwerking moet objectief
en naar feitelijke omstandigheden van het geval worden vastgesteld.
Een richtlijn bij de beantwoording van de laatste vraag zijn vooral aard en omvang van de inbreuk van
belang, de aard van de gelekte persoonsgegevens en de mate waarin technische
beschermingsmaatregelen zijn getroffen ten aanzien van de desbetreffende persoonsgegevens. Het
gaat hierbij om een inschatting van de ernst van de gevolgen.
In het stadium waarin het wetsvoorstel zich bevindt, is nog niet helemaal uitgekristalliseerd wanneer er
wel aan het Cbp maar niet aan betrokkenen gemeld moet worden. Van het College mag worden
verwacht dat zij hiervoor richtsnoeren vaststelt.
6/11
Meldplicht datalekken
3
Stappenplan voorbereiding meldplicht datalekken
De onderwijsinstelling kan zich als volgt voorbereiden op de meldplicht datalekken:
•
•
•
•
•
•
Inventariseer waar in de onderwijs- en onderzoeksorganisatie welke gegevens worden
verwerkt. Oftewel, breng de datastromen van de organisatie in kaart. Let daarbij op gevoelige
gegevens die worden verwerkt zoals bijvoorbeeld medische en etnische gegevens van
studenten en medewerkers. Denk ook aan de gegevens die in het kader van wetenschappelijk
onderzoek worden verwerkt.
Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico’s
van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan. Basis voor deze
risicoanalyse kan de Hoger Onderwijs Referentie Architectuur (HORA) zijn waar al in staat
aangegeven welke gegevensentiteiten vertrouwelijke gegevens bevatten.
Opstellen duidelijke interne procedure (actieplan);
Zorg voor een procedure waaruit duidelijk blijkt wie de verantwoordelijke is en welke
afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Denk
hierbij aan het bestuur of hun gemandateerde eigenaar van de gegevens, de functionaris
gegevensbescherming, de veiligheidsfunctionaris, de juridische afdeling en niet te vergeten de
afdeling communicatie. Beschrijf hierbij de rollen en taken van deze afdelingen/functionarissen
en sluit hierbij aan op bestaande processen binnen de instelling. Zo zou bijvoorbeeld de
melding van een datalek overeen kunnen komen met de afhandeling van meldingen in het
kader van Computer Security Incident Response Teams (CSIRT).
In de procedure moet in ieder geval worden geregeld aan wie een datalek intern wordt
gemeld, welke maatregelen door wie binnen welke termijnen moeten worden genomen en hoe
het datalek naar buiten toe wordt gecommuniceerd. Indien er een functionaris
gegevensbescherming aanwezig is moet deze in ieder geval in kennis gesteld worden. Een
communicatieplan voor het naar buiten brengen van de melding zal hier ook deel van
uitmaken. Denk er verder over na of het datalek gemeld moet worden bij de verzekering en of
er een advocaat ingeschakeld moet worden. Zorg ook voor voldoende interne training met
betrekking tot deze procedure.
Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Stel
richtlijnen op voor het opslaan van persoonsgegevens door werknemers/studenten op
draagbare apparatuur. Het opstellen van een protocol inclusief voorbeeldbrieven voor melding
aan het Cbp en betrokkenen kan hier eveneens deel van uitmaken;
Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast.
Neem de verplichting op dat de bewerker onverwijld een melding aan de organisatie moet
doen als er bij hem een datalek heeft plaatsgevonden. Vraag aan de bewerker een
beschrijving van de gevolgen van de inbreuk en de maatregelen om de gevolgen te
verhelpen. Spreek duidelijk met de bewerker af wie bepaalt of een datalek wel of niet
meldingsplichtig is (bij voorkeur de instelling). Maak ook duidelijk welke datalekken gemeld
moeten worden (dit zijn bij voorkeur alle incidenten en niet alleen de meldingsplichtige
beveiligingsincidenten).
Regel daarnaast hoe wordt omgegaan met eventuele boetes die als gevolg van een datalek
bij de bewerker aan de organisatie worden opgelegd. Stel van te voren vast hoe omgegaan
wordt met een keten van bewerkers/sub-bewerkers en sub-sub-bewerkers. Wees duidelijk
over de geschillenprocedure hiervoor.
Overweeg encryptie waardoor melding aan betrokkenen achterwege gelaten kan worden.
7/11
Meldplicht datalekken
4
Veel gestelde vragen
Moet de onderwijsorganisatie straks elk datalek gaan registreren?
Nee, de verplichting om binnen de instelling een overzicht bij te houden van alle inbreuken is in de
nota van wijziging op het wetsvoorstel geschrapt gezien de lasten die dit met zich meebrengt. Uit de
algemene beveiligingsverplichting van artikel 13 Wbp vloeit al voort dat de instelling procedures heeft
voor het tijdig en doeltreffend behandelen van beveiligingsincidenten.
Moet de onderwijsorganisatie straks elk datalek gaan melden? Ook als een medewerker bijvoorbeeld
een telefoon of usb-stick verliest?
Nee, alleen een datalek met ernstige nadelige gevolgen voor de privacy van de betrokkenen moet
worden gemeld. Wanneer er sprake is van nadelige gevolgen voor de privacy, is afhankelijk van de
omstandigheden van het geval en kan beoordeeld worden aan de hand van drie eerdergenoemde
vragen. Bijvoorbeeld het verliezen van een telefoon van de medewerker hoeft normaal niet te worden
gemeld. Is de telefoon echter niet goed beveiligd en bevat deze gevoelige gegevens van betrokkenen,
bijvoorbeeld verzuimgegevens, dan dient het datalek wel te worden gemeld.
Hoe dient de melding eruit te zien?
In geval van een datalek dient te worden geregistreerd en eventueel aan het Cbp te worden
doorgegeven (i) de aard van de inbreuk, (ii) de persoon of instantie waar meer informatie kan worden
verkregen en (iii) de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Bij een melding aan het Cbp dient daarnaast te worden gemeld (iv) de gevolgen van de inbreuk voor
de verwerking van persoonsgegevens en (v) de maatregelen om deze gevolgen te verhelpen.
Moet de instelling een datalek ook melden aan de betrokkenen?
Als een datalek ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen en indien de
inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, dan moet
dit ook aan de betrokkenen worden gemeld. Het informeren aan de betrokkenen kan achterwege
worden gelaten als de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen
recht heeft op kennisname van de gegevens, tenzij het Cbp alsnog beveelt om een melding aan de
betrokkenen te doen. De melding aan de betrokkene moet op een zodanige wijze gebeuren dat deze
op een behoorlijke en zorgvuldige wijze wordt geïnformeerd.
Wanneer moet de organisatie een boete betalen? En hoe hoog zal deze boete zijn?
Het Cbp kan handhavend optreden als niet aan de verplichtingen met betrekking tot de meldplicht
datalekken wordt voldaan. Er gelden geen vaste boetebedragen; het Cbp is vrij te bepalen óf en welk
boetebedrag zij in een gegeven geval wenselijk acht. Onder het wetsvoorstel tot het wijziging van de
Wbp (meldplicht datalekken) kan het Cbp een boete opleggen van maximaal EUR 450.000.
Welke afspraken moet ik maken met mijn leveranciers?
Met betrekking tot de contracten met de leveranciers legt de wetgever de verplichting dat de
leverancier een melding aan de onderwijsorganisatie doet als er bij hem een datalek heeft
plaatsgevonden. Daarnaast is het raadzaam afspraken te maken over hoe partijen omgegaan met
eventuele boetes die als gevolg van een datalek bij de leverancier aan de onderwijsorganisatie
worden opgelegd.
8/11
Meldplicht datalekken
De Europese Privacyverordening (EPV) is op komst. Heeft dit invloed op de meldplicht datalekken?
De Europese Privacyverordening zal de Wbp op den duur vervangen. In de ontwerpverordening is
een vergelijkbare meldplicht datalekken opgenomen.
De EPV kent overigens een nog hoger boetemaximum voor het niet voldoen aan de meldingsplicht.
Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden.
Wanneer treedt de wetgeving met betrekking tot de meldplicht datalekken in werking?
Op het moment van schrijven is het wetsvoorstel en de nota van wijziging tot het wijziging van de Wbp
(meldplicht datalekken) ingediend bij de Tweede Kamer. De datum van inwerkingtreding is nog niet
bekend, maar zal naar verwachting eind 2014 zijn. Het is ook mogelijk dat gewacht wordt op de
Europese Privacyverordening. Deze treedt naar verwachting in werking in 2016.
Hoe kan onze organisatie zich het beste voorbereiden op de meldplicht datalekken?
Een instelling kan zich voorbereiden op de meldplicht datalekken door het stappenplan dat is
opgesteld door SURF te volgen.
Wat betekent de meldplicht datalekken voor de beveiliging?
De meldplicht staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet
bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische
en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen
verlies of enige vorm van onrechtmatige verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die
uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens
in individuele gevallen de beveiligingsnormen uit de Wbp toepast.
Wat doet het College bescherming persoonsgegevens met de melding?
Het Cbp richt zich op naleving van de normen van de Wbp en andere wetten en regelingen op grond
waarvan persoonsgegevens worden verwerkt. De wijze waarop het College dit doet is neergelegd in
haar Beleidsregels handhaving. Het Cbp geeft prioriteit aan zaken waarbij zij het vermoeden heeft van
ernstige overtredingen; structurele overtredingen; overtredingen die veel mensen treffen;
overtredingen waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan
maken; en overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door het CBP bekend
zijn gemaakt. De eerste vier criteria gelden cumulatief, tenzij zwaarwichtige gronden zich daartegen
verzetten.
Het Cbp handelt bij de inzet van handhavingsinstrumenten conform de algemene beginselen van
behoorlijk bestuur en de Algemene Wet Bestuursrecht. Zij stelt prioriteiten met het oog op de
beschikbare middelen en maakt zelfstandig een afweging bij het bepalen van de inzet van
handhavingsinstrumenten. De inzet van handhavingsinstrumenten door het Cbp hangt mede af van de
omstandigheden van het geval, waaronder de inhoud en de strekking van de overtreden norm en de
daarbij betrokken belangen. Doel, effect en efficiëntie staan voorop.
De Memorie van Toelichting (MvT) op het wetsvoorstel wijst erop dat het geen gegeven is dat het Cbp
iedere melding laat volgen door een onderzoek of andere maatregelen. Volgens de MvT is het feit of
een onderzoek of en verdere maatregelen volgen, afhankelijk van de omstandigheden. Het Cbp zal de
ingekomen meldingen moeten bezien en daarop reageren in overeenstemming met de door het
College zelf gestelde prioriteiten. Indien een instelling heeft gehandeld op de manier die van hem
9/11
Meldplicht datalekken
verwacht mag worden en zelf zo spoedig mogelijk de nodige maatregelen heeft getroffen om het
datalek te dichten en herhaling te voorkomen zal een reactie van het Cbp naar verwachting veelal
uitblijven. Het Cbp zal de meldingen wel opslaan mede om daarover in het jaarverslag verantwoording
af te leggen.
Valt het verlies van een papieren dossier onder de reikwijdte van de meldplicht?
Ja het verlies van een papieren dossier valt ook onder de meldplicht indien er sprake is van inbreuk
op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die ernstige nadelige gevolgen
heeft voor de bescherming van de verwerkte persoonsgegevens.
Valt bewust lekken van een medewerker onder de meldplicht?
Ja, als er redelijkerwijs kan worden aangenomen dat dit leidt tot ernstige nadelige gevolgen voor de
privacy van de betrokkenen.
Kan de betrokkene zelf ook melden?
Nee, de meldingsplicht rust op de verantwoordelijke; het is de instelling die het College onverwijld in
kennis moet stellen van een datalek.
Komen er formulieren voor de melding?
De MvT bij lid 5 van het nieuwe artikel 34a stelt dat er zonodig nadere regels kunnen worden gesteld
voor gebruikmaking van een formulier.
Krijg je altijd de maximum boete als je niet meldt?
Dat is nog niet bekend. Waarschijnlijk zal het College bescherming persoonsgegevens
boetebeleidsregels vaststellen. Hierdoor krijgen belanghebbenden inzicht over de aard en hoogte van
sancties die zij kunnen verwachten bij overtreding van de wet.
Hoe zit het met versleutelde gegevens?
Als de instelling passende technische beschermingsmaatregelen heeft genomen waardoor de
persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn hoeft de instelling de inbreuk
niet te melden aan het Cbp en evenmin aan de betrokkenen. De formulering ‘onbegrijpelijk en
ontoegankelijk’ dekt niet alleen versleuteling maar ook technieken die persoonsgegevens
ontoegankelijk kunnen maken als een datalek zich voordoet.
Wat moet een instelling doen als deze de betrokkenen wil informeren maar deze niet weet wie precies
betrokkenen zijn of hoe deze te bereiken zijn?
Dit is afhankelijk van de situatie maar een instelling zou bijvoorbeeld via berichten in de media aan
betrokkenen kunnen laten weten dat er sprake is geweest van een datalek. Het is aan te raden dit in
overleg met de afdeling communicatie te doen.
10/11
Meldplicht datalekken
Moet een instelling de betrokkenen ook laten weten wat ze het beste kunnen doen om de schade te
beperken?
De instelling moet betrokkenen verschillende zaken laten weten: de aard van de inbreuk, de instanties
waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de
negatieve gevolgen van de inbreuk te beperken.
Kan een instelling een verzekering afsluiten voor de boete?
Het is in beginsel niet mogelijk om een verzekering af te sluiten voor boetes. Dit is in strijd met de wet.
Wel zou een verzekering kunnen worden afgesloten worden voor kosten die gemaakt worden in een
eventuele procedure.
Wat zijn passende maatregelen in het geval van een datalek?
In geval van een datalek moet de instelling haar interne procedures volgen, het actieplan uitvoeren en
het datalek dichten. Hiertoe moet de instelling de omvang van het datalek en de benodigde
maatregelen inventariseren. Alle acties en beslissingen moeten gedocumenteerd worden.
11/11