Per 1 januari 2016 zijn organisaties verplicht datalekken te melden bij de toezichthouder CBP (College Bescherming Persoonsgegevens). Een dataverwerker moet dit mogelijk maken. Nmbrs heeft alles al in gereedheid gebracht om aan deze wet te voldoen. “Op zich was dat vrij eenvoudig, omdat we al heel gestructureerd werken”, zegt Michiel Chevalier, oprichter van Nmbrs.
Om de beveiliging van data beter op orde te krijgen, heeft de overheid bepaald dat datalekken moeten worden gemeld. Het is immers lastig passende maatregelen te treffen als niet bekend is dat een probleem zich heeft voorgedaan. Nu blijven veel lekken nog 'onder de pet'. Een bedrijf heeft kans op imagoschade als bekend wordt dat gegevens verloren zijn gegaan of zijn ontvreemd.
Datalek
Er zijn twee vormen van een datalek: kwantitatief (als er heel veel gegevens zijn verdwenen) of kwalitatief (als er persoonlijke data zijn verdwenen, zoals inloggegevens, gezondheidsgegevens of financiële data). In beide gevallen moet dit worden gemeld aan de toezichthouder die hiervoor formulieren heeft opgesteld.
Nmbrs is niet rechtstreeks verantwoordelijk voor het melden van een datalek van gegevens die een organisatie op onze servers heeft staan. Maar als ‘bewerker’ (zo luidt de ambtelijke term voor een leverancier van cloud diensten) moet Nmbrs de eigenaar van de gegevens in staat stellen om zo spoedig mogelijk een lek aan de toezichthouder te melden.
Meldplicht
Bij een inbreuk op de beveiliging (datalek) zoals bedoeld in de Wet Meldplicht Datalekken die vanaf 1 januari 2016 in werking treedt, zal Nmbrs aan de klant-verantwoordelijke zo spoedig mogelijk na ontdekking hiervan melding doen. Deze kennisgeving zal de aard van de inbreuk bevatten en de maatregelen die de bewerker heeft getroffen of voorstelt te treffen om deze gevolgen te beperken.
Nieuw is dat Nmbrs moet documenteren hoe een lek is ontstaan, wanneer dat is gebeurd, het soort gegevens die zijn gelekt en op welke manier het lek is gedicht. De eigenaar van de data moet die gegevens namelijk opgeven, en bovendien die feiten minstens een jaar bewaren. In onze interne procedures zijn deze stappen uitgewerkt en deze worden gecontroleerd door Deloitte in ons volgende ISAE 3402 type II rapport.
Juridische implicaties
Nmbrs verbindt zich jegens haar klanten als beschreven in 6.2 van de Algemene Voorwaarden als Bewerker in de zin van de Wet Bescherming Persoonsgegevens tot het naleven van de vereisten zoals deze in de wet op haar rusten. Deze nieuwe vereisten worden zodoende automatisch onderdeel van onze huidige afspraken. Toch hebben we een aanvullend document gemaakt waarin deze nieuwe verplichtingen van Nmbrs en die van onze abonnees helder worden weergegeven. U kunt dit document hier downloaden.
