datalek gemeente

Datalek gemeente

Gemeenten beschikken over veel persoonsgegevens, die natuurlijk goed beschermd moeten worden. Nu vanaf 25 mei 2018 in de hele Europese Unie de General Data Protection Regulation (GDPR, in het Nederlands Algemene verordening gegevensbescherming of kortweg AVG) actief wordt, is het hoog tijd voor gemeenten om in actie te komen. Er is nog veel werk aan de winkel. Beveiligingsexpert Mary-Jo de Leeuw noemt de situatie bij gemeenten zelfs ‘een beetje een zooitje’ in een artikel van dagblad NRC.

In dit artikel lees je wat er precies verandert met de invoering van de AVG, wat er nu mis gaat bij gemeenten en wat je kunt doen om jouw gemeente goed voor te bereiden op de AVG.

Wat verandert er precies met de invoering van de AVG?

Als de AVG actief wordt, komt de huidige Nederlandse privacyregelgeving Wet bescherming persoonsgegevens (Wbp) te vervallen. Met de nieuwe Algemene verordening gegevensbescherming gaat er behoorlijk wat veranderen. Hier volgen een aantal belangrijke veranderingen die de AVG met zich meebrengt.

  • Meer gegevens worden als privacygevoelig gezien.
  • Wanneer de organisatie ervoor kiest om diensten uit te besteden waarbij persoonsgegevens van klanten worden verwerkt, moet hiervoor toestemming worden verleend door de klant (burger).
  • De boetes worden hoger.
  • Alle verwerkingen van persoonsgegevens moeten gedocumenteerd worden in een verwerkingsregister.
  • Volgens de nieuwe wet moeten alle datalekken geregistreerd worden, ook de datalekken die niet gemeld hoeven te worden aan de Autoriteit Persoonsgegevens.
  • Vanaf 25 mei 2018 is het voor sommige organisaties verplicht om een Data protection impact assessment (DPIA) uit te voeren.

Lees hier uitgebreide informatie over veranderingen die de AVG met zich meebrengt.

Meldplicht datalekken boete

De boete die de Autoriteit Persoonsgegevens op kan leggen bij datalekken (of de onrechtmatige verwerking van persoonsgegevens) is niet mals. Deze boete kan oplopen tot meer dan 800.000 euro of 10 procent van de jaaromzet van de organisatie.

Bekijk hier het boetebeleid van de Autoriteit Persoonsgegevens.

Veel datalekken bij gemeenten

NRC schrijft ook in het artikel dat twee op de drie gemeenten in 2016 een datalek van persoonlijke gegevens van burgers meldden. In het eerste kwartaal van 2017 werden er ook weer flink wat lekken gemeld, blijkt uit een publicatie van de Autoriteit Persoonsgegevens. In totaal werden er zo’n 2300 datalekken gemeld bij de Autoriteit Persoonsgegevens, waarvan er 484 (zo’n 20 procent) bij het openbaar bestuur vandaan kwamen. 331 van deze meldingen werden door gemeenten gedaan.

De Autoriteit Persoonsgegevens heeft een overzicht gemaakt met daarop de datalekken die het vaakst voorkomen. Opvallend is dat de meeste datalekken niet ontstaan door cybercriminelen (hackers), maar door menselijke fouten. Denk aan een verloren USB-stick met persoonsgegevens, een gestolen smartphone of laptop en verkeerd bezorgde post of e-mail. Toch gebeurt het wel steeds vaker organisaties slachtoffer worden van cybercriminaliteit. Zo hadden de gemeenten Helmond en Ede meerdere keren last van ransomware.

Datalek door ransomware

Ransomware wordt ook wel gijzelsoftware genoemd. Cybercriminelen gebruiken ransomware als chantagemiddel. Als je computer besmet is met ransomware, heb je geen toegang meer tot je gegevens. Cybercriminelen vragen geld om de computer en de gegevens weer vrij te geven. In de praktijk blijkt betalen niet altijd te helpen om weer toegang te krijgen tot de gegevens. Het kan ook zo zijn dat het hele computersysteem gegijzeld is. Als organisatie wil je er natuurlijk alles aan doen om een besmetting met ransomware te voorkomen. Een aanval met ransomware valt ook onder de meldplicht datalekken.

Wil je meer praktische tips om een besmetting met ransomware te voorkomen en weten wat je moet doen als er toch besmetting heeft plaatsgevonden? Lees dan het whitepaper Minimaliseer de kansen om besmet te raken met Ransomware.

Technologische en organisatorische maatregelen

Om een datalek te voorkomen, moeten organisaties volgens de Autoriteit Persoonsgegevens twee soorten maatregelen treffen. Enerzijds moeten ze technologie inzetten om lekken te voorkomen en anderzijds is het ook belangrijk om als organisatie verstandig om te gaan met persoonsgegevens. Hier volgen een aantal technologische en organisatorische tips waarmee je datalekken kunt voorkomen.

Maatregelen om een datalek te voorkomen

1. Registreer verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens

2. Wijs een functionaris voor de gegevensbescherming (FG) aan

3. Breng gegevensstromen in kaart

Lees hier meer tips en uitgebreide informatie over de hierboven genoemde tips.

5 praktische tips: datalekken voorkomen aan de balie in het gemeentehuis

  • Leg alle computers aan de kabel. Bij een inbraak heb je dan meer kans dat de computers niet meegenomen worden.
  • Hang geboortekaartjes niet in de wachtruimte. Er staan immers veel persoonlijke gegevens op.
  • Zorg dat er vanaf de zijkant niet kan worden meegekeken op je computer. Hiervoor zijn speciale folies te koop.
  • Gebruik nooit normale USB-sticks, maar alleen beveiligde exemplaren.
  • Gebruik de computer op het werk niet voor privédoeleinden. Dit verkleint het risico op virussen en hacks.

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Xtandit heeft zich al voorbereid op de invoering van de GDPR. We hebben onze ervaringen, praktische tips en handige templates vanuit dit traject verzameld en gebundeld in het starterspakket Maak jouw organisatie GDPR-ready. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket