Een datalek… Dat klinkt als de ver-van-mijn-bed-show. Toch gebeurt het sneller dan je denkt! Wanneer je bijvoorbeeld een USB stick in de trein laat liggen, in de haast je laptop vergeet op locatie of een email met persoonsgegevens naar een verkeerde persoon stuurt, is er per 25 mei 2018 sprake van een datalek. Vanaf dan is de nieuwe Europese wetgeving van kracht* en ben je als bedrijf verplicht een datalek te melden bij de Europese toezichthouder. Als blijkt dat je de data niet zorgvuldig hebt verwerkt en opgeslagen, loopt jouw organisatie kans op een hoge boete. In deze blog leggen we uit wat een datalek is, wat je moet doen als het gebeurt en - allerbelangrijkst - wat je kunt doen om het te voorkomen.
*Deze nieuwe wetgeving heet Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). Deze termen worden door elkaar gebruikt.
Wanneer je geen controle meer hebt over de bestemming van grote aantallen gevoelige persoonsgegevens, spreken we van een datalek. Denk hierbij aan (zeer) gevoelige informatie met betrekking tot gezondheid of geloofsovertuiging, maar ook financiële data of inloggegevens.
Wanneer er gegevens openbaar geworden zijn, meld je dit in eerste instantie bij de Security-afdeling van jouw organisatie. Zij schatten in of er sprake is van een datalek en hoe ernstig de situatie is. Als er sprake is van een datalek zal dat intern gedocumenteerd worden, maar ook publiekelijk bij de Europese toezichthouder.
De toezichthouder gaat dan aan de hand van de gevolgen/risico’s onderzoeken of de organisatie zorgvuldig met de persoonsgegevens is omgegaan. Wanneer dit niet het geval is kan de toezichthouder een boete uitdelen. Die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Daarnaast zijn de gevolgen wat betreft reputatieschade voor de organisatie niet te overzien.
Als event manager werk je vaak op verschillende locaties, ben je veel met persoonsgegevens (bezoekersregistratie) bezig en werk je met verschillende leveranciers die ook persoonsgegevens verwerken. Wanneer één van deze schakels de controle verliest over de data, is er sprake van een datalek.
Het is dus van belang je bewust te zijn van de risico’s, zodat je samen met je collega’s van Security / Legal een werkwijze kunt bepalen waarin je gewoon je werk kunt doen, maar dan op een veilige manier. De volgende stappen zijn cruciaal (en in veel gevallen zelfs verplicht) om een datalek te voorkomen.
Voor iedere organisatie geldt een ander beveiligingsbeleid. Het is belangrijk dat je samen met je collega’s van Security & Privacy een beleid vormt voor het verwerken van persoonsgegevens rondom events. Dit vereist een open aanpak waarin alle partijen het eens zijn over de beveiliging, privacy, zonder dat jouw gebruiksgemak eronder lijdt!
Er is sprake van een datalek wanneer je de controle verliest over de bestemming van (grote aantallen) gevoelige persoonsgegevens. In mei 2018 gaat een nieuwe wetgeving in, waarbij bedrijven zelf verantwoordelijk worden gehouden wanneer er niet zorgvuldig is omgesprongen met de data. De organisatie loopt in dat geval het risico op een (hoge) boete. Het is goed om je te realiseren dat er bij het organiseren van events een behoorlijk hoog risico is op een datalek. Je kunt de risico’s minimaliseren door de procedure voor het verwerken van persoonsgegevens rondom events goed af te stemmen. Begin hier tijdig mee.
Dit is de 2e blog in een reeks van 3, lees ook: