Beveiligingslekken moet u binnen een week verhelpen

Op 11 februari jl. publiceerden wij een nieuwsbericht over de meldplicht van datalekken. Om aan de Wet bescherming persoonsgegevens te voldoen, is ook het waarborgen van de veiligheid van het netwerkverkeer van en naar de organisatie van belang. Zo zijn er bijvoorbeeld protocollen die zorgen voor de versleuteling van het verkeer tussen websites. In één zo’n protocol – SSLv2 – is op 1 maart een lek gevonden.  In de wet hebben organisaties de verplichting om zo’n lek zo snel mogelijk te dichten. Dat komt meestal neer op in ieder geval een update. Laat een orgqanisatie dat na, dan beschouwt de Autoriteit Persoonsgegevens dat mogelijk als een overtreding van de wet. Dit laat de Autoriteit Persoonsgegevens op haar website weten. Datalekken moeten zonder onnodige vertraging en (zo mogelijk) niet later dan 72 uur na de ontdekking worden gemeld. Dit staat in de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens. Als organisaties niet kunnen uitsluiten dat de persoonsgegevens onrechtmatig zijn verwerkt, dan kan de Autoriteit Persoonsgegevens verlangen dat de organisatie de betrokkenen informeert over het datalek.