• Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de voettekst

NextensNextens

Fiscaal partner van professionals

  • Onze producten
    • Aangiftesoftware
      • Inkomstenbelasting
      • Omzetbelasting
      • Vennootschapsbelasting
      • Schenkbelasting en Erfbelasting
      • Nextens eXcellerate
      • Alle aangifteoplossingen
    • Fiscaal advies als service (Faas)
      • Strategische adviessignalen
      • Operationele adviessignalen
      • Alle adviesoplossingen
    • Kennisoplossingen
      • Nextens Naslag
      • Belastingalmanakken
      • Vakliteratuur
      • Alle kennisoplossingen
    • Workflowtools
      • Tools en templates
      • Dashboards
      • Klantportaal
      • Analysetool
      • Procesregistratie
      • Koppelingen
      • Alle workflowtools
    • Voor wie zijn wij er?
      • Fiscalist
      • Accountant
      • Belastingadviseur
      • Administratie- en boekhoudspecialist
      • Bedrijfsleven
      • Alle beroepsgroepen
  • Fiscaal nieuws
    • Nieuws
      • Laatste nieuws
      • Nieuws thema’s
      • Nextens product nieuws
      • Prinsjesdag 2021
      • Alle nieuws items
    • Achtergrond
      • Kennisdocumenten
      • Podcasts
      • Videos
      • Alle achtergrond items
  • Aan de slag met Nextens
    • Direct starten
      • Starter?
      • Overstapper?
      • Desktop naar cloud?
      • Nextens Academy
      • Nextens Support
      • Alles over direct starten
    • Onze producten
      • Aangiftesoftware
      • Fiscaal advies als service (Faas)
      • Kennisoplossingen
      • Workflowtools
      • Al onze producten
    • Voor wie zijn wij er?
      • Fiscalist
      • Accountant
      • Belastingadviseur
      • Administratie- en boekhoudspecialist
      • Bedrijfsleven
      • Alle beroepsgroepen
  • Over ons
    • Over Nextens
      • Visie Nextens
      • Historie Nextens
      • In de pers
      • Veiligheid
      • Vacatures
      • Alles over Nextens
    • Ontwikkelingen
      • Productnieuws
      • Koppelingen
      • RGS
      • Nextens Denktank
      • Meer ontwikkelingen
    • Organisatie
      • Part of Relx
      • LexisNexis Risk Solutions
      • Zuster van XpertHR
      • Alles over onze organisatie
    • Contact
      • Accountmanagers
      • Klantenservice
      • Technische support desk
      • Al onze contactgegevens
  • Login
  • Probeer nu
Home Fiscaal nieuws Datalek of beveiligingslek?
Fiscale vak

Datalek of beveiligingslek?

Beheerder04 mei 2016

Wijziging Wet Bescherming Persoonsgegevens

Iedereen die werkt met persoonsgegevens krijgt te maken met de aanpassing van de Wet bescherming persoonsgegevens (Wbp). Vanaf 1 januari van dit jaar is het verplicht om een datalek of als de kans bestaat dat persoonlijke gegevens worden vrijgegeven, binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP), voorheen College bescherming persoonsgegevens (CBP). In de eerste tien weken dat deze wet van kracht is, zijn er al 700 datalekken gemeld, waarvan er 450 serieus nader onderzocht moesten worden. Daarnaast is nu ook de verwerker van persoonsgegevens aansprakelijk voor deze gegevens. Dit geldt ook als uw klant inlogt bij uw leverancier via bijvoorbeeld een portal. U blijft medeverantwoordelijk. Wordt de Wbp overschreden, dan kan de AP een boete opleggen van 10% van de jaaromzet indien passend, tot maximaal € 820.000. Bij het opleggen van de boete wordt rekening gehouden met de maatregelen die uzelf genomen had om de veiligheid te waarborgen. Daarnaast wordt er gekeken of er sprake is van een incident of van een herhaling. Vanaf 2018 zullen de sancties vele malen hoger worden doordat de Europese Unie er meer bij betrokken wordt. Dan is het mogelijk om een boete opgelegd te krijgen tussen de € 10 miljoen tot € 20 miljoen.

Gevoelige informatie

Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Hoe gevoeliger de informatie, hoe hoger het niveau van bescherming moet zijn. De wet is nog niet geheel sluitend over wat precies allemaal onder ‘gevoelige’ informatie valt, maar de wet geeft al wel een richting. Belangrijk om te weten is dat losstaande gegevens niet veel zeggen over een persoon en dan niet als ‘gevoelig’ worden aangemerkt. Zodra er meer zaken van een persoon naar buiten komen, waardoor een persoon dus identificeerbaar wordt, kan er profiling plaatsvinden en zijn de gegevens gevoelig. De wet heeft een aantal categorieën persoonsgegevens aangemerkt als gevoelig: ras, gezondheid, godsdienst, levensovertuiging of politieke gezindheid. Daarnaast spreekt het voor zich dat gegevens als: NAW, telefoonnummers, e-mailadres, leeftijd, CV en financiële gegevens ook gevoelig zijn .

Verschil datalek of beveiligingslek

Dan is er nog het verschil tussen een datalek en een beveiligingslek. Het verschil is belangrijk omdat een beveiligingslek niet verplicht gemeld hoeft te worden, terwijl het melden van een datalek wel verplicht is. We spreken van een datalek als er toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Voorbeelden hiervan zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Er is een toename aan criminaliteit binnen het stelen van informatie, omdat dit veel oplevert. Maar een datalek kan ook al ontstaan door gevoelige informatie naar de verkeerde persoon te e-mailen of door de naïviteit van onszelf door bijvoorbeeld te makkelijke wachtwoorden te gebruiken. 123456 staat al jaren stipt op nummer één als meest gebruikte wachtwoord. Dit zijn allemaal voorbeelden van datalekken. Maar, als er alleen sprake is van een zwakke plek in de beveiliging, dan spreken we van een beveiligingslek en niet van een datalek. Een beveiligingslek hoeft dus niet verplicht gemeld te worden.

Betrokkene, verantwoordelijke of bewerker

Wie wordt er allemaal verantwoordelijk gehouden bij een datalek? Met de wetswijziging is uw bedrijf, met alle medewerkers er in, ook verantwoordelijk voor de beveiliging van de persoonsgegevens van uw klant. Niet meer alleen uw IT-leverancier. De wet beschrijft van verschillende actoren hun rechten en plichten met betrekking tot de omgang met persoonsgegevens:

  • Betrokkene: dit is de natuurlijke persoon van wie de persoonsgegevens verwerkt worden.
  • Verantwoordelijke: hij is degene die de gegevens verwerkt (de verwerker) of dat onder zijn zeggenschap laat doen.
  • Bewerker: dit is de persoon die ten behoeve van de verantwoordelijke het verwerkingsproces uitvoert. De bewerker is een externe partij waaraan de verantwoordelijke zijn werk heeft uitbesteed.

Aansprakelijkheid

Zowel u, als cloudafnemer (in de wet verantwoordelijke genoemd), als de bewerker (cloudprovider) zijn met deze wetswijziging verantwoordelijk en aansprakelijk voor de persoonsgegevens. Het alleen contractueel vastleggen is dus niet meer genoeg. Er moeten duidelijke afspraken gemaakt worden hoe de bewerker de data bewerkt. Hiervoor moet er een bewerkersovereenkomst worden opgesteld tussen de verantwoordelijke en de bewerker. Het valt onder de verantwoordelijkheid van de ‘verantwoordelijke’ dat dit ook gebeurt. Over het algemeen zijn de volgende onderwerpen in de meeste bewerkersovereenkomsten terug te vinden: bewerking in overeenstemming met instructies verantwoordelijke, geheimhouding, beveiligingsmaatregelen, inschakelen van derden en onderaannemers, locatie van de data, audits en aansprakelijkheid. Het is wel aan te raden om er een jurist bij te halen bij het opstellen van de bewerkersovereenkomst.

Succesvolle strategie

Om als onderneming aan de nieuwe regelgeving te voldoen, geeft Factor50 vijf bouwstenen om een succesvolle strategie op te stellen. Factor50 helpt organisaties om de veiligheid van hun informatie op het juiste niveau te brengen en te behouden.

De vijf bouwstenen:

  • De mens als sterkste schakel. Als we het hebben over het beveiligen van informatie, denken de meesten aan het verbeteren van techniek. Echter, 30% van de techniek geeft de oplossing. De overige 70% van de veiligheid ligt bij het gedrag van de medewerkers. Bewustwording bij alle medewerkers geeft dus vooralsnog de meeste winst. Neem bijvoorbeeld het eerder genoemde voorbeeld van de makkelijk te kraken wachtwoorden.
  • Veiligheid moet georganiseerd worden, het organiseert zich niet vanzelf. Maak een heldere beschrijving van de taken en bevoegdheden van de verschillenden rollen. Zorg ook dat dit bekend is binnen de organisatie en de gegevens bij de hand zijn voor het geval er meteen ingegrepen moet worden bij een datalek.
  • De waarde van informatie bepalend. Ken het juiste beschermingsniveau toe. De wet schrijft voor dat persoonsgegevens in een hogere vertrouwelijkheidscategorie vallen. Daarnaast zijn er andere soorten van informatie die niet wettelijk beschermd moeten worden, maar wel noodzakelijk zijn voor de continuïteit van de organisatie, zoals de financiële administratie en intellectueel eigendom.
  • Het belangrijkste eerst. Stel prioriteiten, bijvoorbeeld in ranking van de belangrijkste risico’s.
  • Leer van incidenten en datalekken. Veel organisaties reageren ad hoc bij incidenten zoals datalekken. Voorkom dit door een goede incidentenregistratie.

Veiligheid van Nextens

Nextens is volgens de wet de ‘bewerker’ en hebben dus ook onze verantwoordelijkheid genomen. U, als klant van Nextens, hebt ook met ons een bewerkersovereenkomst afgesloten. In de Algemene Voorwaarden die aan het contract zitten, is de bewerkersovereenkomst opgenomen. Bij het tekenen van het contract, bent u dus ook akkoord gegaan met deze overeenkomst.

Om als softwareleverancier aan de wet te voldoen, moeten wij de beveiligingsvoorschriften volgen volgens de ISO norm 27001. Er zijn daarvoor zes onderwerpen waaraan wij moeten voldoen en ook aan voldoen:

  • Organiseren van informatiebeveiliging, bijvoorbeeld: wat zijn de rollen en verantwoordelijkheden bij informatiebeveiliging;
  • Veilig personeel, bijvoorbeeld: screening en bewustzijn, opleiding en training ten aanzien van informatiebeveiliging;
  • Leveranciersrelaties, bijvoorbeeld: opnemen van beveiligingsaspecten in leveranciersovereenkomsten;
  • Beheer van informatiebeveiligingsincidenten, bijvoorbeeld: rapportage van informatiebeveiligingsgebeurtenissen;
  • Informatiebeveiligingsincidenten van bedrijfscontinuïteitsbeheer, bijvoorbeeld: informatiebeveiligingscontinuïteit plannen en implementeren;
  • Naleving, bijvoorbeeld: naleving van beveiligingsbeleid en –normen.
Artikel delen:
  • Facebook
  • Twitter
  • email
  • Linkedin

Anderen bekeken ook

Column

31 aug 2021

4 Min

Voorontwerp Tijdelijke wet transparantie turboliquidatie

Op 27 juli 2021 is de internetconsultatie van het Voorontwerp van de Tijdelijke wet transparantie turboliquidatie (hierna: voorontwerp) gesloten. Het ...    >

Bekijk meer

Nieuws

8 aug 2022

4 Min

Stiekem opgenomen audio bewijst gesjoemel Delger

Het doek is gevallen. Voormalig bestuursvoorzitter van 'boerenaccountant' Accon avm, Guus Delger rommelde zelf met de boeken. Dat blijkt uit ...    >

Lees meer

Nieuws

5 aug 2022

2 Min

Uitstel UBO-register bevestigd

Het ministerie van Financiën heeft laten weten dat de regeling UBO-register nogmaals wordt uitgesteld. Het lukt de Kamer van Koophandel ...    >

Lees meer

Nieuws

4 aug 2022

3 Min

Oordeel fiscus over aangifte omzetbelasting is leidend bij TVL-aanvraag

De RVO is teruggeroepen door het College van Beroep voor het bedrijfsleven (CBb). De RVO wees de TVL-aanvragen van een ...    >

Lees meer

Net als 20.000 anderen het meest actuele fiscale nieuws?

Schrijf je in voor onze nieuwsbrief

Jouw fiscaal partner

Neem voor meer informatie contact op met onze adviseurs

Footer

  • Onze producten
  • Aangiftesoftware
  • Kennisoplossingen
  • Advies en workflow
  • Voor wie zijn wij er?

  • Aan de slag met Nextens
  • Direct starten
  • Nextens Academy
  • Nextens Support
  • Over ons
  • Over Nextens
  • Ontwikkelingen
  • Contact
  • Accountmanagers
  • Klantenservice
  • Technische Support Desk
  • Contactgegevens
Relx Logo
Relx Logo

  • Copyright © 2022 LexisNexis Risk Solutions Group - auteursrecht voorbehouden
  • Nextens is part of Relx and the LexisNexis® Risk Solutions Group portfolio of brands
  • Terms and conditions
  • Security
  • Privacybeleid
  • Cookieverklaring