Groot effect van wettelijke meldplicht datalekken

Groot effect van wettelijke meldplicht datalekken
  • 15 december 2015

Per 1 januari 2016 zal in Nederland het wetsvoorstel voor een brede meldplicht datalekken in werking treden. Alle bedrijven, van commerciële organisaties tot goede doelen en overheden die persoonsgegevens verwerken, moeten bij een datalek binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens - nu nog College bescherming persoonsgegevens.

Doet men dat niet, dan kan de Autoriteit Persoonsgegevens een boete opleggen. Deze boete kan oplopen tot € 820.000 of 10 procent van de jaaromzet. Om dergelijke sancties, maar ook merk- of reputatieschade te voorkomen, is het daarom van groot belang dat iedere organisatie privacy hoog op de agenda heeft staan en gereed is voor de meldplicht datalekken.

Wat zijn persoonsgegevens?
Om de impact van de meldplicht datalekken te kunnen overzien is het goed om eerst even terug te gaan naar de basis. Bij persoonsgegevens gaat het om alle informatie die direct of indirect herleidbaar is tot een individu. Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers, e-mailadressen en banknummers zijn persoonsgegevens. Heb je als organisatie beschikking tot dergelijke gegevens van klanten, prospects of medewerkers? Dan is de meldplicht datalekken ook op jou van toepassing.

Wat is een datalek?
Er is sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens. Hierbij gaat het om vernietiging, wijziging of het anderszins vrijkomen van persoonsgegevens door een organisatie. Bijvoorbeeld doordat een laptop of smartphone is gestolen waarop persoonsgegevens staan. Of als er is ingebroken in een databestand, een USB-stick of een andere gegevensdrager met persoonsgegevens is kwijtgeraakt. Of als een onbevoegde, bijvoorbeeld een oud-medewerker, een kopie van databestanden heeft gemaakt.

Wat houdt het melden van een datalek dan in?
Wanneer er een datalek optreedt waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens, kan de verplichting ontstaan dit te melden bij de Autoriteit Persoonsgegevens. ‘Kan ontstaan’. Ja, je leest het goed. Er moet eerst door de organisatie een afweging voor het melden van het datalek worden gemaakt.
Of een datalek wel of niet moet worden gemeld, hangt af van de situatie. De inbreuk moet ‘ernstig’ zijn, en wat ernstig is moet je als organisatie zelf bepalen. Bij het maken van deze afweging moet eerst worden gekeken naar welk type gegevens gelekt is en ook om hoeveel gegevens het gaat. Een lek van 50 e-mailadressen van klanten hoeft waarschijnlijk niet gemeld te worden. Een lek van 15.000 namen, adressen en bankrekeningnummers vrij zeker wel.
Naast melding bij de Autoriteit Persoonsgegevens zullen in bepaalde gevallen ook de betrokkenen over het datalek moeten worden geïnformeerd. Dat zijn dus de personen van wie de gegevens zijn gelekt. Ook hierbij hangt het van de ernst van het datalek af of dit wel of niet verplicht is.

Groot boeterisico
Voorheen werden boetes van het CBP niet zo gevreesd. De hoogte van een boete was namelijk maximaal € 4.500. De afweging voor het bewust en accuraat naleven van de Wet bescherming persoonsgegevens of het riskeren van een boete van maximaal € 4.500, was daarom vaak snel gemaakt. Maar de boetes die de Autoriteit Persoonsgegevens nu op kan leggen kunnen wel oplopen tot € 820.000 of maximaal 10% van de omzet van de overtreder. 

Merk- en reputatieschade
Maar merk- of reputatieschade is natuurlijk minimaal even vervelend als een boete. De Autoriteit Persoonsgegevens heeft gezegd dat datalekken in principe niet openbaar worden gemaakt, maar de kans dat gemelde datalekken publiekelijk bekend raken is evenwel reëel. Doordat daarnaast bepaalde datalekken ook aan de betrokkenen gemeld moeten worden, is dat de kans dat door een datalek het vertrouwen van de klant en dus de loyaliteit worden aangetast groot. Hoe die melding wordt gedaan kan een organisatie zelf bepalen. Dat mag schriftelijk of telefonisch.

Grip op compliance
Anno 2016 is het steeds meer van belang dat privacy grondig wordt aangepakt. Privacy is een zaak van de hele organisatie en dus een boardroomonderwerp. Als dat niet het geval is, zal de organisatie op privacygebied niet goed presteren en daar kleven dus grote risico’s aan vanaf 1 januari aanstaande. Aantoonbare compliance is het toverbegrip. Hoe gaat uw organisatie dit aanpakken?

KADER: Inrichting, controle en ­bewerkersovereenkomsten
Een datalek uitsluiten is lastig, maar het is wel mogelijk om de kans hierop beperkt te houden. Zorg daarom dat je als organisatie de juiste maatregelen treft:
•    Stel iemand binnen de organisatie als functionaris aan die het mandaat heeft om de beslissing te maken om een datalek wel of niet te melden.
•    Zorg voor een goede beveiliging van de data volgens ‘de laatste stand van de techniek’.
•    Maak goede afspraken met bewerkers en zorg dat deze zijn vastgelegd in kwalitatief goede en volledige bewerkersovereenkomsten. Organisaties zijn namelijk zelf verantwoordelijk voor het melden van een datalek. En die verantwoordelijkheid kan niet worden verlegd naar bijvoorbeeld een bewerker. Een bewerkersovereenkomst kan in het geval van een onderzoek door de Autoriteit Persoonsgegevens naar aanleiding van een datalek zelfs een cruciaal document zijn.
•    Zorg dat de interne, maar ook de privacygerelateerde processen van bewerkers op een zodanige manier zijn ingericht dat de kans op een datalek aanzienlijk wordt verkleind. Bijvoorbeeld door controles bij bewerkers van de verantwoordelijke uit te voeren en hierbij de naleving van beveiligingsvereisten en het respecteren van gestelde bewaartermijnen te onderzoeken.
•    In geval van een datalek moet je ervoor zorgen dat het proces van de melding intern goed verloopt, zodat ook daadwerkelijk aan de wettelijke meldplicht datalekken kan worden voldaan.
•    Twijfel je of jouw organisatie klaar is voor de meldplicht datalekken of ontstaat er na 1 januari een datalek en weet je niet wat je moet doen? Laat je dan adviseren door een (externe) compliancespecialist.

Tekst: Patrick Jordens, oprichter van DMCC Nederland en compliancespecialist op het gebied van privacy en consumentenbescherming en bestuurslid van DDMA.

comments powered by Disqus
  • Deel dit artikel
  • Reacties
  • Link