Sinds 1 januari 2016 heeft iedere ondernemer een meldplicht bij datalekken, bijvoorbeeld door het kwijtraken van een USB-stick of een laptop, computerinbraak door een hacker, enz. Wat zegt de nieuwe wet dat u dan absoluut moet doen?

Vertrouwelijke gegevens
In de moderne tijd zitten de persoonsgegevens van iemand in vele honderden bestanden van bedrijven en overheidsorganisaties. Met deze gegevens dienen ondernemers vertrouwelijk om te gaan, anders komen ze in strijd met de Wet bescherming persoonsgegevens. Dat betekent dat iedere ondernemer passende maatregelen moet nemen om ervoor te zorgen dat persoonsgegevens van klanten, contractpartijen of van werknemers niet op straat komen te liggen. Is dat ondanks alle beveiligingsmaatregelen toch het geval, dan wordt gesproken van datalekken.

Kwijtraken USB-stick, laptop, enz.
Van een datalek is sprake wanneer er persoonsgegevens verloren gaan of als een bedrijf (of overheidsorganisatie) niet kan uitsluiten dat persoonsgegevens op onrechtmatige wijze worden verwerkt of door derden worden ge(mis)bruikt. Een datalek kan onder meer ontstaan door het kwijtraken van een USB-stick met persoonsgegevens, door verlies of diefstal van een pc of laptop of door inbraak in het databestand van een bedrijf door een hacker. Maar een datalek kan ook ontstaan door een fout van een medewerker die persoonlijke informatie abusievelijk toestuurt naar de verkeerde partij.

Gegevens van gevoelige aard
Het moet dan gaan om verlies van gegevens die voor de betrokken persoon van gevoelige aard zijn. Dat zijn met name:

  • financiële of economische gegevens;
  • gegevens die gebruikt kunnen worden voor (identiteits-)fraude, zoals kopieën van legitimatiebewijzen of het BSN-nummer;
  • gebruikersnamen, wachtwoorden en inloggegevens;
  • bijzondere persoonsgegevens, zoals iemand godsdienst, ras of levensovertuiging;
  • andere gegevens die tot stigmatisering of uitsluiting van de betreffende persoon kunnen leiden, zoals strafrechtelijke persoonsgegevens, gegevens over drank- of gokverslaving of gegevens over de prestaties op het werk.

Melden
Bestaat de kans dat het datalek tot ernstige gevolgen voor de betreffende persoon kan leiden, dan is het bedrijf verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens. Dat kan online via deze website onder het kopje ‘Meldplicht datalekken’. Deze wettelijke meldplicht geldt sinds 1 januari 2016. Ook moet u het datalek melden aan de persoon van wie de gegevens verkeerd zijn verwerkt of in handen van derden zijn gekomen. Deze verplichting geldt met name als valt te verwachten dat het datalek ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokken persoon zal hebben.

Snel reageren
De wet zegt dat een datalek zo snel mogelijk moet worden gemeld. Dat moet in ieder geval binnen 72 uur na ontdekking van het datalek. Deze verplichting moet niet te gemakkelijk opzij worden geschoven. Als achteraf blijkt dat een datalek voor een of meerdere personen ernstige nadelige gevolgen heeft en er is niet (of te laat!) voldaan aan de meldplicht, dan riskeert de ondernemer een boete die tot € 820.000 kan oplopen!

Wat te doen?
U kunt een boete voorkomen door maatregelen ter bescherming van de persoonsgegevens te nemen, een passend beleid op te stellen en een datalek, als daar aanleiding toe is, te melden bij de Autoriteit Persoonsgegevens.

Een aantal tips om datalekken te voorkomen:

  • neemt u gevoelige gegevens mee, bijvoorbeeld op een USB-stick? Zorg dan dat ze versleuteld zijn;
  • geen persoonsgegevens versturen via WhatsApp, gratis e-mailaccounts of gratis opslag in de cloud;
  • zorg dat e-mail en opslag en/of verwerking van gevoelige gegevens door een gecertificeerd bedrijf (ISO 27001) gebeurt. Maak in ieder geval duidelijke afspraken op papier, een ‘bewerkersovereenkomst’, met het betreffende bedrijf;
  • voer een risicoanalyse uit op de processen waar gegevensuitwisseling plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen;
  • de meeste lekken ontstaan door menselijke fouten. Zorg daarom dat oplossingen gebruiksvriendelijk zijn;
  • zorg dat medewerkers zich bewust zijn van de bedreigingen;
  • stel een overzicht op wie bevoegd is om welke gegevens te bekijken/verwerken;
  • maak een protocol ‘melding datalekken’ en bepaal de verantwoordelijkheden hierbij. Zodat, als er een datalek is, iedereen weet wat hij moet doen;
  • houd een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. U kunt van de incidenten leren en u kunt aantonen dat u zicht hebt op de fouten binnen uw organisatie.

 

 

 

Ga terug

Aanmelden Nieuwsbrief

MevrouwHeer


Door aanmelding op de nieuwsbrief stem ik ermee in akkoord te zijn met de voorwaarden en de privacyverklaring van Accountantskantoor de Lange
Klik hier voor de privacyverklaring