Op 1 januari 2016 is de Meldplicht datalekken van kracht geworden. Vanaf die datum zijn organisaties die in de eigen administratie opgeslagen persoonsgegevens van derden kwijt raken, wettelijk verplicht dit binnen 72 uur te melden bij de toezichthouder: de Autoriteit Persoonsgegevens. In sommige gevallen dienen deze datalekken ook te worden gemeld aan de mensen van wie persoonsgegevens zijn gelekt. Het verlies van persoonsgegevens van uw klanten kan niet alleen afbreuk doen aan uw bedrijfsimago en klantvertrouwen, maar kan ook forse financiële consequenties met zich meebrengen. Als blijkt dat de gelekte persoonsgegevens onvoldoende beveiligd waren of onrechtmatig werden verwerkt of wanneer een datalek niet wordt gemeld, kan u een boete worden opgelegd tot maar liefst 820.000 euro of 10% van uw jaaromzet. Kortom: redenen genoeg om hier niet te licht mee om te gaan.
Vanwege de grote belangen die met de Meldplicht datalekken gemoeid zijn, zetten wij hieronder een aantal zaken op een rij die voor u nuttig zijn om te weten.
Wat is een datalek precies?
Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens. Persoonsgegevens zijn verloren gegaan en/of op onrechtmatige wijze verwerkt. Voorbeelden van datalekken zijn het verlies van een USB-stick waarop persoonsgegevens staan, een gestolen laptop, het onbedoeld delen van persoonsgegevens met derden, een inbraak in een databestand door een hacker, het versturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) en het verloren gaan van persoonsgegevens door brand terwijl er geen back-up beschikbaar is.
Moeten alle datelekken worden gemeld aan toezichthouder en/of betrokkenen?
Nee, of een datalek dient te worden gemeld hangt af van de ernst ervan. Volgens de wet moeten ernstige datalekken binnen 72 uur worden gemeld bij de toezichthouder. Bijvoorbeeld wanneer het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig), zoals inloggegevens, financiële gegevens, kopieën van identiteitsbewijzen, school- en werkprestaties en gezondheidsgegevens. Aan klanten of andere betrokken personen moeten datalekken worden gemeld indien deze ongunstige gevolgen hebben voor hun privéleven. Melding is niet nodig wanneer de gelekte persoonsgegevens onleesbaar zijn, bijvoorbeeld door versleuteling (encryptie).
Wat kunt u zelf doen om de kans op datalekken te voorkomen?
- Zorg er in de eerste plaats voor dat de persoonsgegevens die u verwerkt goed zijn beveiligd.
- Wees goed voorbereid op de meldplicht door te inventariseren wie uw gegevens verwerken en of met deze partijen een bewerkersovereenkomst is gesloten.
- Maak een update van uw bewerkersovereenkomsten met een bepaling omtrent datalekken en sluit met elke partij waarmee u samenwerkt een NDA (Non Disclosure Agreement) waarin u persoonsgegevens benoemt.
- Controleer behalve binnen uw eigen bedrijf ook hoe veilig de bedrijven die voor u persoonsgegevens verwerken persoonsgegevens opslaan.
- Neem vanwege de mogelijke boetes en imagoschade in uw communicatieplan een paragraaf op over damage control in het geval van een datalek, waaronder de communicatie hieromtrent naar getroffen klanten en (sociale) media.
- Tot slot, bewaar de communicatie van een mogelijk datalek aan de toezichthouder goed in uw administratie.
Resumerend: voorkomen is áltijd beter dan genezen. Tref preventieve maatregelen om de kans op een datalek tot een minimum te beperken. Met deze handige checklist kunt u de interne en externe factoren herkennen die van invloed zijn op uw digitale risico's. Daarnaast vindt u hier een handige procedure van de stappen die u dient te ondernemen wanneer er een datalek bij uw organisatie geconstateerd wordt.
Publicatiedatum: 01 februari 2016