Meldplicht datalekken: gaat u juist om met persoonsgegevens en bent u voorbereid op een datalek?

Onlangs verzorgden wij voor ondernemers een kennislunch ‘Wet Meldplicht datalekken’.

Tijdens deze lunch bleek niet alleen dat veel ondernemers niet of nauwelijks weten dat zij vanaf 1 januari van dit jaar verplicht zijn een datalek te melden, maar ook dat veel ondernemers nog steeds onbewust onzorgvuldig omgaan met persoonsgegevens.

In dit artikel zetten we de meest relevante onderwerpen en actiepunten nog eens voor u op een rij.

Persoonsgegevens zijn alle data die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Voorbeelden zijn naam, adres en woonplaats, maar ook telefoonnummer en BSN-nummer. Persoonsgegevens dienen door de verantwoordelijke tegen verlies en onrechtmatige verwerking te worden beveiligd. U dient als bedrijf dus preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen.

In veel gevallen wordt het verwerken van persoonsgegevens door de verantwoordelijke uitbesteed aan een bewerker. Data kan bijvoorbeeld opgeslagen staan bij een hostingprovider of toegankelijk zijn voor een clouddienstverlener die updates uitvoert. In een bewerkersovereenkomst met de bewerker dient te worden vastgelegd op welke wijze u op de hoogte wordt gesteld van een datalek.

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Er is dus sprake van vernietiging/verlies van persoonsgegevens of van onrechtmatige verwerking (onbevoegde kennisneming of wijziging) van persoonsgegevens. Denk hierbij niet alleen aan een verloren USB-stick of gestolen laptop met persoonsgegevens of aan een inbraak in een databestand door een hacker, maar ook aan e-mail naar 600 geadresseerden met alle e-mailadressen zichtbaar of een encrypted USB-stick die wordt gestolen waarbij geen back-up beschikbaar is.

Afhankelijk van de aard en omvang van het datalek en de aard van de gelekte persoonsgegevens dient melding van het datalek plaatsvinden bij de Autoriteit Persoonsgegevens en eventueel ook aan betrokkene.

Wanneer een datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, dient het lek onverwijld te worden gemeld bij de Autoriteit Persoonsgegevens. Melding kan gebeuren via een uitgebreid webformulier op de website van de Autoriteit Persoonsgegevens.

Wanneer een datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, dient het lek tevens onverwijld te worden gemeld aan betrokkene, degene wiens persoonsgegevens het betreft. Deze kan dan maatregelen treffen, zoals het wijzigen van wachtwoorden of het blokkeren van bankpasjes. Melding aan betrokkene kan alleen achterwege blijven wanneer passende technische beschermingsmaatregelen zijn genomen waardoor de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt. Neem dus cryptografische maatregelen, zoals encryptie, hashing, etc.

Aan de hand van de door de Autoriteit Persoonsgegevens opgestelde beleidsregels kan beoordeeld worden of al dan niet gemeld moet worden. Zo zal een lek van bijzondere persoonsgegevens (gegevens omtrent gezondheid, ras, godsdienst, strafrechtelijk verleden, etc.) of financiële data (schulden, salaris, etc.) zeker gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Niet, niet-tijdig en/of onjuist melden kan leiden tot een boete die kan oplopen tot EUR 820.000.

Voor u als ondernemer hebben we dan ook de volgende tips & tricks:

  • Inventariseer waar in uw onderneming welke gegevens worden verwerkt met bijzondere aandacht voor de verwerking van persoonsgegevens;
  • Leg alleen persoonsgegevens vast die u daadwerkelijk nodig hebt voor uw bedrijfsvoering;
  • Inventariseer welke partijen uw gegevens verwerken en of met deze partijen een bewerkersovereenkomst is gesloten;
  • Inventariseer de mogelijke risico’s van verlies van gegevens (Privacy Impact Assessment);
  • Stel een datalekprotocol (actieplan) op met – bij grotere ondernemingen – een beslismodel in uw organisatie;
  • Beveilig (draagbare) apparatuur die voor opslag van persoonsgegevens wordt gebruikt;
  • Creëer intern beleid voor het omgaan met persoonsgegevens (Hotmail, Whatspp, Dropbox, BYOD) en zorg voor controle en handhaving daarvan;
  • Check uw (bewerkers)overeenkomsten en pas deze zo nodig aan: bent u verantwoordelijke of bewerker? Bent u meldplichtig als verantwoordelijke/bewerker? Is aansprakelijkheid beperkt/verlegd? Welke informatie ontvangt u en hoe?
  • Ga na bij uw verzekeraar of tussenpersoon of u verzekerd bent tegen het lekken van persoonsgegevens (cyberrisicoverzekering).

Wat kunnen wij concreet voor u als ondernemer betekenen?

  • Advisering en begeleiding bij het opstellen van een privacy Impact Assessment;
  • Advisering en begeleiding bij het opstellen van intern (personeels)beleid;
  • Opstellen en checken van ICT- en bewerkersovereenkomsten
  • Advisering en begeleiding bij (mogelijk) datalek en melding aan Autoriteit Persoonsgegevens en/of betrokkene;
  • Advies en/of bijstand in eventuele vervolgprocedures (civiel en/of strafrechtelijk).

Heeft u dus vragen over hoe u afspraken met derde partijen moet regelen of heeft u hulp nodig bij het opstellen van een interne procedure voor het melden van een datalek? Of twijfelt u of u een datalek moet melden aan de Autoriteit Persoonsgevens en/of betrokkene?

Neemt u dan contact op met Joop Jansen (E: joop@dexlegal; T: 06-24887425) of Arie Johan van de Graaf (E: ajvdg@dexlegal.nl; T: 06-46377852).