blog

    Met deze check, voorkomt u een datalek

    Met deze check, voorkomt u een datalek

    Ondernemers die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens (AP), voorheen CPB genaamd. Vragen als, wanneer is sprake van een datalek, wat moet u doen bij een incident en hoe kunnen problemen (en boetes) zoveel als mogelijk worden voorkomen, komen hierna aan de orde.

    Wat is een datalek?

    Bij een datalek gaat het om toegang tot of vernietiging, wijziging, verwerking of het vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie (een inbreuk op de beveiliging van persoonsgegevens). Enkele voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

    Verplicht melden?

    Of u verplicht bent om een melding te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen (de mensen van wie persoonsgegevens zijn gelekt) zal u ook hen moeten informeren. Onlangs heeft de AP beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen u bij het bepalen of er sprake is van een datalek dat u moet melden aan de AP en aan de betrokkenen.

    Als u overigens een aanbieder van een openbare elektronische communicatiedienst bent, dan heeft u te maken met nog een extra meldplicht uit de Telecommunicatiewet. Als u een financiële onderneming hebt zoals bedoeld in de Wet op het financieel toezicht, dan is de verplichting uit de Wbp om datalekken te melden aan de betrokkene niet op u van toepassing. Als u de betrokkenen informeert, doet u dat op grond van uw zorgplicht als financiële onderneming.

    Boete

    De AP kan uw organisatie een boete geven als u een datalek ten onrechte niet meldt. De maximale boete is meer dan € 800.000. Hoewel het uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding, ziet u dat de consequenties van overtreding fors kunnen zijn.

    Tips om datalekken te voorkomen

    Om datalekken te voorkomen, moet u persoonsgegevens volgens de Wbp beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dat is alleen nog zo vaag. We geven u daarom de volgende concrete tips:

    1. Gebruik moderne beveiligingstechnieken. Dit is een open deur, maar vaak wordt bij datalekken de weg van de minste weerstand opgezocht. Dus hoe moderner de beveiliging, hoe kleiner de kans op bijvoorbeeld een hack;
    2. Houd besturingssystemen, browser en hulpprogramma’s up-to-date en maak regelmatig (versleutelde) back-ups;
    3. Beperk de toegang tot uw persoonsgegevens. Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik;
    4. Gebruik verschillende en sterke wachtwoorden. Klik hier voor tips over het instellen van een goed wachtwoord;
    5. Verzamel en gebruik niet meer gegevens dan strikt noodzakelijk. Ook dat lijkt een open deur, maar vaak verzamelen organisaties meer gegevens dan strikt noodzakelijk is. Ook pseudonomiseren kan u helpen;
    6. Communiceer aan en met uw medewerkers, zodat de awareness wordt vergroot;
    7. Probeer een cultuur te creëren waarbij medewerkers zich veilig voelen om u en elkaar te wijzen op risico’s, verdachte zaken en daadwerkelijke datalekken;
    8. Maak duidelijk aan wie een datalek intern binnen uw organisatie gemeld moet worden en stel daarvoor een protocol op;
    9. Maak afspraken met degene die binnen uw organisatie persoonsgegevens bewerkt;
    10. Maak afspraken met uw medewerkers die hun eigen apparaat (telefoon tablet, laptop) gebruiken; en
    11. Maak afspraken over de bescherming van persoonsgegevens met leveranciers/derden die de beschikking hebben over persoonsgegevens via uw organisatie.

    Tot slot

    Indien er ondanks alle maatregelen toch data lekt, dan raden wij u ten slotte aan om ook alvast na te denken over de omgang daarmee. Wie in de organisatie gaat bijvoorbeeld datalekken beoordelen en eventueel melden? Hoe wilt u betrokkenen gaan informeren en hoe wilt u omgaan met signalen uit de buitenwereld over mogelijke datalekken? Dit zijn allemaal vragen waar u als ondernemer een antwoord op behoort te hebben. De beleidsregels van de AP kunnen u daarbij van dienst zijn, maar ook wij helpen u desgewenst graag bij het formuleren en implementeren van uw privacybeleid.