lek

ConflICT: Meldplicht datalekken

30 oktober 2015

En dat is nog niet alles. Wie data laat lekken of persoonsgegevens verwerkt zonder zich aan de wet te houden, loopt kans op boetes die kunnen oplopen tot 810.000 euro of 10 procent van de jaaromzet per overtreding. Wat betekent dit voor uw bedrijf?

1. Wat is een datalek?

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Kortom: een vrij brede definitie.

Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) telt al als datalek. Zelfs verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen back-up beschikbaar is, ziet de wet als een datalek. Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen, zijn geen datalekken.

U dient als bedrijf preventief de beveiligingsmaatregelen te nemen om datalekken te voorkomen, bijvoorbeeld door gebruik van encryptietechnieken.

2. Wanneer moet u een datalek melden aan de toezichthouder?

Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:

  • Inloggegevens;
  • Financiële gegevens;
  • Kopieën van identiteitsbewijzen;
  • School- of werkprestaties;
  • Gegevens die betrekking hebben op levensovertuiging;
  • Gegevens die betrekking hebben op gezondheid.

3. Wanneer moet u een datalek melden aan de getroffen personen?

Indien het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dient u het lek tevens binnen twee werkdagen te melden aan deze personen. Ongunstige gevolgen zijn bijvoorbeeld identiteitsfraude, discriminatie of reputatieschade. Wanneer kwantitatief ernstige gegevens (zie vorige vraag) zijn gelekt, is eigenlijk altijd sprake van een ongunstig gevolg. Dit moet dus ook altijd worden ­gemeld aan de getroffen personen.

4. Wanneer hoeft u een datalek niet te melden?

Een datalek hoeft niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop, mits niemand die gegevens heeft kunnen inzien.

De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen personen, ligt te allen tijde bij u. Echter, maakt u een onjuiste inschatting dat er geen melding nodig is, dan kunt u dáár ook voor op de vingers getikt worden.

5. Wat kunt u doen ter voorbereiding?

Goed voorbereid zijn op de meldplicht datalekken? Onderneem dan de volgende acties:

  • Inventariseer wie uw gegevens verwerken en of met hen een bewerkersovereenkomst is gesloten;
  • Update uw bewerkersovereenkomsten met een bepaling omtrent datalekken;
  • Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement) waarin u persoonsgegevens benoemt;
  • Controleer hoe de bedrijven die voor u persoonsgegevens verwerken deze gegevens opslaan. ­Gebeurt dit veilig? Controleer dit uiteraard ook binnen uw eigen bedrijf;
  • Ga na bij uw verzekeraar of verzekeringstussenpersoon of u verzekerd bent tegen het lekken van persoonsgegevens (een cyberrisico-verzekering);
  • Hanteer intern een procedure voor de omgang met, en melding van, datalekken. 
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!