Overslaan en naar de inhoud gaan

Datalekbepaling is aan datalekker zelf

Het is aan een organisatie zelf om te bepalen of een datalek bij de Autoriteit Persoonsgegevens moet worden gemeld. Dat schrijft minister Dekker van Rechtsbescherming in antwoorden op vragen van PVDA-Kamerlid Kuiken. “Een bedrijf dat persoonsgegevens verwerkt, dient dus zelf vast te stellen of er sprake is van een datalek dat bij de Autoriteit Persoonsgegevens moet worden gemeld.”
Datalek
© Shutterstock
Shutterstock

Of een datalek moet worden gemeld hangt af van een aantal dingen: gaat het om een lek met persoonsgegevens en is de data toegankelijk na het lek. Als een organisatie passende technische maatregelen heeft genomen, encryptie bijvoorbeeld, zodat de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn die geen recht heeft op kennisname van die gegevens.

Naast dat het lek gemeld moet worden aan de Autoriteit, dient ook de getroffen persoon geïnformeerd te worden, zegt de minister. Dat dient op individuele basis te gebeuren. En de persoon moet informatie krijgen om de negatieve gevolgen van het datalek te beperken, zoals het wijzigen van de gebruikersnamen en wachtwoorden. Daarnaast kan ook algemene voorlichting worden gegeven, bijvoorbeeld op de website van het bedrijf.

Boete en onderzoek

Mocht een datalek niet worden gemeld en komt de Autoriteit Persoonsgegevens er wel achter, dan kan er een boete worden opgelegd, schrijft de minister. Ook is de Autoriteit bevoegd om onderzoek te doen naar mogelijke overtredingen van de wet.

De minister reageert indirect op het datalek bij Uber, waarbij data van 57 miljoen mensen werd gestolen bij Uberwaaronder 174.000 Nederlanders. Uber verzweeg de hack in eerste instantie, betaalde de dieven een bedrag van 100.000 dollar om hun daad stil te houden en de buit te vernietigen en meldde de diefstal pas maanden later aan de Autoriteit Persoonsgegevens.

Overigens is Uber niet het enige bedrijf dat een datalek verzwijgt. Slechts 11 procent van organisaties licht klanten direct in na een datalek. De helft brengt klanten niet volledig op de hoogte in geval van datadiefstal, aldus een jaarlijks onderzoek van CyberArk. Het informeren van klanten komt ná andere prioriteiten zoals: het inlichten van directie en medewerkers, het updaten van securitysystemen, het weer op gang brengen van de organisatie, en het beheren van de eigen reputatie en communicatie.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in