Wolters Kluwer
Vaktechniek door Menno Weij 24 februari 2016

Bescherm je kantoor tegen datalekken

Het kan je haast niet ontgaan zijn: op 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) op een aantal onderdelen gewijzigd. Een van die wijzigingen is de invoering van de zogenaamde meldplicht bij datalekken. Het niet naleven hiervan kan grote (financiële) gevolgen hebben. Wat betekent dit voor jouw kantoor? Ik geef je graag een uitleg.

Eerst maar eens een introductie over het begrip 'datalek'. 

Wat is een datalek

Er is sprake van een datalek als zich een inbreuk op de beveiliging van persoonsgegevens heeft voorgedaan. Dit is niet alleen het geval als een hacker toegang tot die gegevens krijgt. Bij een beveiligingsincident kan bijvoorbeeld ook worden gedacht aan het kwijtraken van een USB-stick, een gestolen laptop of zelfs het sturen van een mailing met de e-mailadressen in het CC-veld, in plaats van het BCC-veld.

Maar niet ieder beveiligingsincident is ook daadwerkelijk een datalek. Er is pas sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking van persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Onder onrechtmatige vormen van verwerking vallen onder andere de aantasting of wijziging van de persoonsgegevens, onbevoegde toegang, of afgifte daarvan.

Datalek melden bij toezichthouder

De Autoriteit Persoonsgegevens heeft beleidsregels* opgesteld aan de hand waarvan je kunt beoordelen of je een melding moet maken bij de toezichthouder. Niet iedere datalek hoeft immers te worden gemeld aan de toezichthouder. Pas wanneer een datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet melding worden gemaakt. Bij die beoordeling speelt de aard van de gelekte persoonsgegevens een belangrijke rol. Als persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Hierbij kun je denken aan bijzondere persoonsgegevens, zoals medische gegevens. Maar ook gegevens over de financiële of economische situatie van personen, zoals gegegevens over schulden, salarissen en betalingsgegevens, zijn gegevens van gevoelige aard.

Informeren getroffen personen

Als een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat je dit datalek ook moet melden aan de personen waarvan gegevens zijn gelekt. Hiervoor dient een aparte afweging te worden gemaakt. Je moet een melding doen aan de getroffen personen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Personen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij kun je onder meer denken aan onrechtmatige publicatie, reputatieschade, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er in principe vanuit gaan dat je het datalek niet alleen moet melden aan de Autoriteit, maar ook aan de getroffen personen.

Gevolgen datalek

Bij overtreding van de meldplicht, het niet op orde hebben van adequate beveiliging of het verwerken van persoonsgegevens zonder toestemming, kan de Autoriteit een bestuurlijke boete opleggen. Deze boete bedraagt per 1 januari 2016 maximaal 820.000 euro, of 10 procent van de jaaromzet voor zover 820.000 euro geen passende bestraffing zou zijn. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit eerst een bindende aanwijzing opleggen voorafgaand aan een eventuele boete.  

In de meeste gevallen wordt de boete opgelegd aan het bedrijf zelf. Dit neemt niet weg dat de boete daarnaast of in plaats daarvan aan personen binnen het bedrijf kunnen worden opgelegd. Deze personen dienen dan feitelijk leiding te hebben gegeven respectievelijk opdracht te hebben gegeven tot het verrichten van de verboden gedraging en te hebben nagelaten om maatregelen te treffen ter voorkoming van de overtreding en daarmee bewust de kans wordt aanvaard dat deze gebeurtenis zal plaatsvinden. Deze personen zullen over het algemeen bestuurders zijn, maar het kunnen ook andere personen zijn binnen het bedrijf.

Privacycheck: ben ik goed voorbereid?

De toevlucht van technologische ontwikkelingen en het gemak waarmee (persoons)gegevens gedeeld kunnen worden, maakt dat privacybescherming een steeds grotere plaats inneemt in de maatschappij. Overtreding van de privacyregels kan dan ook leiden tot aanzienlijke (reputatie)schade en/of boeteoplegging. Niet alleen voor het bedrijf, maar ook voor personen werkzaam binnen dit bedrijf. Dit maakt het steeds belangrijker om te beoordelen of je bedrijf (nog) voldoet aan de wet. Nog lang niet alle bedrijven doen dit. Uit het periodieke Privacy Governance onderzoek van PwC** blijkt dat hooguit 16 procent van de 156 organisaties die aan het twee jaar durende onderzoek hebben deelgenomen, aangeeft goed tot zeer goed voorbereid te zijn op de meldplicht datalekken.

Maak duidelijke afspraken

Het is in dat verband belangrijk om na te gaan welke beveiligingsmaatregelen er dienen te worden genomen ter bescherming van persoonsgegevens. Daarnaast dient er een protocol aanwezig te zijn voor het geval er onverhoopt een inbreuk op de beveiligingsmaatregelen plaatsvindt. Weet je wanneer je moet melden? Wie doet de melding? Als u persoonsgegevens laat verwerken door een derde partij, een bewerker, dan moet je toezien op de naleving van de wet. Maak daarom duidelijke afspraken met de medewerkers van je kantoor omtrent (het nakomen van) de meldplicht.

Kortom: wees goed voorbereid, want een goed begin is het halve werk.

Beleidsregels Autoriteit Persoonsgegevens
** Privacy Governance onderzoek van PwC

De nieuwste blogs 

Wil je op de hoogte worden gebracht van nieuwe blogs? 
Meld je aan voor de blog 'De online accountant':  

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

PSD2 versterkt de voorspellende waarde van boekhouden

ICT

10 veelgestelde vragen van accountants over PSD2

ICT

Cybercrime - 10 vaktermen uitgelegd

Vaktechniek

Wat verandert er in de nieuwe KOR?

Vaktechniek

Brexit nadert - Checklist voor accountants