Wolters Kluwer
Vaktechniek door Menno Weij 9 februari 2020

Bescherm je kantoor tegen datalekken

De Autoriteit Persoonsgegevens heeft in 2019 bijna 27.000 meldingen van datalekken ontvangen.[1] Dat is een forse stijging ten opzichte van het jaar daarvoor. Aanleiding om nader naar dit onderwerp te kijken deze maand. Wat betekent dit voor jouw kantoor? Menno Weij (Privacy specialist bij BDO) en Richard Ridderhof (Compliance Officer bij Twinfield) geven je graag een uitleg.

Update door: Richard Ridderhof

Eerst maar eens een introductie over het begrip 'datalek'. 

Wat is een datalek?

Er is sprake van een datalek als zich een inbreuk op de beveiliging van persoonsgegevens heeft voorgedaan. Dit is niet alleen het geval als een hacker toegang tot die gegevens krijgt. Bij een beveiligingsincident kan bijvoorbeeld ook worden gedacht aan het kwijtraken van een USB-stick, een gestolen laptop of zelfs het sturen van een mailing met de e-mailadressen in het CC-veld, in plaats van het BCC-veld.

Maar niet ieder beveiligingsincident is ook daadwerkelijk een datalek. Er is pas sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking van persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Onder onrechtmatige vormen van verwerking vallen onder andere de aantasting of wijziging van de persoonsgegevens, onbevoegde toegang, of afgifte daarvan.

Datalek melden bij toezichthouder

De Europese toezichthouders hebben gezamenlijk richtsnoeren[2] opgesteld aan de hand waarvan je kunt beoordelen of je een melding moet maken bij de toezichthouder. Niet iedere datalek hoeft immers te worden gemeld aan de toezichthouder. Pas wanneer een datalek leidt tot een risico voor de rechten en vrijheden van de getroffen personen , moet melding worden gemaakt. Bij die beoordeling speelt de aard van de gelekte persoonsgegevens een belangrijke rol. Als persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Hierbij kun je denken aan bijzondere persoonsgegevens, zoals medische gegevens of informatie over iemands levensovertuiging of seksuele leven. Maar ook gegevens over de financiële of economische situatie van personen, zoals gegevens over schulden, salarissen en betalingsgegevens, zijn gegevens die gevoelig liggen bij een datalek.

Informeren getroffen personen

Als een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat je dit datalek ook moet melden aan de personen waarvan gegevens zijn gelekt. Hiervoor dient een aparte afweging te worden gemaakt. Je moet een melding doen aan de getroffen personen als het datalek een hoog risico inhoudt voor de rechten en vrijheden van de getroffen personen. Personen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij kun je onder meer denken aan onrechtmatige publicatie, reputatieschade, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er in principe vanuit gaan dat je het datalek niet alleen moet melden aan de Autoriteit, maar ook aan de getroffen personen.

Gevolgen datalek

Bij overtreding van de meldplicht kan de Autoriteit een boete opleggen. Deze boete bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. De autoriteit kan een zwaardere boete opleggen indien het vaker voorkomt of als het onderzoek wordt tegengewerkt. Vergaande medewerking, schadeloosstelling van de getroffen personen of snelle beëindiging van de overtreding kunnen boeteverlagend zijn.

Privacycheck: ben ik goed voorbereid?

De toevlucht van technologische ontwikkelingen en het gemak waarmee (persoons)gegevens gedeeld kunnen worden, maakt dat privacybescherming een steeds grotere plaats inneemt in de maatschappij. Overtreding van de privacyregels kan dan ook leiden tot aanzienlijke (reputatie)schade en/of boeteoplegging. Niet alleen voor het bedrijf, maar ook voor personen werkzaam binnen dit bedrijf. Dit maakt het steeds belangrijker om te beoordelen of je bedrijf (nog) voldoet aan de wet.

Maak duidelijke afspraken

Het is in dat verband belangrijk om na te gaan welke beveiligingsmaatregelen er dienen te worden genomen ter bescherming van persoonsgegevens. Daarnaast dient er een protocol aanwezig te zijn voor het geval er onverhoopt een inbreuk op de beveiligingsmaatregelen plaatsvindt. Weet je wanneer je moet melden? Wie doet de melding? Als u persoonsgegevens laat verwerken door een derde partij, een verwerker, dan moet je toezien op de naleving van de wet. Maak daarom duidelijke afspraken met de medewerkers van je kantoor omtrent (het nakomen van) de meldplicht.

Kortom: wees goed voorbereid, want een goed begin is het halve werk.

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalekmeldingen-blijven-stijgen

[2] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf

 

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

Accountability in AVG: toestemming

Vaktechniek

Accountability in AVG: het uitvoeren van een DPIA

Vaktechniek

Bescherm je kantoor tegen datalekken

ICT

Overstappen op een ander boekhoudpakket

Vaktechniek

Fiscale aanpassingen elektrisch rijden in 2020