In de maatschappij is privacy een onderwerp dat momenteel veel in de belangstelling staat. Om deze privacy te kunnen waarborgen, regelt de Wet bescherming persoonsgegevens (WBP) hoe organisaties moeten omgaan met datalekken en de meldplicht hiervan.
In de praktijk krijg ik regelmatig vragen over deze meldplicht. In dit artikel geef ik antwoord op de meest belangrijke vragen.
Is de meldplicht ook van toepassing voor mijn onderneming?
De meldplicht is van toepassing op iedere organisatie die privacygevoelige gegevens verzamelt, beheert of verwerkt. Vrijwel iedere organisatie (zowel bedrijven, instellingen als overheden) heeft dus te maken met deze meldplicht.
Wat betekent dit nu voor mij en mijn onderneming?
Vanaf 1 januari 2016 is vrijwel iedere organisatie (zowel bedrijven, instellingen als overheden) verplicht om datalekken actief tegen te gaan én ‘ernstige’ datalekken te melden bij de Autoriteit Persoonsgegevens. Doet je dit niet, dan kun je als organisatie een boete krijgen die kan oplopen tot maximaal € 820.000.
Wat is een datalek?
De wet hanteert een ruim begrip voor de definitie van een datalek. Van een datalek is sprake wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.
Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Maar van een datalek is eveneens sprake bij bijvoorbeeld het verlies van een USB-stick in de trein, of bij het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld). Zelfs het verlies van gegevens zoals bij een brand in het datacentrum zonder backup, ziet de wet als een datalek.
Moet ik alle datalekken melden?
Alleen ernstige datalekken moeten worden gemeld. Van een ernstig datalek is sprake als het datalek mogelijke nadelige gevolgen heeft voor de geregistreerde die door het lek getroffen is.
Ernstige datalekken moeten 72 uur na de ontdekking bij de Autoriteit Persoonsgegevens gemeld worden. Dit doe je via www.autoriteitpersoonsgegevens.nl.
Als het lek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens zijn gelekt, moet je ook het lek melden bij deze personen.
Wat zijn de gevolgen als ik het datalek niet meld?
De beoordeling of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens ligt altijd bij jezelf. Meldt je het lek niet binnen de gestelde termijn en informeer je de geregistreerde niet over het lek? Dan kun je hiervoor een boete krijgen die kan oplopen tot maximaal € 820.000.
Welke informatie moet ik over een datalek bewaren?
Wanneer je een datalek bij de Autoriteit Persoonsgegevens meldt, moet je het overzicht hiervan in je administratie bewaren. Het overzicht bevat de feiten en gegevens van het lek. Denk hierbij aan de oorzaak van het lek, de soort gegevens die gelekt zijn, het moment dat het lek is ontdekt en op welke wijze het lek gedicht is.
Heb je het datalek gemeld bij de persoon waar de gegevens van zijn gelekt, is het belangrijk de communicatie hierover te bewaren. De bewaartermijn van deze informatie bedraagt minimaal één jaar.
Conclusie
Als onderneming ben je dus altijd verantwoordelijk en aansprakelijk wanneer persoonsgegevens op straat komen te liggen. Je moet dus, mede op basis van deze wet, een en ander regelen om de kans op een datalek nog meer te verkleinen. Als onderneming moet je kunnen aantonen dat je voldoende maatregelen (technisch en in de onderneming) hebt genomen om een datalek te voorkomen. Het beveiligen met een gebruikersnaam en wachtwoord is niet voor alle data voldoende.
Zorg dus op tijd voor een goede beveiliging!
Drs. François Herms RA is senior manager bij Kriton te Driebergen. Hij schrijft zijn bijdragen op persoonlijke titel.