De Meldplicht Datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Dat betekent dat als er bij jouw bedrijf sprake is van een datalek je dit verplicht moet melden aan de Autoriteit Persoonsgegevens (AP) en soms zelfs ook aan de betrokken personen. Doe je dat niet? Dan riskeer je een boete die kan oplopen tot wel 820.000 euro.

Om dit te voorkomen is het belangrijk om eerst te achterhalen waarom dat datalekken nu precies zo’n probleem is.

Wet bescherming persoonsgegevens
De gedachte achter de invoering van de meldplicht datalekken is dat iedereen recht heeft op eerbiediging en bescherming van zijn persoonlijke levenssfeer en zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). In artikel 13 van deze wet staat dat de persoonsgegevens die jouw bedrijf verwerkt beschermd moeten worden tegen verlies en tegen onrechtmatige verwerking.

Een datalek
Als er sprake is van een datalek gaat het erom dat persoonlijke gegevens in handen van derden vallen die daar eigenlijk geen toegang toe hebben. it is meestal het gevolg van een probleem in de beveiliging en zorgvuldigheid. Denk hierbij aan rondslingerende USB’s, klantgegevens die mee naar huis worden genomen of systemen die gehackt worden. Een ander vorm van datalekken is als belangrijke gegevens (per ongeluk) worden gewist zonder dat er een back-up is gemaakt. Bovenstaande kan leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

PersoonsgeDatalek scherpgevens

Wat wordt er precies bedoelt met persoonsgegevens? Denk dan aan gegevens over godsdienst, politieke voorkeur, strafrechtelijke gegevens, schulden, relatieproblemen, wachtwoorden, inlog gegevens, identiteitsbewijzen, bsn-nummers, etc.

Wanneer melden aan Autoriteit Persoonsgegevens?
Om na te gaan of je een datalek moet melden aan de Autoriteit Persoonsgegevens kan je gebruik maken van de flowchart. Daarbij moet je niet vergeten dat er pas sprake is van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan. Als er alleen sprake is van een zwakke plek in de beveiliging wordt er gesproken van een beveiligingslek en niet van een datalek (je hoeft dan ook geen melding te maken). De melding moet binnen 72 uur na ontdekking plaatsvinden.

Wanneer melden aan betrokkene(n)?
De betrokkenen moeten worden ingelicht als het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer (discriminatie, imagoschade, identiteitsfraude, etc.). Als de persoonsgegevens versleuteld zijn (onbegrijpelijk of ontoegankelijk voor onbevoegden), dan hoef je het datalek niet te melden aan de betrokkene(n).

De boete

Bij overtreding van de meldplicht datalekken kan een boete van maximaal 820.000 euro worden opgelegd.

Hoe voorkomen?
Allereerst is het belangrijk om een noodplan op te stellen. Dit kan je doen aan de hand van deze tips:

  • Organiseer een brainstormsessie om samen te bedenken wat het aller ergste zou kunnen zijn wat jouw bedrijf zou overkomen als het om datalekken gaat.

  • Versleutel gevoelige gegevens waardoor ze niet te herleiden zijn naar een persoon.

  • Informeer alle werknemers over de meldplicht.

  • Stel overeenkomsten op met de partijen die de gegevens van jouw klanten verwerken (is verplicht). En neem daar in op wie verantwoordelijk is bij een eventueel datalek.

  • Maak een overzicht van wie toegang heeft tot welke gegevens.

  • Verspreid geen persoonsgegevens via mail of clouddiensten zonder dat er sprake is van een contract/overeenkomst.

  • Stel een draaiboek voor als er een datalek heeft plaatsgevonden zodat iedereen weet wat er te doen staat. Denk hierbij aan het aanwijzen van verantwoordelijken, het uitsturen van een persbericht, de social media strategie aanpassen en betrokkenen informeren.

  • Sluit (eventueel) een cyber risk verzekering af.