Menu
024 – 3555 299(24/7 bereikbaar)Bel nu

Datalekken: de uitwerking van de meldplicht



Datalekken: de uitwerking van de meldplicht

Om de consument te behoeden voor de gevaren die de informatiemaatschappij met zich meebrengt, heeft het Europees Parlement een richtlijn opgesteld voor de bescherming van persoonsgegevens. Dit heeft geresulteerd in de Wet bescherming persoonsgegevens, de Wbp, in 2001. De Wbp is begin 2016 uitgebreid met de Meldplicht Datalekken en de boetebevoegdheid voor de toezichthouder. Kort gezegd houdt dit in dat iedere ondernemer in Nederland verantwoordelijk is voor de privacygevoelige data binnen de eigen organisatie en bij overtreding van de wettelijke regelgeving mogelijk een boete zal moeten betalen.

Datalek

Indien iemand toegang heeft gekregen tot persoonsgegevens zonder dat dit de bedoeling was van de onderneming, dan is er sprake geweest van een datalek. Maar ook vernietiging, wijziging of vrijkomen van persoonsgegevens vallen hieronder, er is dan immers een inbreuk gemaakt op de beveiliging van persoonsgegevens zoals opgenomen in de Wbp. Een datalek kan optreden als de servers van een bedrijf worden gehackt en gevoelige informatie naar buiten komt. Daarnaast valt ook het verlies van een smartphone, laptop of usb-stick hieronder als daar persoonsgegevens op stonden.

Maatregelen

Om te voorkomen dat er persoonsgegevens op plaatsen komen waar ze niet horen, zou u eigenlijk uw medewerkers geen laptops en smartphones mogen geven, niet thuis laten werken en geen informatie laten uitwisselen met ketenpartners en alle persoonsgegevens op een zodanige manier beschermen dat enkel de eigenaar van een onderneming bij deze gegevens kan komen. Dit klinkt vrij bespottelijk en hoewel het goede maatregelen zijn, is dit in de 21e eeuw niet meer realistisch. De meest veilige oplossing hiervoor is encryptie. Hiermee worden gegevens door een bepaald algoritme versleuteld. Alleen partijen met de juiste sleutel kunnen deze gegevens weer decoderen, dus zonder de juiste sleutel zijn de data onbruikbaar.

Melding van inbreuk

Zijn de maatregelen niet voldoende geweest om een datalek te voorkomen, dan moet u dit zonder onnodige vertraging, en anders niet later dan 72 uur, melden aan de toezichthouder. Echter, niet elke datalek hoeft te worden gemeld, zoals bijvoorbeeld bij onleesbare persoonsgegevens of wanneer deze zijn versleuteld. Enkel in gevallen dat er sprake is van 'ernstige' datalekken moet u hiertoe overgaan. Er is sprake van een ernstige lek indien het gaat om een grote hoeveelheid data en indien het gaat om gevoelige gegevens. U moet dan bijvoorbeeld denken aan inloggegegevens, financiële gegevens en kopieën van identiteitsbewijzen.

In bepaalde gevallen moet u, naast de melding aan de toezichthouder, ook de getroffen personen op de hoogte stellen van de datalek indien deze ongunstige gevolgen heeft voor deze personen. Hier kunt u bijvoorbeeld denken aan identiteitsfraude, discriminatie of reputatieschade. U dient altijd de getroffen persoon op de hoogte stellen in gevallen waarin er grote hoeveelheden gegevens zijn gelekt.

De gevolgen van de Meldplicht Datalekken

Sinds januari 2016 kan de toezichthouder dus boetes opleggen. Deze kunnen onder meer opgelegd worden voor het niet melden van een datalek, terwijl dat wel had gemoeten. De boetes kunnen ook opgelegd worden indien uw beveiliging niet in orde is, u persoonsgegevens verwerkt zonder dat hiervoor toestemming is gegevens of indien het gaat om de export van persoonsgegevens naar landen buiten de Europese Unie zonder dat de juiste regels in acht zijn genomen. De boetes die de toezichthouder kan opleggen kunnen oplopen tot €820.000,- of 10% van de jaaromzet. In de praktijk zal de toezichthouder vaak eerst een waarschuwing geven, maar bij opzet of grove nalatigheid zal de toezichthouder vaak direct een boete opleggen.

U bent in principe zelf verantwoordelijk voor de beoordeling of een datalek gemeld moet worden aan de toezichthouder. Dit betekent dat, indien u een onjuiste inschatting heeft gemaakt en niet heeft gemeld terwijl dit wel had gemoeten, hiervoor het risico draagt. Places.nl is benieuwd welke maatregelen u treft om de kans op datalekken tegen te gaan, laat het ons weten in een reactie!


Delen:



Reacties