Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Daarmee is iedere organisatie (zowel onderneming als overheid) in Nederland verantwoordelijk gemaakt voor de privacygevoelige informatie binnen die organisatie. Bij overtreding van de wet kan de Autoriteit Persoonsgegevens flinke boetes opleggen. Maar wat is eigenlijk een datalek? Wat moet u doen als u een datalek binnen uw organisatie heeft ontdekt? En hoe kunt u een datalek voorkomen?
Wat is een ‘datalek’?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die eigenlijk geen toegang tot die gegevens zouden mogen hebben. Daarvoor is het niet nodig dat de gegevens gehackt of gestolen zijn. Ook een door een medewerker verloren laptop of usb-stick, een verkeerd geadresseerde e-mail of een uitgeprinte lijst met klantgegevens die wordt verloren, is een datalek.
Als er andere gegevens dan persoonsgegevens worden verloren of gestolen, is er geen sprake van een datalek in de zin van deze wet.
Wat zijn de gevolgen van een datalek?
Als u een datalek in uw organisatie heeft ontdekt moet u dat in principe melden bij de Autoriteit Persoonsgegevens. Niet elk datalek hoeft te worden gemeld, u moet hierbij zelf een afweging maken. In de wet staat dat ‘ernstige’ datalekken zonder vertraging (niet later dan 72 uur na ontdekking) bij de Autoriteit Persoonsgegevens moeten worden gemeld. Dit kan via een formulier op de website van de Autoriteit Persoonsgegevens.
Een lek wordt gezien als ‘ernstig’ als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens of als het leidt tot een aanzienlijke kans op deze nadelige gevolgen. Bijvoorbeeld als het om een grote hoeveelheid data of om gevoelige gegevens gaat. Denkt u bij dat laatste onder meer aan:
- medische gegevens
- financiële gegevens
- inloggegevens
- gegevens over godsdienst of ras
- kopieën van identiteitsbewijzen
Als het om gevoelige gegevens gaat moet u ook de betrokkenen van het lek op de hoogte stellen. Het doel hiervan is om de schade voor betrokkenen, als gevolg van het datalek, zo minimaal mogelijk te houden. U stelt hen door de melding bijvoorbeeld in staat om wachtwoorden te vervangen. Waren de persoonsgegevens echter ontoegankelijk voor onbevoegden, bijvoorbeeld door encryptie? Dan kunt u deze melding achterwege laten.
De Autoriteit Persoonsgegevens gebruikt uw melding om erop toe te zien dat u de betrokkenen informeert als dat nodig is. Als u de betrokkenen niet heeft geïnformeerd en de Autoriteit Persoonsgegevens vindt dat u dat wel had moeten doen, dan kan de Autoriteit u verzoeken om dat alsnog te doen. Als u niet aan dat verzoek voldoet, kan dat worden bestraft met een bestuurlijke boete.
Het blijft daarnaast uw eigen verantwoordelijkheid om de oorzaak van het datalek op te sporen en om maatregelen te treffen om herhaling te voorkomen.
Boete op grond van de Wet Meldplicht Datalekken
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstige verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens meestal eerst een bindende aanwijzing opleggen. Komt u deze aanwijzing niet na of heeft u een datalek opzettelijk verzwegen, dan kunt u wel een boete tegemoet zien.
Deze boete kan oplopen tot € 820.000 of, als dat niet passend is, 10% van de netto jaaromzet van een onderneming. Die boete kan ook worden opgelegd aan de bestuurder.
Datalek voorkomen
In 2016 zijn bijna 5500 datalekken gemeld aan de Autoriteit Persoonsgegevens. Uit een analyse blijkt dat de mens daarbij vaak een zwakke schakel is. Iemand raakt bijvoorbeeld een USB-stick of laptop kwijt, medewerkers gaan niet netjes om met inloggegevens en een verkeerd geadresseerde mail is snel verzonden.
Om datalekken te voorkomen is het daarom belangrijk dat u een zogenaamd databeschermingsbeleid of privacybeleid opstelt. Daarnaast is het belangrijk dat u dit beleid binnen uw organisatie onder de aandacht brengt én het daadwerkelijk handhaaft. Maar wat betekent databeschermingsbeleid concreet? U kunt uw medewerkers toch moeilijk verbieden thuis te werken of te e-mailen? En kunt u nog wel in de cloud werken?
Als u databeschermingsbeleid in uw organisatie gaat opstellen is het erg belangrijk om bewustzijn te creëren voor de beveiliging van persoonsgegevens. Dit doet u door uw medewerkers te stimuleren zelf mee te denken over het beleid, hen verantwoordelijkheid te laten nemen voor wat zij met gegevens doen én regelmatig aandacht te vragen voor de beveiliging van data.
Daarnaast is het uiteraard goed om uw ICT-contracten goed op orde te hebben. Maak gebruik van encryptie, zeker als u in de cloud werkt. Leg aansprakelijkheid voor een datalek goed vast. Versturen uw medewerkers veel e-mails met persoonsgegevens? Overweeg dan te werken met vertraagde e-mails. Er is dan altijd een mogelijkheid een verkeerd geadresseerde e-mail in te trekken.
2018: strengere Europese privacyregelgeving
Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese verordening is op een aantal punten strenger dan de Wet Meldplicht Datalekken. Hoewel u nog even heeft, is het belangrijk dat uw organisatie goed op deze nieuwe regelgeving voorbereid is.
Heeft u daar hulp bij nodig? Of wilt u advies over hoe u uw databeschermings- of privacybeleid opstelt? Neemt u dan contact op met Oprecht Advocaten.