Datalek? Als de wiedeweerga melden!

U heeft de term ‘datalek’ vast nog nooit zo vaak gehoord als in de afgelopen drie maanden. Op radio, televisie of op internet; datalekken vlogen – en vliegen – u om de oren. Wat zijn datalekken, waarom zijn ze zo actueel en wat moet u doen in het geval u er mee te maken krijgt?

U heeft er ongetwijfeld al van gehoord; de Wet Meldplicht Datalekken is per 1 januari 2016 in werking getreden. Deze wet is een aanpassing van de bestaande Wet bescherming persoonsgegevens (Wbp). Er staan hoge boetes op het niet-melden van een datalek. Dit – gecombineerd met angst van ondernemers en de wil om het goed te doen – verklaart wellicht de mediahausse rondom het onderwerp.

Als u verantwoordelijk bent voor de verwerking van persoonsgegevens moet u – in het geval zich een ‘datalek’ voordoet – dit lek onmiddellijk (in beleidsregels uitgewerkt tot: ‘binnen 72 uur na ontdekking’) melden aan de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens). Onder omstandigheden moet u het lek ook melden aan betrokkenen – dat wil zeggen degenen van wie de persoonsgegevens gelekt zijn. Dit laatste is echter alleen dán het geval, als er sprake is van mogelijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene. U zult wellicht denken: ‘dat is in het geval van een datalek toch altijd zo’? Gelukkig voor de verantwoordelijke niet altijd. Wanneer hij de persoonsgegevens – bijvoorbeeld – heeft versleuteld, en ze daarmee voor derden onbegrijpelijk zijn geworden, zijn er mogelijk geen ongunstige gevolgen voor de betrokkene.

Wat is nou eigenlijk een ‘datalek’? Uit de media blijken tal van voorbeelden. Zo berichtte de Volkskrant afgelopen zomer dat er – na een hack – persoonsgegevens van 600 Nederlandse vreemdgangers met een datingprofiel op de website Ashley Madison op straat terecht zijn gekomen. Onlangs werd een externe harde schrijf van het Antoni van Leeuwenhoekziekenhuis gestolen, als gevolg waarvan de persoonsgegevens van patiënten zijn gelekt. Maar ook een minder voor de hand liggend voorbeeld als een onjuist geadresseerde e-mail kan onder omstandigheden worden gekwalificeerd als een datalek. In alle gevallen gaat het om een beveiligingsincident met betrekking tot persoonsgegevens, waarbij de kans bestaat dat dit ernstige nadelige gevolgen heeft of kan hebben voor de bescherming van persoonsgegevens.

Bij het niet-naleven van de meldplicht datalekken kunnen de gevolgen (heel) groot zijn. De Autoriteit Persoonsgegevens kan in dat geval een boete opleggen van ten hoogste € 820.000,-. Let wel: deze boete geldt alleen voor het niet doen van een melding. Eén en ander is nog afgezien van eventuele claims in verband met schade die betrokkenen en derden lijden als gevolg van het lek.

€ 820.000,- is natuurlijk een enorm bedrag. Alleen daarom al heeft elke onderneming er het grootste belang bij haar organisatorische en technische verwerkingsprocessen dusdanig goed in te richten dat de kans op datalekken, en in voorkomend geval op boetes van de Autoriteit, zo klein mogelijk wordt gemaakt. Dat kan onder meer door goede (bewerkers)overeenkomsten te sluiten met zogenaamde ‘bewerkers’. Bewerkers zijn derde partijen die de verantwoordelijke ‘behulpzaam’ zijn bij de persoonsgegevensverwerking. Denk daarbij bijvoorbeeld aan een hostingpartij. Ik raad aan in ieder geval overeen te komen dat uw bewerker u direct op de hoogte brengt van een datalek. U moet immers wel weet hebben van zo’n lek om het zelf tijdig te kunnen melden. Daarnaast zou u contractueel overeen kunnen komen dat de bewerker aansprakelijk is als hij nalaat een datalek aan u te melden.

Kortom, het worden spannende tijden voor bedrijven die persoonsgegevens verwerken; er is een hoop te regelen. Blijft u bij?

Om te beoordelen of uw onderneming voldoet aan de vereisten van de Wbp heeft KienhuisHoving een ‘Privacy Compliance Check’ opgesteld. Deze kunt u gratis downloaden van onze website www.kienhuishoving.nl.

Martijn Kortier
Advocaat Intellectuele Eigendom, ICT-recht en Privacy
KienhuisHoving Advocaten en Notarissen.

 

Gerelateerd nieuws

Realisatie door Internetbureau Creative ICT