Sep 27

Datalekken

Sinds 1 januari 2016 is het onderwerp datalekken actueler dan ooit, en heeft iedereen het erover. Er is namelijk een wijziging Wet Bescherming Persoonsgegevens vanaf 2016. Maar wat zijn datalekken, en belangrijker, wat kun je er tegen doen? In deze blog worden de feiten voor u op een rijtje gezet. Het is belangrijk dat elk bedrijf nadenkt over het voorkomen van datalekken.

Bijna iedereen gebruikt zakelijk een Smartphone en/of laptop en daar staat vaak gevoelige informatie op zoals persoonsgegevens. Je wilt niet dat deze gegevens op straat komen te liggen of in verkeerde handen komen. En toch is de kans voor iedereen heel reëel dat dit wel gebeurt als er geen maatregelen worden genomen.

Wat is een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Maar ook een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker kan tot de noemer ‘datalekken’ gerekend worden.

Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie mag dan wel kostbare informatie zijn, maar vallen niet onder de gangbare definitie van datalek, omdat het hier (normaliter) niet om persoonsgegevens gaat.

Voorbeelden van persoonsgegevens
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers of enkel postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Dit houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben ontdekt. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Boete
Sinds de Wet Meldplicht Datalekken in werking is getreden op 1 januari 2016 mag de privacy toezichthouder aanzienlijk hogere boetes opleggen: theoretisch tot € 820.000 euro (hoogste categorie) of, als dat niet passend is, 10% van de netto jaaromzet van de rechtspersoon. Bij een overtreding van de WBP wordt een bestuurlijke boete van de 2e categorie opgelegd (met een maximum van € 500.000 euro). De Autoriteit Persoonsgegevens heeft de beleidsregels met betrekking tot meldplicht datalekken gepubliceerd.

Mogelijke extra kosten na datalek
Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de brede meldplicht zullen fouten eerder bekend worden. Dat zal leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

Voorkomen
Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken volgens de Wet Bescherming Persoonsgegevens (WBP) beveiligen. De WBP geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne technieken moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. De beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Presentatie en verdere vragen
Indien u verdere vragen over dit onderwerp heeft, dan kunt u deze uiteraard aan mij stellen. Verder geef ik op dinsdagmiddag 4 oktober as. vanaf 14:00 uur een workshop over de nieuwe wetgeving op dit terrein. Zie hiervoor ook het eerdere blog.