{{messages[0][0]}}

Meldplicht datalekken 2016: wat moet je weten?



Als (online) ondernemer krijg je vroeg of laat te maken met de verwerking van persoonsgegevens. Namen, IP-adressen of foto’s – allemaal zijn ze direct of indirect terug te leiden naar mensen van vlees en bloed. Om persoonsgegevens te beschermen moet je passende technische en organisatorische maatregelen nemen tegen verlies, of misbruik door derden van deze gegevens. Raak je de gegevens kwijt, of word je slachtoffer van diefstal van de persoonsgegevens? Dan moet je dat vanaf 1 januari 2016 melden. En dat kun je ook echt maar beter doen...

Passende technische en organisatorische maatregelen?

De eerste stap bij de verwerking van persoonsgegevens is toestemming van de betrokken personen. Dat zijn de personen van wie je gegevens verwerkt. Daarnaast moet je als ondernemer passende technische en organisatorische maatregelen nemen voor de beveiliging van deze gegevens. Dat klinkt misschien wat vaag, maar dat valt best mee. Zo moet je als verwerker van persoonsgegevens zorgen dat de gegevens in een beveiligde omgeving zijn opgeslagen en dat de persoonsgegevens worden verkregen via bijvoorbeeld een beveiligde verbinding. Dit zijn typische ‘technische maatregelen’.
 

Op het gebied van organisatorische maatregelen kun je denken aan een gestructureerde clean desk policy, waarbij persoonsgegevens aan het einde van de dag netjes worden opgeborgen. Zo voorkom je dat persoonsgegevens door je kantoor slingeren. Ook interne geheimhoudingsovereenkomsten komen in deze situatie veel voor. Zijn de persoonsgegevens – ondanks deze maatregelen – gestolen, kwijt of onbevoegd verspreid? Dan is er sprake van een datalek.

 

 

In welke situatie heb je een meldplicht voor datalekken?

Je moet melden als er sprake, of een redelijke vermoeden is van een datalek. Dus stel, je bedrijf verzamelt persoonsgegevens die jij vervolgens op een externe harde schijf zet. Moet je dan het datalek melden als je deze harde schijf kwijtraakt? Ja, is het korte antwoord. Je bent namelijk de persoonsgegevens kwijt geraakt. En stel, deze harde schijf valt van twee hoog en is helemaal verwoest, MAAR: je hebt nog een back-up. Dan is er geen sprake van een datalek. De persoonsgegevens zijn door niemand meer van de schijf af te lezen en er is nog een backup. Geen datalek dus. Staat je datacentrum waar alle persoonsgegevens staan opgeslagen in de hens en zijn er geen back-ups? Dan ben je de persoonsgegevens kwijt en ook dat is – ook al klinkt het vreemd – een datalek. Belangrijk vereiste is dus dat de persoonsgegevens kwijt zijn of dat onbevoegde derden bij de gegevens kunnen. Voor dat laatste is een vermoeden dus al voldoende.

 


'Per ongeluk' de harde schijf met persoonsgegevens in de blender gedaan en geen back-up? Datalek!

 

Aan wie moet je datalekken in 2016 melden?

Hier zijn twee partijen van toepassing. De toezichthouder College Bescherming Persoonsgegevens (CBP) en de betrokken personen. Toezichthouder CBP moet je over alle datalekken informeren. Een veel gehoorde opmerking van onze klanten over dit orgaan: “Het CBP voert weinig controles uit en heeft eigenlijk geen serieuze sanctiebevoegdheden. Ik laat het gewoon.” Eerlijk is eerlijk, het CBP deelt op dit moment inderdaad geen keiharde boetes uit en er zijn teveel bedrijven om allemaal te controleren, maar: daar komt verandering in.

Vanaf 1 januari 2016 wordt het CBP de Autoriteit Persoonsgegevens. Het orgaan dat wel eens een schoothondje met een klappergebitje wordt genoemd gaat wat meer richting een pitbull. De Autoriteit Persoonsgegevens kan boetes uitdelen tot €810.000 of 10% van de jaaromzet van de overtreder... Een datalek kun je dus echt maar beter melden. 

 


Of de Autoriteit Persoonsgegevens een loeigevaarlijke pitbull wordt, moet nog blijken.

Dan, de meldplicht bij de betrokken personen. De betrokkene moet je alleen informeren als het datalek gevolgen heeft voor zijn of haar privacy. Dat laatste is een wat vaag vereiste, want wanneer heeft een datalek geen gevolgen voor de privacy van betrokkenen? Dit moet nog uitgewerkt worden in de praktijk. Daarom zou ik een datalek (voorlopig) melden aan de betrokken personen.
 

Er is voorlopig één ‘harde’ uitzondering op deze meldplicht aan de betrokkene. Weet je zeker dat de ‘verloren’ persoonsgegevens goed zijn beveiligd (versleuteld)? En denkt het CBP daar ook zo over? Dan hoef je dit niet te melden. Vraag het dus na bij het CBP, of als je deze blog in het nieuwe jaar leest bij de gloednieuwe Autoriteit Persoonsgegevens. Je moet er namelijk toch al zijn om je lek op te biechten.

 

Hoe snel moet je datalekken melden?

Je moet binnen 72 uur het datalek melden. Deze termijn gaat lopen vanaf het moment dat jij, of bijvoorbeeld een andere partij die je inschakelt voor de verwerking van persoonsgegevens (de ‘bewerker’), het lek vindt. Wordt dat nachtwerk, wallen en koffie om een dik rapport te schrijven? Nee, je mag na de melding uitgebreider onderzoek doen naar mogelijke oorzaken van het lek. Let dus op: twee werkdagen. De Autoriteit Persoonsgegevens mag dan wel een pitbull worden, maar in het weekend ligt ze nog altijd in de mand.
Daarnaast moet je datalekken intern bijhouden voor een periode van 3 jaar. Bewaar bijvoorbeeld een kopie van het document dat naar het CBP is gestuurd.

 

Wat moet je melden bij een datalek?

Het CBP komt met een lange lijst die je moet invullen bij een datalek. Zo willen ze weten om welke gegevens het gaat, hoeveel gedupeerden er mogelijk zijn, wat voor technische en organisatorische maatregelen je hebt genomen en wat je kan doen om een lek in de toekomst te voorkomen. Daarnaast moet je ook de betrokkenen in sommige gevallen informeren. In zo’n brief of mail moet je uitleggen welke maatregelen de betrokkenen het best kunnen nemen om het risico op schade te beperken.

Een simpel voorbeeld: zijn wachtwoorden plotseling openbaar? Schrijf dan: “Wij adviseren u om uw wachtwoorden voor andere (internet)diensten aan te passen, indien u voor deze diensten een wachtwoord gebruikt dat identiek is aan, of lijkt op dat van uw uw Legalloydaccount.” Even afkloppen, we hebben deze mail nog nooit hoeven sturen.

 

 


Another Friday @ Autoriteit Persoonsgegevens

 

De meldplicht datalekken nog even kort samengevat:

  • Vanaf 1 januari 2016 geldt de meldplicht datalekken;
  • We spreken van een datalek als persoonsgegevens gestolen, kwijt of onbevoegd verspreid zijn;
  • Dit datalek moet je binnen twee werkdagen melden bij het College Bescherming Persoonsgegevens – vanaf 1 januari 2016 de Autoriteit Persoonsgegevens ;
  • De Autoriteit Persoonsgegevens krijgt meer bevoegdheden en kan boetes tot €810.000 opleggen;
  • In de meeste gevallen zul je ook de betrokken personen moeten informeren;
  • Het CBP maakt via een (vragen)lijst bekend welke gegevens ze van jou willen hebben bij een datalek.

MEER BERICHTEN