11 april 2017
Eerder hebben wij uitgelegd wat er voor u als ondernemer komt kijken bij het verwerken van persoonsgegevens. In deze weblog gaan wij in op de vraag wat u moet doen als de door u verwerkte persoonsgegevens onverhoopt in de handen van ongeautoriseerde derden vallen: een datalek.
Een datalek is een inbreuk op de beveiliging van de persoonsgegevens die door uw onderneming worden verwerkt. Dit is het geval als de persoonsgegevens terechtkomen bij iemand van buiten uw organisatie, of bij iemand van binnen uw eigen organisatie die geen toegang behoorde te hebben tot de gegevens. Ten derde geldt ook een onrechtmatige verwerking van persoonsgegevens als een datalek. Een datalek kan op allerlei manieren plaatsvinden, denk bijvoorbeeld aan een computerhack of cyberaanval, of een verloren USB-stick, laptop, bedrijfstelefoon of papieren dossier.
Als er sprake is van een datalek in uw organisatie, bent u onder omstandigheden wettelijk verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP). Die verplichting geldt als het datalek het gevolg is van een inbreuk op de beveiliging van persoonsgegevens en de inbreuk ‘voldoende ernstig’ is. Een datalek wordt als voldoende ernstig beschouwd, als die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De AP heeft een 62 pagina’s tellende handleiding gemaakt, waarin staat wanneer u al dan niet verplicht bent een datalek te melden. Factoren die hierbij een rol spelen zijn de gevoeligheid van de gelekte gegevens (financieel, religieus, wachtwoorden, e.d.), de hoeveelheid gelekte gegevens, het aantal betrokken personen, enz. Wanneer het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, moet u ook de betrokken personen zelf inlichten.
Zodra bekend is dat er in uw organisatie sprake is van een datalek, dient u na te gaan of u verplicht bent een melding te doen aan de AP en/of de betrokken personen. Deze melding dient u binnen twee dagen na ontdekking van het datalek te doen. U dient hierbij een zorgvuldige afweging te maken. Het niet doen van een melding kan tot hoge boetes leiden, terwijl het doen van een onnodige melding ook vervelende consequenties kan hebben; van verspilde moeite en kosten tot reputatieschade. GMW advocaten kan u hierin adviseren en begeleiden.
De AP kan boetes opleggen voor 1) het opzettelijke lekken van data, 2) het onvoldoende beveiligen van persoonsgegevens en 3) het niet melden van een datalek als wel melding gemaakt had moeten worden. De hoogte van de boete kan oplopen tot € 820.000,-, of 10% van de netto jaaromzet van uw onderneming. Vaak zal niet direct bij de eerste overtreding een boete worden opgelegd, maar zal worden volstaan met een bindende aanwijzing. Pas als de overtreding blijft voortbestaan of de aanwijzingen niet worden gevolgd, zal een boete worden opgelegd.
Om datalekken te voorkomen, moeten bedrijven die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. U bent verplicht om preventief passende technische en organisatorische maatregelen te nemen om de veiligheid van de door u verwerkte gegevens te garanderen. Dit houdt in dat u moderne techniek moet gebruiken om persoonsgegevens te beveiligen, maar ook dat u moet kijken hoe uw onderneming met persoonsgegevens omgaat. Welke maatregelen passend zijn, hangt af van de gevoeligheid van de gegevens die u verwerkt, de kosten van beveiliging daarvan en de omvang van uw organisatie. Wist u bijvoorbeeld dat voor sommige type gevoelige persoonsgegevens een simpele ‘wachtwoord beveiliging’ onvoldoende is en tot een boete kan leiden? GMW advocaten kan u hierin adviseren en begeleiden.
