11 april 2017

Wat te doen bij een datalek?

Door Christiaan Mensink

Eerder hebben wij uitgelegd wat er voor u als ondernemer komt kijken bij het verwerken van persoonsgegevens. In deze weblog gaan wij in op de vraag wat u moet doen als de door u verwerkte persoonsgegevens onverhoopt in de handen van ongeautoriseerde derden vallen: een datalek.

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van de persoonsgegevens die door uw onderneming worden verwerkt. Dit is het geval als de persoonsgegevens terechtkomen bij iemand van buiten uw organisatie, of bij iemand van binnen uw eigen organisatie die geen toegang behoorde te hebben tot de gegevens. Ten derde geldt ook een onrechtmatige verwerking van persoonsgegevens als een datalek. Een datalek kan op allerlei manieren plaatsvinden, denk bijvoorbeeld aan een computerhack of cyberaanval, of een verloren USB-stick, laptop, bedrijfstelefoon of papieren dossier.

Wat heeft u ermee te maken?

Als er sprake is van een datalek in uw organisatie, bent u onder omstandigheden wettelijk verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP). Die verplichting geldt als het datalek het gevolg is van een inbreuk op de beveiliging van persoonsgegevens en de inbreuk ‘voldoende ernstig’ is. Een datalek wordt als voldoende ernstig beschouwd, als die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De AP heeft een 62 pagina’s tellende handleiding gemaakt, waarin staat wanneer u al dan niet verplicht bent een datalek te melden. Factoren die hierbij een rol spelen zijn de gevoeligheid van de gelekte gegevens (financieel, religieus, wachtwoorden, e.d.), de hoeveelheid gelekte gegevens, het aantal betrokken personen, enz. Wanneer het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, moet u ook de betrokken personen zelf inlichten.

Wat moet u doen als u te maken krijgt met een datalek?

 Zodra bekend is dat er in uw organisatie sprake is van een datalek, dient u na te gaan of u verplicht bent een melding te doen aan de AP en/of de betrokken personen. Deze melding dient u binnen twee dagen na ontdekking van het datalek te doen. U dient hierbij een zorgvuldige afweging te maken. Het niet doen van een melding kan tot hoge boetes leiden, terwijl het doen van een onnodige melding ook vervelende consequenties kan hebben; van verspilde moeite en kosten tot reputatieschade. GMW advocaten kan u hierin adviseren en begeleiden.

Wat is de sanctie als u geen melding maakt?

De AP kan boetes opleggen voor 1) het opzettelijke lekken van data, 2) het onvoldoende beveiligen van persoonsgegevens en 3) het niet melden van een datalek als wel melding gemaakt had moeten worden. De hoogte van de boete kan oplopen tot € 820.000,-, of 10% van de netto jaaromzet van uw onderneming. Vaak zal niet direct bij de eerste overtreding een boete worden opgelegd, maar zal worden volstaan met een bindende aanwijzing. Pas als de overtreding blijft voortbestaan of de aanwijzingen niet worden gevolgd, zal een boete worden opgelegd.

Wat kan u doen om datalekken te voorkomen?

 Om datalekken te voorkomen, moeten bedrijven die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. U bent verplicht om preventief passende technische en organisatorische maatregelen te nemen om de veiligheid van de door u verwerkte gegevens te garanderen. Dit houdt in dat u moderne techniek moet gebruiken om persoonsgegevens te beveiligen, maar ook dat u moet kijken hoe uw onderneming met persoonsgegevens omgaat. Welke maatregelen passend zijn, hangt af van de gevoeligheid van de gegevens die u verwerkt, de kosten van beveiliging daarvan en de omvang van uw organisatie. Wist u bijvoorbeeld dat voor sommige type gevoelige persoonsgegevens een simpele ‘wachtwoord beveiliging’ onvoldoende is en tot een boete kan leiden? GMW advocaten kan u hierin adviseren en begeleiden.

 

Christiaan Mensink

Christiaan Mensink

Advocaat/partner

Christiaan Mensink is een van de meest ervaren en gespecialiseerde WHOA-advocaten van Nederland.

Gerelateerde blogs

Vorige slide
Volgende slide

24 juli 2024

Een opsteker voor bedrijven!

Onlangs heeft de Tweede Kamer het wetsvoorstel Opheffing Verpandingsverboden aangenomen. Deze wet regelt met een kleine aanpassing van art. 3:83 BW dat het niet langer mogelijk is om voor financieringsdoeleinden verpanding van debiteurenvorderingen uit te sluiten.

Lees meer

Lees meer over

10 juli 2024

Betwisten van een factuur wegens toerekenbare tekortkoming

Eerder schreef ik een artikel over het innen van facturen. In dit artikel ga ik verder in op het betwisten van de facturen.

Lees meer

Lees meer over

14 december 2023

Het incasseren van vorderingen

Hoewel de economie lijkt aan te trekken, blijkt uit de praktijk toch dat veel facturen onbetaald blijven. Mocht dat het geval zijn, dan wilt u natuurlijk snel stappen ondernemen om de vordering geïnd te krijgen.

Lees meer

Lees meer over

21 september 2023

Wat is een STAK?

Het fenomeen certificering van aandelen zal bij de gemiddelde ondernemer veel vraagtekens opleveren. In deze blog leest u in vogelvlucht de basisprincipes en enkele voor- en nadelen van de Stichting Administratiekantoor (de ‘STAK’).

Lees meer

Lees meer over

22 augustus 2023

Uitkoop van minderheids-aandeelhouders

De voordelen, eisen en knelpunten van de geforceerde uitkoop van de laatste 5%.

Lees meer

Lees meer over
Alle artikelen