USB-stick of laptop verloren? Moet ik melden?!

Deze weblog geeft een korte inleiding en een aantal tips hoe ondernemers hier mee om kunnen gaan. Ondernemers moeten melding maken van een datalek bij de Autoriteit Persoonsgegevens, als persoonsgegevens verloren gaan of als onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten.

Welke gegevens?

Datalekken kunnen zich in alle soorten en maten voordoen. Denk aan een gehackte server, maar ook aan het fysiek kwijtraken van een USB-stick, telefoon of laptop. Of u daadwerkelijk melding moet maken hangt af van de inhoud van de prijsgegeven bestanden. Lekken van onderstaande gegevens leidt over het algemeen tot een meldingsplicht:

• gegevens omtrent persoonlijke levenssfeer (bijvoorbeeld ras, politieke gezindheid of lidmaatschap van een vakvereniging);
• financiële gegevens (bijvoorbeeld schulden of salaris);
• gegevens waardoor betrokkenen chantabel zouden kunnen worden (bijvoorbeeld resultaten van beoordelingsgesprekken; gokverslaving en/of relatieproblemen);
• inloggegevens en wachtwoorden;
• gegevens waarmee fraude kan worden gepleegd (bijvoorbeeld kopieën van identiteitsbewijzen of Burgerservicenummers);

Aan wie melden?

Naast de Autoriteit Persoonsgegevens moet u een datalek ook melden aan de betrokkene(n) zelf, als het datalek waarschijnlijk ongunstige gevolgen heeft voor zijn/haar persoonlijke levenssfeer. Dit komt erop neer dat als er gevoelige gegevens zijn gelekt, dit meestal aan de betrokkene(n) moet worden gemeld. Als het gaat om de gegevens van duizenden mensen kan dit een aanzienlijke en kostbare operatie vormen. Na ontdekking van een datalek dient u zonder onnodige vertraging en uiterlijk binnen 72 uur melding te doen bij de Autoriteit Persoonsgegevens. De betrokkene(n) dient u zo snel mogelijk ervan in kennis te stellen.

Consequentie?

De Autoriteit Persoonsgegevens kan u vanwege een niet gemeld datalek een boete van maximaal € 820.000,– opleggen. Daarnaast mag de Autoriteit Persoonsgegevens uw onderneming met naam en toenaam publiceren wanneer zij een boete uitdeelt. Dit betekent dat u ook het risico loopt op imagoschade.

Voorkomen beter dan genezen

De nieuwe regelgeving is een goed moment om nog eens stil te staan bij de veiligheid van de door u beheerde persoonsgegevens. Uw medewerkers en klanten zitten er namelijk niet op te wachten dat hun gegevens openbaar worden. Hieronder een aantal tips waaraan u kunt denken om problemen te voorkomen:

• Stel een gedragscode op. Door het maken van interne afspraken weten uw medewerkers wat zij moeten doen als zij bijvoorbeeld een telefoon of USB-stick kwijt raken. Dit vermindert ook uw risico van een te late melding en kan een hoop schade voorkomen;
• Beveilig uw bestanden. Als uw geheugendragers voldoende zijn beveiligd, loopt u ook bij een verlies minder risico dat er persoonsgegevens in verkeerde handen terecht komen;
• Maak afspraken met uw bewerkers. Meestal mag u overeenkomen met de bewerkers van uw persoonsgegevens dat zij bij een datalek de melding moeten doen. Ook hiermee verkleint u het risico van een te late melding. Let wel: u blijft ten alle tijde eindverantwoordelijke van een tijdige melding!

Meldplicht datalekken

Datalekken komen voor in veel verschillende vormen. Door van te voren goed na te denken hoe u ermee omgaat kan uw organisatie een hoop leed bespaard blijven. Deze weblog vormt slechts een korte introductie op de Wet Meldplicht Datalekken. De daadwerkelijke gevolgen en risico’s verschillen echter van geval tot geval. GMW advocaten geeft u tijdens een vrijblijvend gesprek gratis advies hierover.