Meerderheid Nederlandse bedrijven voldoet nog niet aan privacyregels

Het merendeel van de Nederlandse bedrijven voldoet nog lang niet aan de Wet Meldplicht Datalekken, die op 1 januari 2016 in werking is getreden. Zo blijkt uit een recent onderzoek (PwC) dat 7 op de 10 bedrijven geen of slechts redelijk zicht heeft op datastromen naar derde partijen. Ook zijn in de eerste week van 2016 al twintig datalekken gemeld bij de Autoriteit Persoonsgegevens. Bedrijven moeten klaar zijn om verantwoording af te leggen over de beveiliging van persoonsgegevens. Als de Autoriteit Persoonsgegevens de beveiliging ernstig verwijtbaar ondermaats vindt ingericht, kan de boete oplopen tot 820.000 euro of als deze niet passend genoeg is 10 procent van de netto-jaaromzet bedragen.

Eigenlijk verwerkt ieder bedrijf persoonsgegevens, variërend van informatie over werknemers tot gegevens van klanten of leveranciers. Daarmee valt ieder bedrijf onder de Wet bescherming persoonsgegevens. Het gaat om die gegevens die herleidbaar zijn tot een natuurlijk persoon. Er is al sprake van verwerking van persoonsgegevens als gegevens van uw klanten (tijdelijk) worden opgeslagen, zelfs als uw klant een bedrijf is. U heeft namelijk altijd wel een contactpersoon waarvan u (ook) persoonsgegevens bewaart. In geval van een online webshop heeft die klant vaak ook een eigen account, waarin tal van persoons-gegevens kunnen worden opgeslagen, gewijzigd en verwijderd. Maar elk bedrijf verzamelt ook persoonsgegevens van eigen werknemers. Denk bijvoorbeeld aan uw verzuim- en personeelsregistratie. Zodra u voor een bepaald doel persoonsgegevens verwerkt en daarvoor de middelen ter beschikking stelt, heeft u een vergaande verantwoordelijkheids-plicht.

Datalek

Een datalek is een beveiligingsincident, waarbij persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking redelijkerwijs niet is uit te sluiten. Het is dus een heel ruim begrip waar alle vormen van onbevoegde toegang onder vallen, maar ook de vernietiging van data (opzettelijk of per ongeluk). Een datalek hoeft niet per se een ‘hack’ te zijn. Ook een medewerker die een veiligheidsmaatregel omzeilt, een malwarebesmetting, een rond-slingerend wachtwoord of een calamiteit zoals brand in een datacentrum, kunnen dus leiden tot een overtreding van de Wet bescherming persoonsgegevens. Datalekken vinden dikwijls buiten uw macht plaats. Niet verwonderlijk dus, die twintig meldingen in de eerste week van 2016.

Melden: aan de Autoriteit Persoonsgegevens èn de betrokkene?

U hoeft echter niet ieder datalek te melden bij de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot “(een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”. Een factor die hierbij wel een rol speelt is de aard van de gelekte persoonsgegevens. Denk hierbij aan medische gegevens, gegevens over politieke of levensovertuiging, ras, maar ook financiële gegevens (zoals betalingsachterstanden), gebruikersnamen, wachtwoorden en andere inloggegevens of gegevens die kunnen leiden tot (identiteits)fraude. Als er dergelijke persoonsgegevens van gevoelige aard zijn gelekt, dan is een melding binnen 72 uur (!) bij de Autoriteit Persoonsgegevens eigenlijk altijd noodzakelijk. Het wel of niet melden van een datalek is een (juridisch) lastige vraag; raadpleeg hiervoor dan ook altijd een deskundige.

Verder bepaalt de wet dat u (ook) een melding moet doen aan de betrokkene wiens gegevens zijn gelekt (uw klant of medewerker) als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Zij kunnen namelijk door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u denken aan onrechtmatige publicaties, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe ook van uitgaan dat u ‘onverwijld’ (!) aan deze betrokkene moet melden. U dient de betrokkene in staat te stellen maatregelen te nemen en hem hierover zelfs te adviseren.

Blacklist en schadelijke gevolgen

Wanneer blijkt dat het datalek te wijten valt aan inadequate beveiliging en een bindende aanwijzing niet wordt opgevolgd, of als er sprake is van opzet/ernstig verwijtbare nalatigheid, kan een hoge boete worden opgelegd. Ook komt uw bedrijf op een (niet-openbare) blacklist en zal de Autoriteit Persoonsgegevens u dus gaan monitoren. Bovendien kan een datalek zelf al leiden tot slechte publiciteit. De gevolgen van een datalek kunnen dus zeer invasief en schadelijk zijn. Alleen door preventief maatregelen te nemen, kunnen ondernemers deze schade beperken of zelfs voorkomen. Zodra een datalek zich voordoet, kan het al te laat zijn.

Vijf tips voor elk bedrijf

  1. Creëer 'awareness' binnen uw bedrijf;
  2. Zorg voor een beleidsdocument voor informatiebeveiliging dat voldoet aan de (in uw branche geldende) normen;
  3. Voorzie uw bedrijf van passende juridische, organisatorische en technische beveiligingsmaatregelen: bijvoorbeeld het uitsluiten van onbevoegde toegang, zowel digitaal als fysiek;
  4. Zorg voor een up-to-date draaiboek voor het geval een datalek zich voordoet;
  5. Zorg ervoor dat uw leverancier (bijvoorbeeld uw hostingbedrijf) de contractuele plicht heeft een datalek aan u te melden.  

Privacy is belangrijk voor iedereen, dus ook voor uw klanten, medewerkers en andere relaties. Bereidt u zich daarom goed voor. De vraag is immers niet óf een datalek zich zal voordoen, maar wanneer…

Dit artikel verscheen tevens in de februari editie van TexPress Magazine.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.