Mijn werknemer veroorzaakt een datalek, wat nu?

Datalekken in het nieuws

Sinds de invoering  van de meldplicht datalekken op 1 januari 2016, zijn er bij de Autoriteit Persoonsgegevens (hierna: “AP”) duizenden meldingen van datalekken binnengekomen. In de digitale wereld waarin we leven lopen bedrijven een groot risico dat werknemers zich ‘schuldig’ maken aan het veroorzaken van een dergelijk lek. Een mail naar een verkeerd persoon is al snel verzonden en de praktijk laat zien dat werknemers niet altijd even netjes omgaan met inloggegevens.

Wat is nou een ‘datalek’?

Er wordt van een datalek gesproken als er een inbreuk is op de beveiliging van persoonsgegevens.  Deze persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. In de Wet bescherming persoonsgegevens (hierna: “Wbp”) wordt gesproken over een inbreuk op de beveiliging van persoonsgegevens die leidt tot ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens’. Bij een datalek gaat het, kort gezegd, om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is geweest. Naast het ‘lekken’ van gegevens, valt ook ‘onrechtmatige verwerking’ van gegevens onder de definitie van een datalek. Kortom, een inbreuk op de beveiliging moet ruim worden opgevat. 

(bij wie) moet ik het melden?

Wanneer een (privaatrechtelijke of publiekrechtelijke) organisatie heeft vastgesteld dat sprake is van een datalek in de zin van de Wbp, dient de afweging te worden gemaakt of hiervan ook een melding aan de AP dient te worden gedaan. (Niet ieder datalek hoeft te worden gemeld.) Er moet een melding worden gedaan aan de AP wanneer het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er zal dan ook per geval een afweging moeten worden gemaakt of er een melding moet worden gedaan. Wanneer persoonsgegevens van gevoelige aard zijn gelekt, is er al snel sprake van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit heeft tot gevolg dat een melding moet worden gedaan. Onder persoonsgegevens van gevoelige aard worden onder andere verstaan gegevens over iemands godsdienst, ras of gezondheid. Ook gegevens over de financiële situatie van iemand kunnen worden aangemerkt als gegevens van gevoelige aard.                                                                                     

Indien er geen persoonsgegevens van gevoelige aard zijn gelekt en de aard en de omvang van de inbreuk niet leiden tot (een aanzienlijke) kans op ernstige nadelige gevolgen, is het niet nodig het datalek te melden. Ter illustratie heeft de AP in haar beleid een aantal voorbeelden genoemd van scenario’s  waarin sprake is van een datalek dat moet worden gemeld aan de AP:

  • een werknemer verliest een laptop met onversleutelde, financiële klantgegevens;
  • binnen een ziekenhuis wordt gesignaleerd dat door een storing in de beveiliging medische gegevens zijn ingezien door onbevoegden;
  • een werknemer van een internetprovider heeft zijn inloggegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens kan komen. 

De melding moet worden gedaan zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. De AP kan organisaties die de Wbp overtreden een boete geven van maximaal € 820.000. Voor een telecombedrijf dat een datalek niet meldt, is de maximale boete € 900.000.

In een aantal gevallen dient een datalek ook te worden gemeld aan de betrokkene. Ook hier geldt dat per geval een afweging dient te worden gemaakt. Kort samengevat kan worden gesteld dat wanneer geen of onvoldoende (technische) maatregelen zijn genomen om de melding achterwege te kunnen laten en het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, een melding moet worden gedaan aan de betrokkene. Wanneer bijvoorbeeld een werknemer van een verzekeraar zijn inloggegevens aan een derde heeft verstrekt die daardoor onbeperkt bij alle klantgegevens kan komen, dient dit datalek aan de betrokkene te worden gemeld. Een melding kan eventueel achterwege blijven wanneer sprake is van zwaarwegende redenen om dit niet te doen.

Tips

Een datalek (veroorzaakt door een werknemer) is nooit helemaal te voorkomen. Wel is het verstandig om bewustwording binnen de organisatie te creëren. Zorg ervoor dat de werknemers op de hoogte zijn van de risico’s die gepaard gaan met het verwerken van persoonsgegevens. Niet alleen organisatorisch zullen er maatregelen moeten worden genomen, ook technische maatregelen dienen te worden genomen ter voorkoming van een datalek. Zo moet de ICT omgeving van een bedrijf voldoen aan de eisen die de Wbp stelt. In een organisatie waar werknemers veel e-mails versturen met persoonsgegevens is het bijvoorbeeld verstandig om te werken met vertraagde e-mails. Mocht een werknemer er dan nog op tijd achter komen dat hij zijn e-mail naar een verkeerd persoon heeft verzonden, dan is er een mogelijkheid de e-mail in te trekken waardoor een mogelijk datalek wordt voorkomen. Daarnaast adviseren wij in de arbeidsovereenkomst een specifiek beding op te nemen, waarin de werknemer zich verplicht tot het melden van een datalek op straffe van een geldelijke boete.   

Vragen?

Heeft u vragen over dit onderwerp of heeft u hulp nodig bij het opstellen van een datelek beding in de arbeidsovereenkomst? Neem dan contact op met mr. Alexander Briejer en mr. Bob de Bruijn van de sectie Arbeidsrecht.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.