artikelen

artikelen

Ruby Nefkens voor 'Vakblad Meubel', 20 december 2015

Nieuwe meldplicht datalekken
Het CBP, vanaf 1 januari a.s. de Autoriteit Persoonsgegevens, heeft onlangs beleidsregels gepubliceerd over de nieuwe meldplicht datalekken. Ik schreef er al eerder over. Ieder bedrijf dat persoonsgegevens verwerkt wordt straks verplicht om een ernstig lek daarvan te melden.

Doet u dat niet dan kunt u tegen een maximale boete van € 820.000,- oplopen. Belangrijk genoeg dus om u er op voor te bereiden. De beleidsregels, gepubliceerd op de website van het CBP https://cbpweb.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken geven aan wanneer er sprake is van zo’n ernstig datalek.

Ieder bedrijf dat persoonsgegevens verwerkt (opslaat, gebruikt etc.) is verplicht dit op een veilige manier te doen. Zo mogen er niet meer persoonsgegevens worden verzameld dan strikt noodzakelijk. De toegang tot de gegevens mag alleen toegestaan zijn aan die personen die de gegevens echt nodig hebben. En er moeten moderne beveiligingstechnieken worden gebruikt.

Ondanks dat zal het kunnen voorkomen dat de beveiliging niet voldoende is. Persoonsgegevens kunnen dan vrijkomen, worden vernietigd of onrechtmatig worden gebruikt door derden.

Het CBP geeft als voorbeelden: een USB stick met persoonsgegevens die wordt verloren, een gestolen laptop met persoonsgegevens of een hack. Het vrijkomen van persoonsgegevens komt met enige regelmaat voor. Recentelijk nog de Amerikaanse datingsite waar grote hoeveelheden klantgegevens openbaar werden gemaakt.

Bij een ernstig lek moet adequaat worden gehandeld. Ten eerste moet het lek binnen 72 uur gemeld worden. Ook moet bekeken worden of het aan de personen zelf gemeld moet worden. Wanneer bijvoorbeeld de persoonlijke financiële gegevens van iemand op straat liggen, dan moet dat ook aan de persoon zelf gemeld worden. Een ander voorbeeld: een laptop wordt gestolen met persoonsgegevens, die niet herleidbaar zijn tot een persoon omdat deze zijn versleuteld. Echter van de gegevens is geen back-up gemaakt. Dan moet het lekken als zodanig toch gemeld worden. Dit hoeft niet aan de personen zelf gemeld te worden, omdat de gegevens versleuteld zijn.

Om straks adequaat te kunnen handelen is van belang om uw organisatie daarvoor gereed te maken.

Een aantal tips:

  • Breng in kaart welke persoonsgegevens u verwerkt, waar die staan opgeslagen, wie daartoe toegang heeft en hoe de gegevens zijn beveiligd.
  • Draag er zorg voor dat de verwerking zowel organisatorisch als technisch veilig is.
  • Wijs iemand binnen de organisatie aan die zorg draagt voor de veilige verwerking van persoonsgegevens en de directie direct informeert wanneer er sprake is van een lek.
  • Maak een beleid en richt een meldingsprocedure in voor het geval melden nodig is.

Wanneer u de persoonsgegevens niet zelf bewerkt, maar dit laat doen, bijvoorbeeld uw personeelsadministratie, dan is het belangrijk om de afspraken die u met de zogenaamde ‘bewerker’ heeft gemaakt te controleren. Staan deze op schrift? De bewerker heeft ook zelfstandig verplichtingen. Hij mag alleen in opdracht de persoonsgegevens bewerken. De bewerker moet zorg dragen voor goede beveiliging en voor geheimhouding van de gegevens. Komt de bewerker zijn verplichtingen niet na, dan is hij zelfstandig aansprakelijk.

Kortom, de nieuwe meldplicht datalekken ziet strenger toe op de correcte verwerking van persoonsgegevens. Reden te meer om uw organisatie hierop, zo nodig, aan te passen.

Ruby Nefkens
nefkens@vandersteenhoven.nl
+31 (0)6 43 36 80 63

Aan de samenstelling en inhoud van dit artikel is de meeste zorg besteed. Ruby Nefkens en Van der Steenhoven advocaten aanvaarden geen verantwoordelijkheid ten aanzien van op basis van dit artikel genomen beslissingen, tenzij zij vooraf in concrete gevallen zijn geraadpleegd.

 

Contact opnemen met ons?
 

  +31 (0)20 607 79 79
 

  mail@vandersteenhoven.nl