artikelen

artikelen

Ruby Nefkens, 28 februari 2017

Wat te doen bij een datalek
Het is een jaar geleden dat organisaties verplicht werden ernstige datalekken te melden op straffe van een boete. Heeft u sindsdien te maken gehad met een datalek en wat heeft u daarmee gedaan?

Een datalek is het lekken, zoals openbaar maken of kwijtraken, van persoonsgegevens, terwijl de betrokkene daar geen toestemming voor heeft gegeven. Alleen wanneer er sprake is van ernstige nadelige gevolgen voor de betrokkenen, moet een datalek gemeld worden.

Wanneer u bijvoorbeeld aan een bestand van 1.500 relaties een nieuwsbrief stuurt en vergeet de e-mail adressen onzichtbaar te maken voor de ontvangers, dan is er sprake van een datalek. Een e-mailadres is namelijk een persoonsgegeven. Dit lekken heeft vermoedelijk geen ernstige nadelige gevolgen. Het is hooguit vervelend dat de e-mailadressen bekend zijn geworden aan anderen, terwijl daar geen toestemming voor is gegeven. Dit is echter geen datalek dat gemeld hoeft te worden. Dit kan anders zijn als de nieuwsbrief verstuurd wordt aan de leden van een vereniging met een specifieke levensovertuiging, of als er op die wijze fraudegevoelige gegevens gelekt zijn.

Een ander voorbeeld is het op straat komen liggen van de financiële gegevens van uw personeel, doordat uw HR manager zijn tas, waar de gegevens in zaten, in de trein heeft laten liggen. Als iedereen daarbij kan, is dit een datalek dat gemeld moet worden. Financiële gegevens zijn bijzondere gegevens, die goed beveiligd moeten worden. Daar kan misbruik van gemaakt worden. Wanneer de financiële gegevens op een laptop staan, en de laptop is voldoende beveiligd, hoeft het verliezen ervan niet gemeld te worden. Tenminste, als er een back-up is gemaakt. Anders kan het kwijtraken ervan wel ernstig nadelige gevolgen hebben voor het personeel.

In 2016 zijn 5.500 datalekken gemeld. Ruim 100 organisaties kregen van de toezichthouder, de Autoriteit Persoonsgegevens (AP) een waarschuwing en in tientallen gevallen heeft de AP een diepgaander onderzoek verricht naar de betreffende organisatie.

Er was vanuit gegaan dat er 66.000 meldingen gedaan zouden worden in het eerste jaar. 5.500 meldingen is dus aanzienlijk minder. Een verklaring daarvoor is dat wellicht niet duidelijk is wanneer een datalek ernstig genoeg is om gemeld te worden. Of dat organisaties bang zijn voor reputatieschade en er voor kiezen niet te melden, en daarbij het risico dat dit ontdekt wordt voor lief nemen.

Maar het zou ook kunnen dat werknemers zich niet bewust zijn van het feit dat een verloren usb-stick of een gestolen mobiele telefoon van de zaak met contactgegevens al een datalek is. En juist dit zijn de datalekken die veel voorkomen. Ook wanneer uw systeem gehackt is geweest kan sprake zijn van een datalek.

In bepaalde gevallen moet een datalek ook aan de betrokkene(n) gemeld worden. Bijvoorbeeld wanneer financiële gegevens gelekt zijn. Daar kan immers misbruik van gemaakt worden.

Het advies is dan ook om een interne procedure en een draaiboek op te stellen voor situaties waarin een datalek zich voordoet. Een datalek moet namelijk zo snel mogelijk (binnen 72 uur) na ontdekking aan de AP gemeld worden. Uw personeel zal vervolgens getraind moeten worden. Het personeel moet immers weten wat persoonsgegevens zijn, wie binnen het bedrijf daar toegang toe heeft, wie intern verantwoordelijk is voor de bescherming ervan en wat een datalek is. Een goede bescherming en beveiliging van persoonsgegevens moet prioriteit zijn. Het personeel zal bovendien gestimuleerd moeten worden een datalek intern aan de verantwoordelijke te melden. Deze laatste zal beoordelen of het lek gemeld moet worden aan de AP.

De AP heeft beleidsregels opgesteld over de meldplicht datalekken. Deze zijn terug te vinden op de website www.autoriteitpersoonsgegevens.nl.

Wanneer u kunt aantonen dat uw organisatie er al het nodige aan heeft gedaan om persoonsgegevens adequaat te beschermen, dan zal niet direct een boete worden opgelegd bij een datalek. Als u nog geen interne procedure heeft voor het melden van een datalek doet u er dan ook goed aan daarmee zo snel mogelijk aan de slag te gaan.

Ruby Nefkens
nefkens@vandersteenhoven.nl
+31 6 43 36 80 63

Aan de samenstelling en inhoud van dit artikel is de meeste zorg besteed. Ruby Nefkens en Van der Steenhoven advocaten aanvaarden geen verantwoordelijkheid ten aanzien van op basis van dit artikel genomen beslissingen, tenzij zij vooraf in concrete gevallen zijn geraadpleegd.

 

Contact opnemen met ons?
 

  +31 (0)20 607 79 79
 

  mail@vandersteenhoven.nl