43 Als er extra veiligheidsmaatregelen zijn getroffen, zoals adequate encryptie die voorkomt dat de data inzichtelijk wordt voor derden, waardoor er ondanks de hack van de gegevens geen nadelige gevolgen optreden, is geen melding aan de betrokkenen nodig. Een organisatie die het datalek niet meldt, riskeert een hoge boete. “Het is aan de organisatie zelf om de ernst te beoordelen, maar je hebt een wettelijke meldplicht.” gegevensbewerker De organisatie die verantwoordelijk is voor de gegevens moet de melding doen bij een datalek. Daarnaast heb je bewerkers. Kartner legt het verschil uit aan de hand van een toelichting: “Bij het doen van een belastingaangifte voor een klant is een kantoor een verantwoordelijke en geen bewerker. Heeft een klant personeel in dienst en is de salarisverwerking uitbesteed, dan is het administratiekantoor bewerker van deze gegevens. De werkgever blijft de verantwoordelijke.” Fay Kartner De algemene beveiligingsplicht houdt in dat een organisatie, bijvoorbeeld als deze wordt getroffen door een hack, achteraf moet kunnen aantonen dat ze voldoende organisatorische en technische maatregelen heeft getroffen om de persoonsgegevens afdoende te beschermen. Denk aan beveiligde verbindingen en het versleutelen van gevoelige informatie. Kartner: “Heeft een van jouw leveranciers het eigen netwerk minder goed beveiligd, dan kun jij de verplichtingen niet nakomen tegenover de partij met wie jij afspraken hebt gemaakt.” Als het gegevens zijn waar je als organisatie verantwoordelijk voor bent, die je voor eigen doelen verwerkt – bijvoorbeeld omdat het jouw personeel is – dan moet je de datalek binnen 72 uur melden. “Is de administratie uitbesteed, dan wil je dus snel geïnformeerd zijn over een lek, zodat je voldoende tijd hebt om de betrokkenen en de Autoriteit in te lichten.” De keten van verwerkers kan nog langer zijn, vertelt Kartner. Bijvoorbeeld omdat het administratiekantoor een online loonapplicatie gebruikt of de informatie in de cloud bewaart. “Met al die partijen moeten afspraken worden gemaakt, zodat de melding tijdig wordt doorgezet.” Kartner gebruikt opnieuw het voorbeeld van een kantoor dat de personeelsadministratie voor een klant voert. “Het bedrijf waarvoor je de administratie doet, is verantwoordelijk voor de gegevens. Bij een lek moet de werkgever de melding doen. Daarom is het zaak dat je contractueel vastlegt dat het administratiekantoor het lek moet melden, zodat de werkgever de melding kan doorspelen aan de Autoriteit.” passende beveiliging Nieuw in de AVG is de zogenoemde verantwoordingsplicht. NOAB Bedrijven kunnen aansprakelijk worden gesteld voor een datalek wanneer ze de wettelijke verplichtingen niet nakomen. “Bijvoorbeeld wanneer je nalatig bent met de beveiliging of een datalek niet meldt,” legt Kartner uit. De Wet bescherming persoonsgegevens zegt niet meer dan dat je gegevens ‘passend’ moet beveiligen. De AVG sluit hierop aan, maar geeft een aantal voorbeelden, zoals een beveiligde verbinding, encryptie en het pseudonimiseren van persoonsgegevens, waarbij je bijvoorbeeld de namen vervangt door nummers. “De nieuwe wet zegt nog steeds niet wat passend is. De wetgever wil niet alles dichttimmeren, omdat de technologie razendsnel verandert.” Het gaat om de mindset, is haar boodschap. Een voorbeeld van een verwijtbaar datalek is een oud-werknemer die toegang houdt tot het systeem. “Een onderdeel van de privacywetgeving is dat je de toegang beperkt tot de mensen voor wie dat nodig is.” Bij passende beveiliging hoort ook het installeren en bijhouden van patches van softwareleveranciers en virusscanners. ■ Activa | Nummer 3 - 2017 Fotog r a f i e Pau l To lenaa r
44 Online Touch Home