De vraag is niet óf een datalek zich binnen uw bedrijf zal voordoen, maar wanneer Het merendeel van de Nederlandse bedrijven voldoet nog lang niet aan de Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden. Zo blijkt uit een recent onderzoek van PwC Nederland dat 7 op de 10 bedrijven geen of slechts redelijk zicht heeft op datastromen naar derde partijen. In het eerste kwartaal van 2016 zijn er (slechts) 700 datalekken gemeld. Het vermoeden is dat lang niet alle datalekken worden gemeld. Toch moeten alle bedrijven klaar zijn om verantwoording af te leggen over de beveiliging van persoonsgegevens. Als de Autoriteit Persoonsgegevens de beveiliging ernstig verwijtbaar ondermaats vindt ingericht, kan de boete oplopen tot € 820.000,- of als deze niet passend genoeg is 10% van de wereldwijde netto-jaaromzet bedragen. Olaf van Haperen van Kneppelhout & Korthals Advocaten geeft toelichting. Eigenlijk verwerkt ieder bedrijf persoonsgegevens, variërend van informatie over werknemers tot gegevens van klanten of leveranciers. Daarmee valt ieder bedrijf onder de Wet bescherming persoonsgegevens. Het gaat om die gegevens die herleidbaar zijn tot een natuurlijk persoon. Er is al sprake van verwerking van persoonsgegevens als gegevens van uw klanten (tijdelijk) worden opgeslagen, zelfs als uw klant een bedrijf is. U heeft namelijk altijd wel een contactpersoon waarvan u (ook) persoonsgegevens bewaart. In geval van een online webshop heeft die klant vaak ook een eigen account, waarin tal van persoonsgegevens kunnen worden opgeslagen, gewijzigd en verwijderd. Maar elk bedrijf verzamelt ook persoonsgegevens van eigen werknemers. Denk bijvoorbeeld aan uw verzuim- en personeelsregistratie. Zodra u voor een bepaald doel persoonsgegevens verwerkt en daarvoor de middelen ter beschikking stelt, heeft u een vergaande verantwoordelijkheidsplicht. Wat is een datalek? Een datalek is een beveiligingsincident, waarbij persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking redelijkerwijs niet is uit te sluiten. Het is dus een heel ruim begrip waar alle vormen van onbevoegde toegang onder vallen, maar ook de vernietiging van data (opzettelijk of per ongeluk). Een datalek hoeft niet per se een ‘hack’ te zijn. Ook een medewerker die een veiligheidsmaatregel omzeilt, een malwarebesmetting, een rondslingerend wachtwoord of een calamiteit zoals brand in een datacentrum, kunnen dus leiden tot een overtreding van de Wet bescherming persoonsgegevens. Datalekken vinden dikwijls buiten uw macht plaats. Niet verwonderlijk dus, die twintig meldingen in de eerste week van 2016. Melden: aan de Autoriteit Persoonsgegevens èn de betrokkene? U hoeft echter niet ieder datalek te melden bij de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot ‘(een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’. Een factor die hierbij wel een rol speelt is de aard van de gelekte persoonsgegevens. Denk hierbij aan medische gegevens, gegevens over politieke of levensovertuiging, ras, maar ook financiële gegevens (zoals betalingsachterstanden), gebruikersnamen, wachtwoorden en andere inloggegevens of gegevens die kunnen leiden tot (identiteits)fraude. Als er dergelijke persoonsgegevens van gevoelige aard zijn gelekt, dan is een melding binnen 72 uur (!) bij de Autoriteit Persoonsgegevens eigenlijk altijd noodzakelijk. Het wel of niet melden van een datalek is een (juridisch) lastige vraag; raadpleeg hiervoor dan ook altijd een deskundige, zoals Kneppelhout & Korthals Advocaten. Kneppelhout & Korthals is één van de grootste full-service advocatenkantoren van Rotterdam dat zich richt op ondernemers in de handel, industrie, maritieme sector, transport, export, bouw, vastgoed en telecom. Verder bepaalt de Wet dat u (ook) een melding moet doen aan de betrokkene wiens gegevens zijn gelekt (uw klant of medewerker) als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Zij kunnen namelijk door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u denken aan onrechtmatige publicaties, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe ook van uitgaan dat u dit ‘onverwijld’ (!) aan deze betrokkene moet melden. U dient de betrokkene in staat te stellen maatregelen te nemen en hem hierover zelfs te adviseren. Blacklist en schadelijke gevolgen Wanneer blijkt dat het datalek te wijten valt aan inadequate beveiliging en een bindende aanwijzing van de Autoriteit Persoonsgegevens niet wordt opgevolgd, of als er sprake is van opzet/ernstig verwijtbare nalatigheid, kan een hoge boete worden opgelegd. Ook komt uw bedrijf op een (niet-openbare) blacklist en zal de Autoriteit Persoonsgegevens u dus gaan monitoren. Bovendien kan een datalek zelf al leiden tot slechte publiciteit. De gevolgen van een datalek kunnen dus zeer ingrijpend en schadelijk zijn. Alleen door preventief maatregelen Olaf van Haperen, Managing Partner en Advocaat te nemen, kunnen ondernemers deze schade beperken of zelfs voorkomen. Zodra een datalek zich voordoet, kan het al te laat zijn. “Datalekken vinden dikwijls buiten uw macht plaats” Privacy is belangrijk voor iedereen, dus ook voor uw klanten, medewerkers en andere relaties. Bereidt u zich daarom goed voor. De vraag is immers niet óf een datalek zich zal voordoen, maar wanneer. 6 tips voor elk bedrijf Creëer bewustzijn binnen uw bedrijf. Zorg voor een beleidsdocument voor informatiebeveiliging dat voldoet aan de (in uw branche geldende) normen. Voorzie uw bedrijf van passende juridische, organisatorische en technische beveiligingsmaatregelen: bijvoorbeeld het uitsluiten van onbevoegde toegang, zowel digitaal als fysiek. Zorg voor een up-to-date draaiboek voor het geval een datalek zich voordoet. Zorg ervoor dat uw leverancier (bijvoorbeeld uw hostingbedrijf) de contractuele plicht heeft een datalek aan u te melden. Overweeg uw digitale risico’s te verzekeren. In de Benelux waren er in 2015 in totaal 8 geregistreerde datalekken. In het jaar 2016 werd voor het eerst een Apple-computer getroffen door ransomeware. 11
12 Online Touch Home