Help de privacy bij datalekken

Leestijd: 3 minuten

Meer dan een miljoen banktransacties toegankelijk voor buitenstaanders. 140.000 zakelijke telecomaccounts in te zien en aan te passen. Gegevens van 500.000 ziekenhuispatiënten op internet te lezen. You name it. Allemaal bekende of grote voorbeelden waarbij er sprake is geweest van een zogenaamd datalek.

Ook op kleinere schaal kan er sprake zijn van een datalek. En dat is minstens zo schadelijk. Denk aan (identiteits)fraude.

Konden datalekken voorheen ‘in de doofpot’ worden gestopt, met de komst van de meldplicht datalekken op 1 januari 2016 is dat voorbij. Op straffe van flinke represailles. Daarmee wil de wetgever de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken. En hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen bij het omgaan met persoonsgegevens.

Smalle meldplicht kwam eerst

Een meldplicht voor datalekken is niet nieuw. Sinds medio 2012 geldt op grond van de Telecommunicatiewet (Tw) voor aanbieders van openbare elektronische communicatiediensten – de telecomproviders en internet service providers – een meldplicht.

De melding moet worden gedaan aan de toezichthouder en in een aantal gevallen aan degene wiens persoonsgegevens het betreft (de betrokkene). Een datalek moet aan de toezichthouder worden gemeld als dit nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De meldplicht Tw vindt zijn oorsprong in Europese privacyregels.

Met het inwerking treden van de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) hebben aanbieders met twee meldplichten datalekken te maken. Bijvoorbeeld bij verlies van klantgegevens (Tw) en personeelsgegevens (Wbp). Een datalek dat (deels) valt onder de meldplicht Tw moet aan de Autoriteit Persoonsgegevens (AP) worden gemeld. Er is dus één toezichthouder die hierop handhaaft. Uitgangspunt is dat een datalek niet dubbel wordt gemeld.

Brede meldplicht krijgt zijn beslag

Niet alleen aanbieders, maar ook andere (private en publieke) organisaties verzamelen en gebruiken persoonsgegevens. Denk aan het verwerken van digitale bestanden met persoonsgegevens van hun klanten, patiënten, medewerkers en burgers. De (nieuwe) privacyregels gelden daarom niet alleen voor telecom- en internet service providers, maar ook voor bijvoorbeeld het bedrijfsleven, zorginstellingen en overheden.

De meldplicht datalekken in de Wbp heeft twee aspecten:

1. doorbreking van beveiligingsmaatregelen van persoonsgegevens (meldplicht datalekken);
2. uitbreiding bevoegdheid van de AP om bij overtreding een bestuurlijke boete op te leggen.

Betekenis brede meldplicht in de praktijk

Er geldt een meldplicht aan:

1. de AP als een datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens;
2. de betrokkene als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Denk aan het lekken van gezondheidsgegevens van patiënten of inloggegevens van klanten. Deze melding is niet nodig als de gegevens ontoegankelijk en onbegrijpelijk zijn gemaakt voor onbevoegden (encrypted).

Een datalek moet onverwijld worden gemeld. Voor een melding aan de AP betekent dit zonder onnodige vertraging en niet later dan 72 uur na de ontdekking.

Niet nakomen van de regels kan pijn doen. Het boetemaximum op overtreding van de meldplicht datalekken is 500.000 euro en kan zelfs oplopen tot 820.000 euro. Maar je voelt het niet alleen in je portemonnee. Als een datalek in de openbaarheid komt, kan reputatieschade een aanzienlijke post zijn. Daar wordt niemand blij van.

Voorbereiden en stappen zetten

De meldplicht datalekken heeft ingrijpende verplichtingen en gevolgen voor bedrijven, zorginstellingen en overheden. Het is dus zaak dat je nodige en adequate maatregelen neemt om de implementatie binnen de organisatie door te voeren.

Ga aan de slag met het optuigen of aanpassen van jouw interne procedures. Zodat je datalekken kunt voorkomen. En je deze tijdig kunt opsporen, melden en aanpakken.

Start met het informeren van de medewerkers in je organisatie. En regel wie, wat, wanneer moet doen. Zorg voor een herstelproces waarin de relatie met betrokkenen ook aandacht krijgt. Als je het verwerken van persoonsgegevens uitbesteedt aan een derde, de bewerker, dienen verplichtingen te worden doorgezet naar deze bewerker. Maak goede en heldere afspraken in een bewerkersovereenkomst. Bijvoorbeeld hoe moet worden gehandeld direct ná het ontdekken van een datalek door de bewerker. Bedenk dat dan de meldingstermijn gaat lopen.

Voorkomen is beter dan genezen, toch?

Met de toename van de digitalisering en vooruitsnellende technologie kunnen onze data gemakkelijker op straat komen te liggen. En dat heeft nadelige gevolgen voor jou en mij. Nu en in de toekomst. Het loont om ons daar bewust van te blijven.

De nieuwe regels helpen mee aan (meer) bewustwording én het nemen van de verantwoordelijkheid door alle partijen. Bekijk de challenge-video hierboven en laat je inspireren!

Heb jij al een plan van aanpak voor de beveiliging van persoonsgegevens en een draaiboek voor het melden van datalekken? Wat vind je van de meldplicht datalekken? Geef jouw reactie.

posted by: Cheryl
date: 3 maart 2016
dit artikel is eerder gepubliceerd op www.ntcs.nl