Meldplicht Datalekken – Waar ligt het risico? - Finext

Meldplicht Datalekken – Waar ligt het risico?

Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens uitgebreid met artikel 34a, de meldplicht datalekken. De toevoeging van dat artikel heeft als doel de schade die personen kunnen ondervinden door het lekken van persoonsgegevens te beperken. Welke nieuwe verplichtingen stelt de meldplicht datalekken aan jouw organisatie? In dit artikel geven we concrete handvatten om aan deze verplichtingen te voldoen.

Datalekken

De Autoriteit Persoonsgegevens (AP) heeft beleidsregels opgesteld aan de hand waarvan kan worden vastgesteld of een datalek gemeld moet worden bij de AP. Zo geldt:

Afbeelding1
In het geval dat persoonsgegevens ‘op straat’ zijn komen te liggen is de belangrijkste vraag die gesteld moet worden, of de persoon in kwestie ernstige gevolgen hiervan zal ondervinden. Zo kan het zijn dat een gestolen laptop met daarop een klantdatabase van jouw bedrijf voor maar een klein aantal klanten uit die database een datalek oplevert.

Risico’s in de praktijk

Vanaf 1 januari 2016 heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid om boetes op te leggen bij overtreding van de meldplicht datalekken. Deze bestuurlijke boete bedraagt maximaal 820.000 euro.
Een boete van de Autoriteit Persoonsgegevens (AP) vormt niet het enige risico. Het vertrouwen van klanten is een kostbaar goed. Reputatieschade door negatieve media-aandacht als gevolg van een datalek brengt het vertrouwen van klanten in gevaar. Je moet er niet aan denken dat jouw bedrijf op Facebook ter verantwoording wordt geroepen voor het openbaar worden van klantgegevens!

Verantwoordelijkheid

Wat is jouw rol vanuit IT, waar ligt de plicht om een datalek te melden? De meldplicht rust op de ‘verantwoordelijke’.

Schermafbeelding 2016-07-08 om 12.28.33

De bewerker van persoonsgegevens is niet verantwoordelijk voor het melden van een datalek. Het is voor jouw bedrijf als verantwoordelijke een absolute must om te zorgen voor het inrichten van maatregelen voor de interne bewerking van persoonsgegevens, maar ook om goede afspraken met externe bewerkers te maken. Informatie waarvoor jouw bedrijf verantwoordelijk is, is bijvoorbeeld een kopie paspoort in een medewerkersdossier of creditcardgegevens van klanten. Het maakt daarbij niet uit of je de verwerking van deze informatie hebt uitbesteed of de informatie zelf verwerkt.

Interne verantwoordelijkheid

Hoe zorg je ervoor dat je datalekken voorkomt? Dit stappenplan kan helpen om de interne verantwoordelijkheid in te vullen:

Schermafbeelding 2016-07-08 om 12.12.09

Externe verantwoordelijkheid

In het verleden was het al snel afdoende om een summiere bewerkersovereenkomst af te sluiten met externe bewerkers zoals payroll bedrijven. De meldplicht datalekken maakt hier een eind aan. De Autoriteit Persoonsgegevens stelt zwaardere eisen aan de bewerkersovereenkomsten. Zo moet het contract tussen jouw bedrijf en bijvoorbeeld de payroll verwerker onder andere bevatten:

Schermafbeelding 2016-07-08 om 12.23.16

Opdrachtgevers zijn verantwoordelijk voor de melding van een eventueel datalek bij de ingehuurde bewerker. Een bewerkersovereenkomst tussen verantwoordelijke en bewerker regelt de taken en verantwoordelijkheden om adequaat te kunnen reageren op een eventueel datalek. De meldplicht datalekken is een goede reden om te controleren of de bewerkersovereenkomst hierin voorziet.

Toekomst

De Europese Privacy Verordening (EVP) zal naar verwachting in 2018 de Wet bescherming persoonsgegevens gaan vervangen. Deze EVP zal een rechtstreekse werking hebben in alle lidstaten van de EU en richt zich ook op de bewerkers van persoonsgegevens, in plaats van alleen de verantwoordelijke. De melding van datalekken zal dan binnen 24 uur moeten worden gedaan en de boetes zullen stijgen tot maximaal 100 miljoen euro of 5% van de wereldwijde jaaromzet. Alle reden dus om zo snel mogelijk je organisatie klaar te maken voor de wet Meldplicht Datalekken, en alvast voor te sorteren op de Europese Privacy Verordening.

Governance, Risk & Compliance