Winkelmand

Geen producten in de winkelwagen.

Meldplicht datalekken: Zo voorkom je een boete van 8 ton

Alle bedrijven die persoonsgegevens verwerken zijn vanaf 1 januari verplicht om 'ernstige' datalekken te melden bij de overheid, op straffe van een boete die kan oplopen tot 820.000 euro. Maar wanneer moet je zo'n lek melden?

Je medewerker verliest een laptop met onversleutelde, financiële klantgegevens; een hacker steelt  klantgegevens en wachtwoorden: het kan goed misgaan met data. Het College Bescherming Persoonsgegevens (CPB) publiceerde woensdag nieuwe beleidsregels rondom dit soort datalekken.

Belangrijkste nieuwigheid: er komt een meldplicht. “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten”, zegt CBP-voorzitter Jacob Kohnstamm. Hij noemt de meldplicht geen doel op zich, “maar een middel om te zorgen dat datalekken worden voorkomen”.

Definitie

Het CBP definieert een datalek als volgt: er is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of ‘onrechtmatige verwerking’. Behalve het vrijkomen (lekken) van persoonsgegevens naar de buitenwereld kan het ook gaan om de vernietiging en andere vormen van onrechtmatige verwerking.

Impact

Maar wanneer is een lek zo ernstig dat het onder de meldplicht valt? Dat is afhankelijk van de impact van het lek ‘op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen’, aldus het CBP. Melden is alleen verplicht als het lek leidt tot ‘de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’.

In sommige gevallen moeten bedrijven het datalek ook melden aan de mensen van wie de persoonsgegevens zijn: als er ‘waarschijnlijk ongunstige gevolgen’ dreigen voor hun persoonlijke levenssfeer.

Belangrijk is of het draait om persoonsgegevens van gevoelige aard. Behalve wachtwoorden en paspoorten kun je daarbij denken aan informatie over betalingsachterstanden, gezondheid, relaties, levensovertuiging, ras of politieke gezindheid.

Om nog beter in te kunnen schatten of er sprake is van meldplicht: check de definitieve beleidsregels.

Vtech

Voor voorbeelden van “ernstige” lekken CBP verwijst naar de zaak rondom speelgoedbedrijf Vtech, waarbij vorige week bekend werd dat bij een hack de gegevens van 124.730 Nederlandse kinderen en ruim 100.000 ouders zijn gestolen. Recente datalekken die ook veel ophef veroorzaakten zijn die van de gehackte datingsite Ashley Madison en het Groene Hart Ziekenhuis in Gouda, waar tientallen medische dossiers en de gegevens van honderdduizenden patiënten zijn jarenlang via internet toegankelijk zijn geweest op een nauwelijks beveiligde computer.

Creditcards

Andere, minder bekende voorbeelden zijn een envelop met creditcardbetalingsgegevens van 800 personen die per ongeluk niet was versnipperd maar in een vuilnisbak gegooid. Iemand anders haalde de gegevens uit de vuilniscontainer op straat en gaf (of verkocht) ze door. Of de diefstal van een versleutelde laptop uit de auto van een financieel adviseur, met daarop de financiële gegevens (hypotheken, salarissen, leningen) van 1000 mensen.

Voorbeelden van zaken die niet onder de meldplicht vallen:

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.
  • Een brief met daarin persoonsgegevens die naar een foutief adres wordt gestuurd en ongeopend retour wordt gezonden.
  • Een koffer met persoonsgegevens achterlaten in de trein, terwijl die is voorzien van een deugdelijk slot en via ‘gevonden voorwerpen’ ongeopend terugkomt bij de rechtmatige eigenaar.
  • Het zoekraken of gehackt worden van de ledenadministratie van een sportvereniging. Dat leidt weliswaar tot het nodige ongemak voor de verenging en haar leden, ‘maar zal niet snel aanleiding geven tot een melding bij het CBP’.

Tips

Het college geeft ook een paar tips om je als ondernemer goed voor te bereiden op de meldplicht.

  • Richt een goed systeem in rondom het beheren van incidenten;
  • Beslis wie in het bedrijf datalekken gaat beoordelen en melden bij het CBP;
  • Denk alvast na over hoe je de betrokkenen gaat informeren bij een datalek;
  • Denk na over hoe je omgaat met signalen uit de buitenwereld over mogelijke datalekken;
  • Controleer afspraken met de mensen of bedrijven waaraan je de gegevensverwerking hebt uitbesteed, bijvoorbeeld een administratiekantoor.

Vanaf 1 januari staat er een formulier op de website van het CBP (dat tegen die tijd Autoriteit Persoonsgegevens (AP) gaat heten), waarmee datalekken kunnen worden gemeld. Zo’n melding moet uiterlijk 72 uur na de ontdekking van het lek gedaan zijn. De toezichthouder controleert na een melding of betrokkenen al dan niet zijn geïnformeerd en besluit of er aanleiding is om een onderzoek te starten naar de naleving van de privacywetgeving.