Per 1 januari 2016 hebben alle in Nederland gevestigde organisaties (zowel bedrijven als overheden) de plicht om een ernstig datalek te melden aan de Autoriteit Persoonsgegevens (AP), voorheen het College Bescherming Persoonsgegevens.
Van een datalek is sprake als er door een beveiligingsincident persoonsgegevens verloren zijn gegaan of als de onrechtmatige verwerking ervan niet kan worden uitgesloten. Denk hierbij aan het verlies van een USB-stick, printjes achter gelaten op de printer, diefstal van een laptop, hacking, onbevoegde toegang tot een server. Melding aan de AP hoeft echter alleen als er gegevens van gevoelige aard zijn gelekt (zoals gegevens over iemands gezondheid, strafrechtelijk verleden, inloggegevens, etc). Ook de hoeveelheid gelekte gegevens per persoon of het aantal betrokkenen van wie persoonsgegevens zijn gelekt, kan reden zijn om het datalek te melden. De melding moet zo mogelijk binnen 72 uur na de ontdekking gemaakt worden.
Als het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van een betrokkene moet het datalek ook worden gemeld aan deze betrokkene (bijvoorbeeld ingeval van (identiteits-)fraude). U moet de betrokkene in dat geval tevens informeren over mogelijke maatregelen ter beperking van de gevolgen van de datalek. Als u voldoende technische maatregelen heeft genomen om de gelekte persoonsgegevens te beschermen (bijvoorbeeld via encryptie) of als er zwaarwegende redenen zijn tegen het informeren aan de betrokkenen (bijvoorbeeld vanwege een op handen zijnde overname) dan kan de melding aan de betrokkene achterwege blijven.
Als organisatie bent u zelf verantwoordelijk om de oorzaak van het datalek te achterhalen en maatregelen te treffen om herhaling te voorkomen en moet u tevens zelf de afweging maken of een datalek dient te worden gemeld aan de AP of aan de betrokkene. U moet een datalek ook melden als deze zich voordoet bij een partij die namens u persoonsgegevens verwerkt. Het is dan ook belangrijk hier goede afspraken over te maken.
De meldplicht datalekken heeft veel aandacht gekregen, vooral vanwege de hoge boetes die de AP kan uitdelen als er sprake is van ‘opzet’ of ‘ernstig verwijtbare nalatigheid’ die tot het datalek heeft geleid. Die boetes kunnen oplopen tot € 820.000 of 10 procent van de omzet. Wij, als Veenman, hebben gemerkt dat veel organisaties zich zorgen maken over deze boetes. M.i. is er geen reden tot zorgen. Het is echter wel belangrijk u bewust te zijn van het belang van goede bescherming van data binnen uw eigen organisatie, hoe u deze data kunt beveiligen en welke acties u uiteindelijk kunt nemen en hebt genomen om data te beveiligen. Een organisatie die zich hiervoor maximaal inspant en haar beveiligingsprocessen op orde brengt, zal naar alle waarschijnlijkheid niet snel aanlopen tegen een boete.
Wat de meldplicht datalekken precies teweeg zal gaan brengen, zal allemaal pas gaandeweg duidelijk worden, als de AP steeds meer inzicht krijgt in de hoeveelheid en aard van de gemelde datalekken en de achtergronden daarvan. Zo is er ook nog geen helderheid hoe het ongeldig verklaren van de Safe Harbour overeenkomst tussen Europese landen en de VS zich verhoudt tot deze meldplicht en wat organisaties kunnen of moeten doen om te voorkomen dat data in de VS worden opgeslagen.
Intussen raad ik u aan om bij twijfel altijd melding van een datalek te maken bij de AP, beter ten overvloede dan helemaal niet! De beleidsregels die door de AP zijn uitgegeven, geven een handvat bij het maken van een afweging of een datalek dient te worden gemeld. Mocht uit nader onderzoek blijken dat de melding onterecht was, dan kan deze ook altijd weer worden ingetrokken. De AP houdt een register bij van de ontvangen meldingen, maar deze is niet openbaar.
Beter nog is te voorkomen dat een datalek ontstaat! Neem daarvoor uw databeveiliging en print beheer eens goed onder de loep. Gebruikt u een wachtwoord voor elke laptop of desktop die regelmatig dient te worden gewijzigd? Heeft u data op andere wijze versleuteld? Gebruikt u een Firewall? Liggen er vaak printjes open en bloot op de printer? Elke vraag zal leiden tot een versterking van uw databeveiliging en de kans op een datalek verminderen.
Voor Veenman verandert er echter niets met de inwerkingtreding van deze wet. Immers, bij ons stond de beveiliging altijd al centraal, want we werken niet alleen met gegevens ván u, maar ook met gegevens óver u.
