Een datalek en privacybeleid

Vooraf goed regelen, achteraf goed afhandelen

De invoering van de Algemene verordening gegevensbescherming (AVG) zet privacy nog hoger op de agenda. Bedrijven, overheden en andere organisaties kunnen er niet omheen: zij zullen zich moeten voorbereiden op de komst van de AVG. Zo gaf de Europese Commissie in mei 2017 Facebook een boete van 110 miljoen euro voor privacyschendingen. De waarschuwing die de Commissie met deze boete afgeeft, is er niet alleen één voor multinationals met de omvang van Facebook, maar geldt ook voor kleine en middelgrote bedrijven.

Naarmate de inwerkingtreding van de AVG in zicht komt, is de verwachting dat de Autoriteit Persoonsgegevens (AP) ook kleinere bedrijven strenger gaat controleren. Organisaties pikken dit op en nemen maatregelen. De boetes die zijn gesteld op het overtreden van de AVG zijn fors. Voorkomen is dus beter dan genezen. Dat kan met een weloverwogen privacybeleid.

Datalek

Ondernemers kloppen steeds vaker aan bij een advocaat om hen te helpen met privacy of bij een datalek. Maar wat is nu een datalek? Om te beginnen moet sprake zijn van een beveiligingsincident. Dat is al snel het geval, want een USB-stick is zo verloren en een laptop kan eenvoudig uit de kofferbak gestolen worden. Niet ieder beveiligingsincident levert ook direct een datalek op. Daarvoor is ook nodig dat data in handen van derden terecht is gekomen of dat er sprake kan zijn van onrechtmatige verwerking, bijvoorbeeld doordat een derde partij door het datalek toegang heeft tot uw klantenbestand. In veel gevallen is het verzenden van een e-mail aan de verkeerde ontvanger daarom nog geen datalek.

Advocaat Vincent Audiffred noemt als praktijkvoorbeeld een onderwijsinstelling waarvan de server was gehackt. “Vanuit de server van deze onderwijsinstelling werd aan de circa 5.000 aan haar verbonden studenten een e-mail gezonden met het verzoek om voor de administratie een kopie van hun paspoort te mailen. Alvorens de onderwijsinstelling de hack opmerkte en haar server had uitgezet, hadden al enkele honderden studenten een kopie van hun paspoort teruggemaild. Deze studenten kunnen de aankomende jaren spookfacturen verwachten van op hun naam afgesloten telefoonabonnementen. De onderwijsinstelling heeft betreffende studenten daarvan op de hoogte gesteld.”

Een minder ernstig praktijkvoorbeeld is wanneer een e-mail niet in de BCC aan een adressenbestand wordt gezonden. Wanneer dat niet wordt gedaan, krijgt elke geadresseerde daarmee de beschikking over het volledige adressenbestand. Een e-mailadressenbestand kan bijvoorbeeld interessant zijn voor spammers.

Meldplicht

Als een datalek ernstige nadelige gevolgen kan opleveren voor de bescherming van persoonsgegevens, moet het lek gemeld worden. Bijvoorbeeld als het gaat om gevoelige of grote hoeveelheden gegevens of als de gegevens betrekking hebben op kwetsbare personen. In dat geval moet een datalek gemeld worden bij de AP. En in sommige gevallen moet een datalek zelfs aan de betrokkene gemeld worden. Dit laatste moet als het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkene, bijvoorbeeld als er gegevens zijn gelekt die kunnen leiden tot discriminatie of identiteitsfraude. Als u de meldplicht schendt, riskeert u een hoge boete. Als dat u persoonlijk te verwijten is, kan u – als bestuurder – die zelfs rechtstreeks opgelegd krijgen.

Voorkomen en genezen

Het voorkomen van datalekken moet een speerpunt zijn voor organisaties. Dat gaat over technische maatregelen, maar ook over heldere afspraken met het personeel en derden. Maar minstens zo belangrijk is vastleggen hoe gehandeld wordt als zich onverhoopt toch een datalek voordoet. En dat niet alleen om boetes van de AP te voorkomen, maar evengoed om klanten en stakeholders te laten zien dat u hun data serieus neemt. Een protocol Datalekken is een wezenlijk onderdeel van een integraal privacybeleid.

Privacy is meer

De AVG vraagt bovendien (veel) meer van organisaties. Zo moeten organisaties onder meer zorgen voor een passende beveiliging van persoonsgegevens. Een andere belangrijke verplichting is het sluiten van verwerkersovereenkomsten met partijen (verwerkers) buiten uw bedrijf die persoonsgegevens verwerken van u of uw relaties. Denk daarbij bijvoorbeeld aan de arbodienst, de salarisadministratie en het wervings- en selectiebureau. U wilt dat die partijen ook conform de privacywetgeving met persoonsgegevens omgaan. De verplichtingen die voor u gelden, waaronder de Meldplicht datalekken, geeft u met een verwerkersovereenkomst door aan de verwerkers. Een belangrijk onderdeel in de verwerkersovereenkomst is vanzelfsprekend de aansprakelijkheid: u wilt uiteraard niet voor de schade opdraaien als de verwerker het niet zo nauw neemt met de privacywet.

Daarnaast geeft de AVG individuen vergaande rechten om hun persoonsgegevens te beschermen. Die rechten maken dat organisaties op ieder moment glashelder in beeld moeten hebben welke persoonsgegevens zij verwerken, zodat er – bijvoorbeeld wanneer om inzage wordt gevraagd – snel gehandeld kan worden. Dit is slechts een aantal voorbeelden van ‘zaken’ die organisaties onder de AVG op orde zullen moeten hebben. Kortom, maak er werk van!

Boetes voorkomen

Dit artikel is tot stand gekomen in samen­werking met mr. Vincent Audiffred van SWDV Advocaten. Hij houdt zich o.a. bezig met het onderwerp datalekken. “Ondernemers moeten zich afvragen of zij bestanden met persoonsgegevens nodig hebben en zo ja, op welke wijze het risico dat deze informatie toegankelijk is voor derden, kan worden beperkt. Werken medewerkers bijvoorbeeld wel met een beveiligde toegang tot de bestanden? En is het noodzakelijk dat medewerkers bestanden kunnen up- en downloaden op usb-stick, telefoon en laptop? De advocaten van SWDV Advocaten lichten u graag voor over de juridische gevolgen van een datalek en wat u moet doen om hoge boetes te voorkomen.

SWDV-Advocaten
Haarlem/Hoofddorp
023 517 5100
advocaten@swdv.nl

Heeft u een vraag over dit artikel?

Vincent Audiffred
Advocaat
Expertises: Contractenrecht, Intellectueel eigendom, Procesrecht