Vanaf 1 januari is de meldplicht datalekken van kracht. Wat is het, wanneer is er sprake van en wat te doen? We gebruiken tegenwoordig steeds meer informatie en databronnen, zowel privé, maar ook in het bedrijfsleven en door overheden.

Iedereen moet er volledig op kunnen vertrouwen dat zijn persoonsgegeven voldoende worden beveiligd en beschermd zijn. Slechte beveiliging van deze persoonsgegevens kan leiden tot een datalek, waardoor gegevens kunnen worden misbruikt voor bijvoorbeeld identiteitsfraude.

Naast het letterlijk lekken van data moeten organisaties ook kijken naar hoe ze als organisatie met persoonsgegevens om gaan. Welke informatie en persoonsgegevens mag u wel gebruiken voor marketing doeleinden en welke data mag u niet gebruiken? Hoe kunnen marketeers zorgen voor een verantwoorde dialoog met hun doelgroep?

Dit houdt de wetgeving datalekken in

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen zodra de Autoriteit Persoonsgegevens een ernstig datalek hebben.

Dit betreft zowel grootschalig inbraak, het kwijtraken van data en diefstal, maar ook het onrechtmatig gebruiken van data en of persoonsgegevens. Bij overtreding van de wetgeving loop je kans op boetes die kunnen oplopen tot maximaal € 820.000,- of 10% van de jaaromzet per overtreding.

Met de meldplicht datalekken neemt Nederland een voorschot op de nieuwe Europese privacywetgeving. Deze nieuwe wetgeving verplicht alle Europese landen een data breach notification in te stellen. Dit houdt in dat voor inbreuk op deze wetgeving een meldplicht is ingesteld. De meldplicht zorgt er voor dat organisaties transparant en verantwoord met persoonsgegevens omgaan.

Voor ons als online marketeers is het belangrijk dat we deze persoonsgegevens rechtmatig gebruiken. Wat betekent dit nu in de praktijk en wat moet je als organisatie doen als er een datalek wordt vastgesteld?

Wat moet u als organisatie doen om persoonsgegevens te beveiligen?

Alle organisaties in Nederland zijn verplicht om passende maatregelen te nemen om persoonsgegevens te beveiligen conform de Wet bescherming persoonsgegevens (Wbp). Daarnaast geldt dat organisatie voor het verzamelen van online data ook aan de cookiewetgeving moeten voldoen.

De Wbp geeft aan dat hiervoor passende technische en organisatorische maatregelen moeten worden genomen. Dit gaat verder dan enkel het gebruik van moderne techniek, het betreft ook wie er bijvoorbeeld toegang hebben tot welke gegevens. Zie hiervoor ook ons artikel over Stappenplan (CBP) Instellen Privacy Instellingen Google Analytics.

Daarnaast kun je de volgende acties ondernemen om te zorgen dat je goed voorbereid bent op de meldplicht datalekken:

  • inventariseer wie uw gegevens verwerken en of met deze partijen een bewerkersovereenkomst is afgesloten;
  • update uw bewerkersovereenkomst met een bepaling omtrent datalekken;
  • sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement)
    waarin u persoonsgegevens benoemt;
  • controleer hoe bedrijven die voor u persoonsgegevens verwerken persoonsgegevens opslaan. Gebeurt dit veilig? Controleer dit uiteraard ook binnen uw eigen bedrijf;
  • als bedrijven zeggen gecertificeerd te zijn (bijvoorbeeld ISO 27001), vraag dan naar de scope van deze certificering;
  • ga na bij uw verzekeraar of verzekeringstussenpersoon of u verzekerd bent tegen het lekken van persoonsgegevens (een cyberrisico verzekering);v
  • hanteer intern een procedure voor de omgang met, en melding van, datalekken. Het verstandig de toegang tot persoonsgegevens binnen je organisatie te beperken. Geef enkel toegang aan medewerkers die dit nodig hebben en beperk hiermee de kans op mogelijk misbruik;
  • Verzamel enkel de gegevens die je ook echt nodig hebt voor een bepaald doel. Organisaties moeten er voor moeten zorgen dat ze niet meer persoonsgegevens verzamelen dan nodig is. Dit kan door bijvoorbeeld naam en andere identificerende kenmerken uit de gegevens te verwijderen.


Wanneer moet u een datalek melden?

Niet elke datalek hoeft worden gemeld aan de toezichthouders. Volgens de wetgeving is bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig) zoals bijvoorbeeld inloggegevens, financiële gegevens en kopieën van identiteitsbewijzen.

Indien het datalek ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dient u, naast de melding aan de toezichthouder, – het lek ook te melden aan de getroffen personen waarvan de gegevens zijn gelekt.

De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen personen, ligt te allen tijde bij u als organisatie. Bij een onjuiste inschatting en/of overtreding van de wetgeving loopt u kans op boetes die kunnen oplopen tot wel € 820.000,- of 10% van de jaaromzet per overtreding.

Hoe moet u een datalek melden?

Een datalek kunt u melden via het meldloket datalekken via een standaard formulier dat moet worden ingevuld. De toezichthouders zullen dit formulier opslaan in een register, dat overigens niet openbaar is. Als er naar aanleiding van het lek een boete wordt opgelegd of de getroffen personen worden geinformeerd wordt het datalek echter wel openbaar bekend gemaakt. Houd er rekening mee dat dit tot ernstige reputatieschade kan leiden.

Mocht er naar aanleiding van het lek een boete opgelegd worden, dan zal dit besluit wel openbaar zijn. Een datalek wordt vanzelfsprekend ook openbaar op het moment waarop het aan de getroffen personen wordt medegedeeld.
Wanneer een datalek aan de toezichthouder wordt gemeld, dient u een overzicht hiervan in uw administratie te bewaren. Dit overzicht moet de feiten en gegevens van het lek bevatten.

Voorkomen is beter dan achteraf herstellen

Organisaties moeten vooraf goed nadenken over de beveiliging van persoonsgegevens, hoe worden deze verzameld en voor welk doeleinden worden deze gegevens gebruikt. Door hier vooraf over na te denken kunnen we er voor zorgen dat onze doelgroep niet alleen een relevant aanbod, onafhankelijk van tijd, medium en device ontvangt, maar nog belangrijker; ook een verantwoorde dialoog.

Bron: autoriteitpersoonsgegevens.nl en ictprivacyrecht.nl