U bent hier

Onderneming & Administratie
Cybersecurity6. Datalek melden6.6 Verantwoordelijke en verwerker
Voor Onderneming & Administratie

6.6 Verantwoordelijke en verwerker

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

uitbesteden

Zoals u hiervoor kon lezen heeft uw onderneming de plicht om in bepaalde gevallen het datalek binnen 72 uur te melden aan de AP en in bepaalde gevallen ook aan de betrokkenen. Ook als uw onderneming het verwerken van persoonsgegevens uitbesteedt aan een externe partij, blijft zij verantwoordelijk. Duidelijke afspraken met de externe partij zijn daarom van groot belang.

Verwerkersovereenkomst

aansprakelijk

privacybeleid

Maak samen met de verwerker duidelijke afspraken over aansprakelijkheden en de invulling van de meldplicht datalekken. In de zogenoemde verwerkersovereenkomst moet altijd staan dat de externe partij als verwerker verplicht is om datalekken zonder onredelijke vertraging te melden aan uw onderneming. Ga niet zomaar akkoord met een standaard verwerkersovereenkomst, omdat die nog wel eens alleen uitgaat van het belang van de partij die het document opstelt. Voor beide partijen is het goed om heldere afspraken te maken, die in het verlengde liggen van het eigen privacybeleid.

Wilt u weten of uw verwerkersovereenkomst voldoet aan de eisen van de AVG? Gebruik dan de checklist en het voorbeelddocument op rendement.nl/fadossier.

Sancties

waarschuwing

boete

De AP bepaalt, afhankelijk van de omstandigheden, of er naast of in plaats van een waarschuwing, berisping of verbod, een boete moet worden opgelegd bij een overtreding van de AVG. Bij de bepaling van de hoogte van de eventuele boete kijkt de AP onder meer naar de aard, de ernst en de duur van het datalek. De boete kan oplopen tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet.

Praktijkvoorbeelden van overtredingen

datalek

De AP kan ondernemingen beboeten voor het al dan niet gemelde datalek, maar ook voor andere overtredingen van de privacywetten. Enkele voorbeelden:

  • De AP legde een boete van € 600.000 op aan Uber voor het te laat melden van een datalek.
  • De AP legde een boete van € 400.000 op aan Transavia wegens het slecht beveiligen van persoonsgegevens.
  • De AP legde een boete van € 830.000 op aan het Bureau Krediet Registratie, omdat het een vergoeding vroeg voor het digitaal opvragen van persoonsgegevens.
  • De AP legde een boete van € 440.000 op aan een stadsziekenhuis van Groot-Amsterdam voor slechte beveiliging van patiëntendossiers.