U bent hier

Organisatie & Leidinggeven
Zakelijke communicatiemiddelen9. Beveiliging9.4 Meldplicht datalekken
Voor Organisatie & Leidinggeven

9.4 Meldplicht datalekken

Dit artikel is eerder verschenen als Themadossier Office Rendement
Publicatiedatum: april 2016

Autoriteit Persoons­gegevens

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Per die datum moet uw organisatie er melding van maken als u een ernstig datalek heeft. Hiervoor is een speciaal meldloket in het leven geroepen door de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens of CBP).

U hoeft een datalek vaak niet te melden aan de betrokken partijen als u overtuigende maatregelen heeft getroffen waardoor de gelekte gegevens niet toegankelijk zijn voor onbevoegden. Dat is onder andere het geval als u de gegevens goed heeft versleuteld.

Boetes

melden

In sommige gevallen bent u verplicht om de betrokken personen in te lichten over het datalek. Of uw organisatie contact moet opnemen met de betrokken personen hangt af van de ernst en de aard van het lek.
Een datalek aan de betrokken personen moeten melden, kan heel vervelend zijn als het om klanten gaat. Zij kunnen immers het vertrouwen in uw organisatie verliezen, met alle gevolgen van dien. Toch kunt u maar beter de regels volgen. De Autoriteit Persoonsgegevens heeft nu namelijk ook de bevoegdheid om boetes uit te delen. Verzuimt uw organisatie bijvoorbeeld om een lek te melden terwijl dit eigenlijk wel had gemoeten, dan kan daar een boete op komen te staan. De hoogte van die boete is voor 2016 vastgesteld op maximaal € 820.000.

Wat is een ernstig datalek?

onrechtmatig

De Autoriteit Persoonsgegevens beschrijft een ernstig datalek als ‘toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie’. De Autoriteit Persoonsgegevens benadrukt dat het onrechtmatig verwerken van persoonsgegevens of het kwijtraken van een USB-stick waarop persoonsgegevens staan, ook onder een datalek valt. Twijfelt u of u een incident moet melden bij de Autoriteit Persoonsgegevens, bekijk dan de tool Beslismodel meldplicht datalek. U vindt deze op rendement.nl/officedossier.

register

Als u melding heeft gedaan van een datalek bij de Autoriteit Persoonsgegevens, komt dit in een speciaal register te staan. Dit register is niet openbaar. In sommige gevallen kan uw melding aanleiding zijn om een onderzoek naar u te starten. De Autoriteit Persoonsgegevens twijfelt dan of uw organisatie voldoet aan de privacywetgeving.

Bewerkersovereenkomst

WBP

Door de meldplicht datalekken moet u heel voorzichtig omgaan met persoonsgegevens. Sommige organisaties verwerken de gevoelige gegevens zelf, maar stel dat u dit liever uitbesteedt aan een andere organisatie, dan moet u met zo’n partij een bewerkersovereenkomst hebben.

bewerker

De Wet bescherming persoonsgegevens (WBP) regelt de manier waarop met persoonlijke gegevens moet worden omgegaan. Persoonsgegevens zijn gegevens die te herleiden zijn tot een bepaald individu. In hoofdstuk 10 leest u meer over de WBP en het verwerken van persoonsgegevens. Als u persoonsgegevens van klanten voor adressering gebruikt – bijvoorbeeld als u een reclamebureau een mailing laat sturen uit uw naam, maar ook als u uw salarisadministratie, facturering of boekhouding uitbesteedt – schakelt u in feite een externe partij in die u de persoonsgegevens van uw interne of externe relaties laat gebruiken. In zulke gevallen verstrekt u persoonlijke gegevens aan een andere partij en die wordt daarmee de ‘bewerker’ in de zin van de WBP.

Bewerkersovereenkomst bij clouddiensten

De verwerking van persoonsgegevens is voor iedereen aan wettelijke regels gebonden. De Wet bescherming persoonsgegevens geldt dus niet alleen voor u als u gegevens door andere partijen laat verwerken, maar ook als partijen uw persoonsgegevens verwerken in opdracht van anderen. Als u bijvoorbeeld met een onlinesoftwareproduct uw bestanden met persoonsgegevens in de cloud verwerkt of bewaart, moet u strikt genomen ook met uw provider en online dienstverleners een bewerkersovereenkomst hebben. Een mooi voorbeeld is de webwinkel. Aan de klant wordt netjes toestemming gevraagd voor het bewerken van de persoonsgegevens. Maar strikt genomen zou de webwinkel een bewerkersoveenkomst met zijn provider moeten sluiten. De persoonsgegevens komen immers ook op diens server te staan.

De opdrachtgever moet met de bewerker een zogenoemde bewerkersovereenkomst hebben. In deze overeenkomst is vastgelegd welke gegevens allemaal worden uitgewisseld of verstrekt, met welk doel ze worden verzameld, en hoe er (veilig) mee moet worden omgesprongen. Zoals gebruikelijk zitten dergelijke overeenkomsten juridisch best complex in elkaar; u moet met van alles en nog wat rekening houden om aan de wet te voldoen. Voor een (relatieve) leek zal het dan ook niet meevallen om zelf zo’n contract op te stellen, maar er zijn altijd wel voorbeelden te vinden of specialisten die u daarbij goed kunnen helpen.

De bewerkersovereenkomst is ook verplicht als de bewerker bijvoorbeeld een dochteronderneming van de verantwoordelijke organisatie is of als het om een andere vestiging in het buitenland gaat.

geheimhoudingsplicht

In een bewerkersovereenkomst komen over het algemeen in ieder geval de volgende onderwerpen aan bod:

  • dat de bewerker een geheimhoudingsplicht heeft. Eventueel kunnen er ook afspraken gemaakt worden over een boete bij schending van deze plicht;
  • wie aansprakelijk is als de wet wordt overtreden. Dat is vrijwel altijd de verantwoordelijke organisatie;
  • waar de data precies worden opgeslagen;
  • de afspraak dat de bewerker de persoonsgegevens niet voor eigen gebruik mag inzetten;
  • wie zorgt voor adequate beveiligingsmaatregelen. Het is aan te raden dat zelf op u te nemen, omdat u als verantwoordelijke organisatie met de Autoriteit Persoonsgegevens te maken krijgt als er een datalek is;
  • het feit dat de verantwoordelijke organisatie mag controleren of de gemaakte afspraken worden nageleefd.