Begin december 2015 publiceerde het College Bescherming Persoonsgegevens (CPB) de richtsnoeren voor de ‘Meldplicht Datalekken’. Deze richtlijnen geven u handvatten om het onlangs door de Eerste Kamer aangenomen wetsvoorstel Meldplicht Datalakken (dat per 1 januari 2016 van kracht is) en de uitbreiding van de bestuurlijke boetebevoegdheid van het CBP beter te begrijpen. Met de nieuwe meldplicht is het streven om de gevolgen van het lekken van data voor de betrokkenen zoveel mogelijk te beperken.
WAT IS EEN DATALEK?
Wat is nu precies een ‘datalek’ en hoe moet u in geval van een lek handelen? Op het moment dat uw bedrijf persoonlijke gegevens verwerkt, bent u aan te merken als een ‘verantwoordelijke’ en moet u in geval van kans op verlies of onrechtmatige verwerking van deze persoonsgegevens in veel gevallen het CPB en de betrokkene(n) hierover inlichten. Dit kan een cyberaanval zijn (het zogenaamde ‘hacken’) op uw online netwerk, maar ook het verlies van een USB-stick met hierop persoonsgegevens. Of zelfs het per ongeluk per mail versturen van klantgegevens naar een verkeerde ontvanger. Het ongerechtvaardigd te laat of helemaal niet melden van het lekken van data kan bestraft worden met een bestuurlijke boete die op kan lopen tot ruim € 800.000,- of een maximaal percentage van de omzet van uw onderneming. Reden voor u om de veiligheid van persoonsgegevens niet alleen goed te beschermen, maar ook te monitoren. Het is ook van belang uw rechten en verplichtingen goed te kennen en na te leven indien u geen verantwoordelijke bent maar wel aangemerkt kan worden als een ‘bewerker’ van persoonsgegevens. U wordt al aangemerkt als een ‘bewerker’ indien u als derde partij de persoonsgegevens van een verantwoordelijke in kan zien. Bijvoorbeeld als u onderhoud of updates uitvoert op een systeem van de verantwoordelijke of namens de verantwoordelijke marketing e-mails verzendt. Het is belangrijk om in een dergelijke verantwoordelijke bewerker-relatie goed af te spreken wat over en weer de verplichtingen zijn en hoe te handelen in geval van een datalek.
DATALEK? WAT NU?
Op het moment dat u een eventueel datalek opmerkt en het voor u niet geheel duidelijk is wat uw meldingsplicht is, neem dan contact met ons op. Wij adviseren u graag over de juiste aanpak om schade te voorkomen of te beperken. Ook kunnen wij preventief met u meedenken over de wijze van bescherming van persoonsgegevens met behulp van geheimhoudingsovereenkomsten of data-protocollen voor intern gebruik, als ook de eerder genoemde bewerkersovereenkomst voor gebruik met derde partijen. Voor meer informatie bel Taco Huizinga of Audrey Weismann.
28 januari 2016