Wat te doen met een Datalek?
Steeds vaker is het de meldplicht van datalekken die bij de ondernemer de aandacht trekt en vragen oproept. Mogelijk vanwege de afschrikwekkende en potentieel torenhoge boetes die kunnen worden opgelegd door de Autoriteit Persoonsgegevens. Omdat onbekend vaak onbemind maakt volgt hieronder een korte introductie.
Wat is een datalek?
De wet spreekt van een datalek in het geval persoonsgegevens verloren raken of een onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Onder onrechtmatige verwerking valt onder andere het aanpassen van, en onbevoegd toegang verschaffen tot persoonsgegevens. Zelfs het sturen van een e-mail met adressen in CC (in plaats van BCC) kan een datalek zijn. Andere praktijkvoorbeelden van een datalek: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Wanneer moet een datalek worden gemeld?
Niet elk datalek moet worden gemeld. De wet, in combinatie met de richtlijnen van de Autoriteit Persoonsgegevens bepaalt, dat ‘ernstige’ datalekken in principe binnen 72 uur bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn naar omvang, als ook naar mate van gevoeligheid. Gevoelige persoonsgegevens zijn bijvoorbeeld, financiële gegevens, inloggegevens en wettelijke identificatienummers. Deze lijst is niet uitputtend. Onder omstandigheden moet ook de betrokken persoon, wiens gegevens zijn gelekt worden ingelicht, als dit nadelige gevolgen heeft voor zijn of haar privéleven.
Of een datalek al dan niet moet worden gemeld is een afweging die de ondernemer (de wet spreekt over ‘Verantwoordelijke’) zelf maakt en is afhankelijk van de omstandigheden van het geval. Het risico van een eventuele onjuiste afweging ligt in principe bij de Verantwoordelijke. Om gevoel te krijgen bij de meldplicht, hieronder een aantal praktijkvoorbeelden van wel en niet melden:
Wel
Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden.
Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien.
Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens.
Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd.
Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen.
Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen.
De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.
Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden.
Niet
Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden.
Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar.
Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij de autoriteit. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn.
Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand.
De Autoriteit Persoonsgegevens kan in voorkomende gevallen boetes opleggen als bijvoorbeeld blijkt dat er sprake is van:
het niet melden van een datalek terwijl dat wel moet;
het niet op orde hebben van de beveiliging, of;
het verwerken van persoonsgegevens zonder toestemming.
De boete kan oplopen tot EUR 820.000,- of 10% van de jaaromzet, onder de huidige wetgeving. Vaak zal er eerst een waarschuwing gegeven worden, maar de toezichthouder mag besluiten direct een boete op te leggen als er bijvoorbeeld opzet in het spel is.
Kunnen voorzorgsmaatregelen worden getroffen?
Een aantal tips:
Indien derde partijen uw gegevens verwerken dient met deze partijen een bewerkersovereenkomst te zijn gesloten. (Denk niet te snel dat bij u geen derden zijn die persoonsgegevens verwerken. Wat dacht u van de externe salarisadministrateur, uw accountant externe ICT-hulp etc.)
Zorg in samenwerkingen met andere partijen voor een contractuele geheimhoudingsplicht die persoonsgegevens benoemt (al dan niet opgenomen in een eventuele bewerkingsovereenkomst.
Zorg voor juiste technische certificeringen indien persoonsgegevens worden verwerkt (bijvoorbeeld ISO 27001).
Controleer of er afdoende is verzekerd voor aansprakelijkheid als gevolg van lekken van persoonsgegevens.
Hanteer intern een procedure voor de omgang met, en melding van, datalekken.
Zet een intern beveiligingsplan op papier, dat kenbaar is voor de werknemers.
Met name met de aankomende wetgeving, die in mei 2018 van kracht is, zijn de organisatorische maatregelen minstens zo belangrijk als de technische. Als Verantwoordelijke dient de “accountability” ook op papier te worden vormgegeven.
Op verschillende momenten kunnen wij adviseren. Bijvoorbeeld door het opstellen van een bewerkingsovereenkomst of een beveiligingsplan. Ook kunnen wij bijstaan in het onfortuinlijke geval dat er data zijn gelekt en kunnen wij samen met u beoordelen of een melding noodzakelijk is. Gebruik in de tussentijd de volgende vuistregels:
Verzamel niets wat niet noodzakelijk is, beveilig de gegevens goed, ga er zorgvuldig mee om en zorg intern voor een plan en duidelijkheid vooraf.
Gerben Metz (metz@dayonelegal.nl)