9 vragen over de meldplicht datalekken
Bescherming klantgegevens: welke plichten heb je?
Inhoud:
- 1. Wat houdt de meldplicht datalekken in?
- 2. Wat is een datalek eigenlijk?
- 3. Wat zijn passende maatregelen?
- 4. Wat is encryptie?
- 5. Wat wordt er bedoeld met een databeschermingsbeleid?
- 6. Wanneer moet ik een datalek melden?
- 7. Wat gebeurt er dan?
- 8. Hoe komt een toezichthouder daarachter?
- 9. Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens oplegt?
De Wet bescherming persoonsgegevens is in mei 2018 vervangen door de Algemene Verordening Gegevenbescherming, de AVG. Dat betekent dat iedere ondernemer in Nederland verantwoordelijk is voor de privacygevoelige data in zijn organisatie en bij overtreding een boete tegemoet kan zien.
Wat houdt de meldplicht nou precies in en welke gevolgen heeft het voor ondernemers? Pieter Lacroix, managing director bij beveiligingsbedrijf Sophos, geeft antwoord.
1. Wat houdt de meldplicht datalekken in?
Het doel van de meldplicht is om de schade van betrokkenen als gevolg van een datalek zo minimaal mogelijk te houden. De wet schrijft voor dat bedrijven passende maatregelen moeten nemen om informatie die toewijsbaar is aan individuen te beschermen. Daarnaast moeten ondernemers een databeschermingsbeleid opstellen en handhaven.
2. Wat is een datalek eigenlijk?
"Er is sprake van een datalek als derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen. Een datalek kan optreden als de servers van een bedrijf worden gehackt en gevoelige informatie wordt gestolen, maar ook als een medewerker een smartphone, laptop of usb-stick met gevoelige informatie verliest. Zelfs een geprinte lijst met klantgegevens die wordt gestolen, geldt als datalek."
3. Wat zijn passende maatregelen?
"Dat betekent dat organisaties ervoor moeten zorgen dat informatie niet beschikbaar is voor derden. Dat kan op heel veel manieren, zoals medewerkers geen laptops en smartphones geven, niet thuis laten werken, geen informatie uitwisselen met ketenpartners, kauwgom in usb-poorten stoppen en alle persoonsinformatie in een kluis stoppen waarvan alleen de DGA of CEO de sleutel heeft. Dat klinkt absurd, maar in feite zijn dit ook passende maatregelen. Alleen zijn ze in onze complexe, digitale wereld niet realistisch. We willen juist gegevens delen en opslaan in de cloud. De enige oplossing om dat veilig te doen is encryptie."
4. Wat is encryptie?
"Encryptie is het coderen (versleutelen) van gegevens door middel van een bepaald algoritme. Alleen de partijen met de juiste sleutel, kunnen de gegevens weer decoderen. Zonder sleutel is de data waardeloos. Daarom is dit een goede manier om privacygevoelige informatie te versturen of op te slaan in de cloud. Mocht er een datalek optreden, dan is de informatie nog steeds veilig."
5. Wat wordt er bedoeld met een databeschermingsbeleid?
"Bij de beveiliging van data is de mens vaak de zwakste schakel. Het is daarom belangrijk om binnen de organisatie bewustzijn te creëren voor de beveiliging van persoonsgegevens. Zo weet iedereen wat er van hem of haar wordt verwacht als hij of zij met dat soort data werkt. Het is belangrijk dat ondernemers een beleid formuleren waarbij medewerkers worden gestimuleerd zelf mee te denken en verantwoordelijkheid te nemen. Een lijvig document wordt niet gelezen, laat staan nageleefd. Zorg ervoor dat een paar belangrijke regels op papier staan en leg steeds opnieuw uit waarom beveiliging zo belangrijk is. Alleen dan beklijft het en zal het een automatisme worden voor werknemers."
6. Wanneer moet ik een datalek melden?
“Als je erachter komt dat de organisatie is gehackt, of als een van de medewerkers een device is verloren waarop privacygevoelige informatie staat, schrijft de nieuwe wet voor dat je het lek proactief meldt aan de toezichthouder, in dit geval het College bescherming persoonsgegevens. Als er persoonsinformatie van Europese burgers is verloren, moet ook de Europese toezichthouder worden genotificeerd. In elk geval moeten ook de betrokkenen van wie de persoonsgegevens zijn gelekt, proactief op de hoogte worden gesteld.”
7. Wat gebeurt er dan?
“Als een ondernemer kan aantonen dat hij passende maatregelen heeft genomen om de data te beschermen, en een databeschermingsbeleid heeft, verwacht ik niet dat er boetes worden opgelegd. Heeft hij geen maatregelen genomen, dan staat hem een boete te wachten. Die boete is niet zo hoog als de boete die hij tegemoet kan zien als hij een datalek verzwijgt en de toezichthouder daarachter komt.”
8. Hoe komt een toezichthouder daarachter?
“Dat is een aardige discussie over de pakkans die nu veel wordt gevoerd. Er is inderdaad een grijs gebied waarin je niet kunt bewijzen dat je als ondernemer van niets wist en dat de wetgever niet kan bewijzen dat je het wel wist. Maar ik ben van mening dat in essentie Nederlandse ondernemers zich graag aan de wet willen houden. Dat heeft met fatsoen, normen en waarden te maken. Ik vermoed dat er weinig bedrijven zijn die de boel willens en wetens traineren.”
9. Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens oplegt?
“De boete die het AP bij overtreding van de meldplicht datalekken kan opleggen is € 20 miljoen, of, als dat hoger is, 4 procent van de omzet van een onderneming. Hier zijn wel verschillende categorieën in.”