Hoe waarborgt u de vertrouwelijkheid van persoonsgegevens binnen uw onderneming? Maak afspraken over een mogelijk datalek!

Hoe beveiligt u binnen uw onderneming de persoonsgegevens waarover u beschikt? Heeft u een protocol waar uw medewerkers die over persoonsgegevens beschikken zich aan moeten houden? Wat doet u als er een USB-stick met persoonsgegevens zoek raakt of als blijkt dat ‘onzichtbare’ derden door middel van phishing toegang hadden tot gegevens van uw klanten? En hoe gaat u om met een zoek geraakte laptop of een verkeerd geadresseerd mailtje?

Grote financiële schade
Dit zijn belangrijke vragen die u zich als ondernemer zou moeten stellen, want het zijn allemaal situaties die tot een datalek kunnen leiden. En het behoeft nauwelijks nog een toelichting dat zo’n datalek tot desastreuze gevolgen kan leiden. Niet alleen voor de personen van wie de gegevens openbaar zijn gemaakt en die de door hun geleden schade mogelijk op uw onderneming zullen verhalen, maar zeker ook direct voor uw eigen onderneming. En dan heb ik het niet alleen over de mogelijke imagoschade. U bent immers op grond van de Wet bescherming  persoonsgegevens ‘verantwoordelijke’ voor het verwerken van de persoonsgegevens.

De ‘meldplicht datalekken’
Per 1 januari 2016 is namelijk de zogeheten meldplicht datalekken in werking getreden. Wanneer zich binnen uw onderneming een datalek heeft voorgedaan, is uw onderneming verplicht het datalek te melden bij de Autoriteit Persoonsgegevens. Doet u die melding niet, dan kan u dat duur komen te staan, want de bestuurlijke boete kan oplopen tot een bedrag van €820,000.-. Het is dus goed dat u meer weet over deze meldplicht, zodat u de mogelijke risico’s kunt beperken.

Wat is een datalek en wat zijn persoonsgegevens?
Een datalek doet zich voor op het moment dat persoonsgegevens (mogelijk) in handen zijn gevallen van personen die daartoe niet bevoegd zijn, maar ook wanneer persoonsgegevens van derden verloren gaan. Uit de Wet bescherming persoonsgegevens (hierna: ‘de Wbp’) blijkt dat ieder gegeven dat betrekking heeft op een identificeerbaar persoon als een persoonsgegeven gekwalificeerd dient te worden. Als de betreffende data dus op geen enkele manier te herleiden is naar een specifiek persoon - bijvoorbeeld bij volledig geanonimiseerde data - dan zijn dat geen persoonsgegevens.

Wanneer melden bij de Autoriteit Persoonsgegevens?
Een datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens als het aanzienlijke nadelige gevolgen voor de bescherming van persoonsgegevens kan hebben. De vraag of dat in een specifieke situatie het geval is, dient u zelf te beantwoorden en dat is niet altijd eenvoudig. Dit hangt immers vaak af van de aard en omvang van het datalek. Houdt u er in elk geval rekening mee dat de meldplicht in ieder geval van toepassing is indien de gelekte persoonsgegevens van gevoelige aard zijn. Denk daarbij aan gegevens m.b.t. salarissen en uitkeringen gekoppeld aan NAW-gegevens of bijvoorbeeld aan wachtwoorden en pincodes waarmee toegang tot persoonlijke accounts kan worden verkregen.

Wanneer melden aan betrokken ‘slachtoffers’?
In de meeste situaties waarin een datalek plaats heeft gevonden en dat datalek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van één of meerdere betrokkenen, bent u verplicht het datalek ook te melden aan de betreffende betrokkenen. Op die manier worden betrokkenen in staat gesteld om mogelijk te lijden schade te voorkomen door bijvoorbeeld wachtwoorden aan te passen of andere maatregelen te treffen.

De derde partij als ‘verwerker’ van persoonsgegevens
Vaak schakelt een onderneming voor de verwerking van persoonsgegevens een derde partij in. Zo’n partij wordt een ‘verwerker’ genoemd. Denk daarbij aan de partij die de clouddienst faciliteert waarmee u werkt. Zo’n verwerker dient zich ook te houden aan de meldplicht datalekken. Als verantwoordelijke voor de bescherming van de persoonsgegevens wilt u echter wel zeker zijn dat de verwerker geen melding doet op een moment dat u bijvoorbeeld van oordeel bent dat zo’n melding niet – of pas op een later tijdstip – hoeft plaats te vinden. Afstemming met de verwerker over de verwerking van persoonsgegevens en over de daaruit voortvloeiende risico’s is dus erg belangrijk. Bovendien bent u dat ook wettelijk verplicht.

De bewerkersovereenkomst
Deze afspraken dienen te worden vastgelegd in een zogenaamde bewerkersovereenkomst.  Veelal wordt een bewerkersovereenkomst aangeleverd door de verwerker, maar houd er rekening mee dat daarin vaak de aansprakelijkheid van de verwerker voor schade geheel – of in verregaande mate – wordt uitgesloten of beperkt. Zeker als u voor de verwerking van de binnen uw onderneming beschikbare persoonsgegevens in grote mate afhankelijk bent van (de software van) de verwerker, is het onredelijk om zo’n verregaande beperking van aansprakelijkheid te aanvaarden. Bovendien staat er vaak in de bewerkersovereenkomst dat u als verantwoordelijke de verwerker vrijwaart voor de eventueel als gevolg van een datalek door de Autoriteit Persoonsgegevens op te leggen boetes. U doet er dus goed aan om kritisch te kijken naar de inhoud van zo’n aangeboden bewerkersovereenkomst.

Vragen?
Twijfelt u over de inhoud van de aan u door een verwerker aangeboden bewerkersovereenkomst, of heeft u vragen over de wijze waarop u binnen uw onderneming de risico’s kunt verkleinen dat uw medewerkers een datalek veroorzaken, neemt u dan gerust contact op. Ik help u graag met het opstellen van alternatieve bepalingen voor de bedingen in een aangeboden bewerkersovereenkomst. Ook kan ik u voorzien van een duidelijk protocol voor uw medewerkers, waarmee u het risico dat er een datalek zal optreden verkleint en u de negatieve gevolgen daarvan kunt beperken.