Wat betekent de meldplicht datalekken voor u als ondernemer of klant?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Treedt er bij uw organisatie een ernstig datalek op, dan bent u verplicht om een melding te doen bij het CBP. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Wanneer u ten ontrechte een datalek niet meldt bij het CBP, dan kan het CBP u een boete geven. De maximale boete is € 810.000,-.

U kunt nu al preventieve maatregelen treffen. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Daarnaast kunt u bijvoorbeeld:

  • een goed incidentenbeheer inrichten;
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP;
  • nadenken over hoe u de betrokkenen gaat informeren bij een datalek;
  • nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met uw bewerkers controleren.

Elke ondernemer krijgt met deze wet te maken, omdat in elke onderneming of bedrijf data zijn opgeslagen die privacy gevoelig zijn. Denk maar aan personeelsadministratie en ziekteverzuimregistratie. Daarnaast zullen accountants, notarissen, advocaten maar ook medici de komende periode nog kritischer moeten kijken naar de beveiliging van hun netwerk. De gegevens van hun cliënten zijn per definitie privacygevoelig en vallen ook onder het beroepsgeheim. Het hebben van een extern ICT bedrijf dat service en onderhoud verricht, ontslaat de ondernemer niet van zijn verantwoordelijkheid. Het is dus zaak om de overeenkomst met de ICT, inclusief eventueel de algemene voorwaarden, na te kijken op het aspect beveiliging en zo nodig een aanvullende overeenkomst op te stellen, waarin duidelijk staat dat het ICT instaat voor de goede beveiliging van het bedrijfsnetwerk. Daarbij is het gebruik van virusscanner, firewall en regelmatige update van beveiligingssoftware vereist. Een Window XP besturingssysteem is dan ook definitief exit.Dan zijn we er nog niet. Ook het eigen personeel moet duidelijk worden gemaakt dat recreatief surfen onder werktijd en het klakkeloos gebruik van USB sticks van onbekende herkomst fatale gevolgen kan hebben. En dan gaan we er maar vanuit dat het wachtwoord bij het inloggen ‘sterk’ is en regelmatig wijzigt. Er is nog veel te doen, want er blijken nog genoeg wachtwoorden met Admin, welkom01 of de naam van een huisdier te worden gebruikt.