Nieuws

Meldplicht Datalekken: vraag & antwoord

11.09.2016

Voor Marketing Rendement gaf DMCC's Compliance Auditor Jitty van Doodewaerd antwoord op zes vragen waarmee veel organisaties worstelen sinds de Meldplicht Datalekken op 1 januari 2016 van kracht ging.

1. Krijgt iedere organisatie die een melding van een datalek heeft gedaan automatisch een boete?

Sinds 1 januari van dit jaar kennen we in Nederland een Meldplicht Datalekken. Die zegt dat als er bij een datalek kans is op privacyschending van consumenten, deze gemeld moet worden bij de Autoriteit Persoonsgegevens. Als je een datalek hebt, betekent dit niet automatisch dat je de privacywetgeving hebt overtreden. De wet zegt namelijk dat een organisatie data adequaat moet beveiligen, niet per definitie volgens de hoogste standaard dus. 

Logischerwijs geldt voor het vastleggen van naam, adres, telefoonnummer en e-mailadres een milder beveiligingsregime dan wanneer je gevoelige gegevens verwerkt, zoals gegevens over gezondheid. 

Ook wanneer gegevens adequaat zijn beveiligd, kan er een lek optreden: een medewerker vergeet een USB stick, er is een bug in systemen of je wordt gehackt. De boete voor een datalek kan oplopen tot €500.000. De Autoriteit Persoonsgegevens kan alleen onmiddellijk een boete opleggen als er sprake is van nalatigheid of voorwaardelijke opzet – een ingewikkelde juridische term om aan te duiden dat je had kunnen weten dat het lek een gevolg was van je handelen. In alle andere gevallen doet de Autoriteit eerst een zogenaamde “bindende aanwijzing”. Hier geven zij aan wat een organisatie moet verbeteren en binnen welke termijn.

2. Zijn organisaties altijd verplicht om klanten op de hoogte te stellen van een datalek?

Als er kans is op nadelige gevolgen voor de privacy van de mensen in je bestand, moet je een lek melden aan de Autoriteit Persoonsgegevens. Pas als dit het geval is,  gaat de vraag spelen of je de mensen in het getroffen bestand op de hoogte moet stellen.  In principe zal dit moeten, tenzij jouw organisatie:

  • een financiële onderneming is. Deze zijn uitgezonderd van de verplichting een lek aan klanten te melden, ze moeten een lek wel melden aan de toezichthouder.
  • passende beveiligingsmaatregelen heeft genomen. Hierdoor zijn gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Denk aan encryptie (versleuteling) of hashing (het omzetten van gegevens in een unieke code). Als de versleutelde gegevens zijn aangetast, bieden encryptie en hashing niet genoeg bescherming. In dit geval moet een het lek toch worden gemeld aan de getroffen mensen. Dit is ook het geval als niet alle gelekte gegevens ge-encrypt of gehasht zijn.
  • andere maatregelen heeft geïmplementeerd waardoor gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Denk bijvoorbeeld aan een ‘remote wipe’ waarbij data op afstand van een mobiel apparaat wordt gewist.  Ook als een organisatie gegevens heeft gepseudonimiseerd kunnen deze onbegrijpelijk zijn voor onbevoegden. Bij pseudonimisering kunnen gegevens niet meer worden gekoppeld aan een persoon zonder dat er aanvullende gegevens worden gebruikt. Die aanvullende gegevens moeten dan wel apart binnen de organisatie worden opgeslagen.
  • andere zwaarwegende redenen heeft om dit niet te melden. In deze gevallen maak je geen melding van het lek aan de mensen in je bestand om hen te beschermen. Dit is bijvoorbeeld het geval als er gegevens zijn gelekt over medische hulpvragen die kinderen buiten medeweten van hun ouders hebben gedaan. In dit geval moet de organisatie het  datalek wel aan de Autoriteit Persoonsgegevens melden en aangeven wat de reden is om melding aan cliënten achterwege te laten.
Het antwoord op vier overige prangende vragen over de Meldplicht Datalekken lees je in de special van Marketing Rendement.

Doe de Datalek Check

Weet je na het lezen van dit artikel nog niet zeker of er binnen je organisatie een datalek is, of wil je graag goed voorbereid zijn? In de gratis app DMCC2Go geeft de Datalek Check op simpele wijze antwoord op je vragen.

Meer nieuws