Kennis - Het online marketing blog van Tribal

Online marketing is een vak apart en een wereld die snel verandert. Wij laten ons dagelijks inspireren door de nieuwste ontwikkelingen, tips & tools en allerlei nuttige toepassingen. Hieronder lees je welke kennis wij in huis hebben.

Wat betekent de meldplicht datalekken voor jouw bedrijf?

Door: Simone Dirven & Emmy Faes

Geschatte leestijd: 3 minuten

De meldplicht datalekken uitgelegdEr is al heel veel over geschreven en gesproken: de meldplicht datalekken. Deze is per 1 januari 2016 ingegaan. Ik merk in de praktijk dat er nog veel onduidelijk is en dat ondernemers met hele logische vragen kampen. Wanneer is er eigenlijk sprake van een datalek? En aan wie moet ik wat wanneer melden? Daarom ga ik in deze blog in op deze essentiële vragen op grond van de 5w-methode, die jullie ongetwijfeld kennen uit de content marketing.

Wie heeft er mee te maken?
Degenen die persoonsgegevens verwerken en verantwoordelijke zijn voor deze persoonsgegevens in de zin van de Wet Bescherming Persoonsgegevens (de Wbp); jij en je bedrijf dus. Je kunt daarover afspraken maken in een bewerkersovereenkomst, maar of je verantwoordelijke bent hangt altijd af van hoe je je in de praktijk gedraagt. Bepaal jij kort gezegd waarom en op welke manier persoonsgegevens worden verwerkt? Dan stel jij dus het doel en de middelen vast en ben je verantwoordelijke. “Verwerken” is daarbij een ruim begrip. Onder verwerken valt eigenlijk alles wat je met persoonsgegevens kunt doen. Dus niet alleen verzamelen of raadplegen, maar ook het combineren van gegevens (om er bijvoorbeeld een klantprofiel van te maken) valt binnen de definitie.

Wat houdt het in?
Sinds 1 januari ben je verplicht om datalekken te melden. Een datalek is een beveiligingsincident als daarbij persoonsgegevens verloren zijn gegaan, of als je onrechtmatige verwerking ervan niet kunt uitsluiten. Daarvan is sprake als je bijvoorbeeld niet zeker weet of onbevoegden iets met de gegevens hebben kunnen doen. De meldplicht geldt dus als dat datalek ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens of als er een aanzienlijke kans is op deze gevolgen. Een melding aan een betrokkene hoef je niet te doen als je gegevens versleuteld. Met encryptie werken is dus de belangrijkste tip in het kader van de meldplicht datalekken.

Waar moet je een datalek melden?
Een datalek meld je via het online loket van de toezichthouder, de Autoriteit Persoonsgegevens. Dat is sinds 1 januari de nieuwe naam van het College bescherming persoonsgegevens. In sommige gevallen moet je naast de melding bij de toezichthouder ook de betrokkene informeren. Dus degene van wie persoonsgegevens zijn gelekt. Je moet dit doen als het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Dat is dus een belangenafweging die je zelf moet maken. Je kunt ervan uit gaan dat bijzondere gegevens (zoals medische gegevens) zo gevoelig zijn dat je dit bij een datalek altijd ook aan de betrokkene moet melden.

Wanneer moet je een melding doen?
Je moet zo snel mogelijk een melding doen bij de toezichthouder, maar uiterlijk binnen 72 uur nadat je het lek hebt ontdekt. Als je ook de betrokkene moet informeren, dan moet je dit per direct doen nadat het lek is ontdekt. Dat is logisch, want de betrokkene moet zo snel mogelijk maatregelen kunnen treffen om schade te voorkomen.

Waarom is deze meldplicht ingevoerd?
Iedereen heeft recht op eerbiediging van zijn persoonlijke levenssfeer. Dat is niet voor niets een grondrecht van ons allemaal. Dat betekent dat bedrijven en instanties zorgvuldig met persoonsgegevens om moeten gaan. In de wet is dan ook opgenomen dat je passende technische en organisatorische maatregelen moet nemen om gegevens te beveiligen. Ook als je gegevens goed beveiligt, kun je echter niet uitsluiten dat je ooit met een datalek te maken krijgt. Van een datalek is al snel sprake, bijvoorbeeld bij een hack of als je een USB stick verliest. En als de persoonlijke levenssfeer geen goede motivatie is om te voldoen aan de wet, dan zijn de hoge boetes die de toezichthouder kan opleggen vaak afschrikwekkend genoeg.

Maar hoe voldoe je aan de nieuwe wet?
Nu we de W’s hebben gehad, maak ik stiekem toch alvast een uitstap naar de hoe-vraag. Want hoe voldoe je nu aan de wet? Om te beginnen is het handig om te weten dat privacy en het verwerken van persoonsgegevens volgens het top-down-principe – werken. Dit houdt in dat het bij het bestuur op de agenda moet staan, maar dat ook iedere medewerker zich bewust moet zijn van wat hij doet en hoe hij dat moet doen. Zorg er dus voor dat je ook intern een privacybeleid hebt waarin de procedure is uitgelegd en dat werknemers weten dat ze zich aan de procedure moeten houden. Bewustwording is wat mij betreft de allereerste en tevens belangrijke stap om aan de wet te voldoen en datalekken te voorkomen. Want ook hier geldt: voorkomen is beter dan genezen.
Op 25 mei 2018 gaat de AVG wetgeving ook veranderen. Lees hier meer over op de pagina van data management platform.

Dit gastblog is geschreven door Simone Dirven, jurist bij Kessels Advocaten.

Discussie- Geen reacties

Blijf op de hoogte van handige kennis en het laatste nieuws van je favoriete online marketing bureau:

INSCHRIJVEN VOOR ONZE NIEUWSBRIEF