How to

Meldplicht datalekken: 5 feiten die iedere organisatie moet weten

0

Vanaf 1 januari 2016 zijn organisaties die persoonsgegevens verliezen of onrechtmatige verwerkingen van persoonsgegevens uitvoeren, wettelijk verplicht dit te melden bij de toezichthouder (het College bescherming persoonsgegevens, vanaf 1 januari 2016 de Autoriteit Persoonsgegevens). Als vervolgens blijkt dat de gelekte persoonsgegevens onvoldoende beveiligd waren of onrechtmatig werden verwerkt, dan kan je dat forse boetes opleveren.

Deze boetes kunnen oplopen tot maximaal €820.000,- of 10% van de jaaromzet. Het nalaten van het melden van een datalek bij de toezichthouder kan een boete van €500.000,- opleveren. Hoogste tijd dus om eens dieper in te gaan op de ins- en outs van deze meldplicht.

1. Datalekken zijn breed gedefinieerd

De meldplicht datalekken is vrij breed gedefinieerd, waardoor elke organisatie waarbij een datalek plaatsvindt, met de meldplicht te maken krijgt. Voorbeelden van datalekken zijn het verlies van een USB-stick waarop persoonsgegevens staan, het onbedoeld delen van persoonsgegevens of, meer voor de hand liggend, een hack waarbij persoonsgegevens buit gemaakt worden. Ook het (per ongeluk) verwijderen van persoonsgegevens of verlies daarvan door schade (zoals brand) waarbij geen back-up beschikbaar is, worden gezien als datalekken.

In het algemeen worden drie categorieën onderscheiden:

  • Verlies van persoonsgegevens
  • Aanpassen en/of verwijderen van persoonsgegevens
  • Toegang tot persoonsgegevens door onbevoegden, bijvoorbeeld als deze onbedoeld gedeeld worden of door inbreuk op een systeem

2. Een datalek hoeft niet altijd gemeld te worden, maar wees alert

Er zijn in het geval van een lek drie opties:

  • Er hoeft geen melding gemaakt te worden
  • Er moet een melding gemaakt worden aan de toezichthouder
  • Er moet melding gedaan worden aan de toezichthouder én de personen die getroffen worden door het datalek

Gaat het om persoonsgegevens of ‘gewone’ gegevens?

Zodra er sprake is van een datalek, is het aan je organisatie om te bepalen of daar melding van gemaakt moet worden. Ten eerste moet er bepaald worden of er persoonsgegevens gelekt zijn, of dat er louter ‘gewone’ gegevens betrokken zijn bij het lek, zoals bedrijfsgegevens.

Hoe ernstig is het lek?

Zijn er persoonsgegevens gelekt, dan moet er volgens de meldplicht sprake zijn van een ernstig datalek. Een lek kan als ernstig aangemerkt worden als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige informatie gaat, zoals inloggegevens, financiële gegevens of gegevens die betrekking hebben op de levensovertuiging of de gezondheid van de personen in kwestie (kwalitatief ernstig). ‘Ernstige’ datalekken moeten binnen 72 uur aan de toezichthouder gemeld worden.

Moet je het aan de betrokken personen melden?

In sommige gevallen moet het lek ook aan de personen gemeld worden van wie de persoonsgegevens gelekt zijn. Dit is nodig als het lek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen in kwestie, zoals reputatieschade, identiteitsfraude of discriminatie. Als een lek óók aan de personen in kwestie gemeld moet worden, kan dit voor nogal wat hoofdbrekens zorgen wanneer het communicatieplan van de organisatie hier niet op inspeelt.

Twee voorbeelden ter verduidelijking:

  1. Een stagiair van een zorginstelling verliest een onbeveiligde USB-stick waarop diverse patiëntdossiers staan die niet beveiligd zijn. Dit is een kwalitatief ernstig lek, omdat informatie over de gezondheid van patiënten van de instelling op straat is komen te liggen. Het lek zal daarom gemeld moeten worden bij zowel de toezichthouder als bij de getroffen personen.
  2. De gehele database met duizenden gebruikers van een grote datingsite wordt gehackt. Hoewel de gebruikers van deze site in principe anoniem zijn, zijn hun accounts gekoppeld aan hun betalingsgegevens waaruit hun naam, woonplaats en adres opgemaakt kan worden. Dit is een kwantitatief ernstig datalek. Dit lek zal gemeld moeten worden bij de toezichthouder, maar ook bij de getroffen personen. Bij een kwantitatief ernstig datalek is er namelijk (bijna) altijd sprake van een ongunstig gevolg voor de getroffen personen.

usb-stick-kwijt

Neem je communicatiedraaiboeken door

Het is voor meldplichtige organisaties zaak dat zij goed voorgelicht worden over de meldplicht. Het is ook belangrijk dat communicatiedraaiboeken doorgenomen worden met de gehele organisatie, zodat iedereen voorbereid is op worst case scenario’s. Ook is het belangrijk voor het management en de communicatieafdeling om inzicht te hebben in het soort gegevens (gevoelig of niet), maar ook de hoeveelheid gegevens waarmee een organisatie werkt.

De datastroom binnen de organisatie moet in kaart worden gebracht, zodat adequaat gehandeld kan worden als zich onverhoopt (het vermoeden van) een lek voordoet. Als deze gegevens inzichtelijk zijn binnen de organisatie, kan namelijk in het geval van een lek door alle relevante afdelingen snel ingespeeld worden op de situatie. Als je hier niet uit komt, is het verstandig om hulp van experts in te schakelen: een onjuiste afweging kan je al snel op een boete komen te staan.

3. De organisatie die de verantwoordelijke is, is óók meldplichtig als het datalek elders in de keten plaats vindt

Het is tegenwoordig niet eenvoudig om grip te houden op data binnen een organisatie, hoe zeer IT-afdelingen ook hun best doen om alles te beveiligen. Medewerkers kunnen gewend zijn om data op te slaan in een public cloud (Dropbox, Google Drive), ze sturen via privé e-mailaccounts gegevens heen en weer waardoor deze ook op mobiele devices buiten de organisatie terecht komen, of ze gebruiken USB-sticks waardoor zij ook buiten de muren van de organisatie toegang hebben tot privacy gevoelige data. Medewerkers hebben hierbij geen kwaad in de zin, maar zodra privacygevoelige informatie daardoor wordt gelekt heeft de organisatie een probleem.

Dit geldt ook voor data die opgeslagen is bij een zogenaamde bewerker. Een bewerker is de partij die in opdracht van een andere partij (de verantwoordelijke) persoonsgegevens verwerkt. Denk aan een cloud service provider, een hostingprovider of het marketingbureau dat data ten behoeve van een organisatie gebruikt voor mailings. Ook derde partijen die voor een organisatie informatie vergaren, zoals een enquêtebureau, worden gezien als bewerkers waarbij de verantwoordelijkheid van de verzamelde data uiteindelijk bij de opdrachtgever ligt. De organisatie in kwestie is meldplichtig als een datalek plaats vindt bij een bewerker waarmee de organisatie data gedeeld heeft.

Neem maatregelen

Een organisatie kan veel maatregelen nemen om de risico’s zo veel mogelijk in te dammen, hieronder vier voorbeelden:

  • Alle privacygevoelige gegevens moeten goed worden beveiligd, bijvoorbeeld door middel van encryptie (de wet eist dat gegevens worden beveiligd).
  • De bewerker (clouddienst, hostingprovider etc.) en de organisatie die de data door de bewerker laat verwerken, zijn wettelijk verplicht om een bewerkersovereenkomst te sluiten. Hierin moet onder andere opgenomen worden welke partij welke verantwoordelijkheden draagt in het geval van een datalek.
  • Het sluiten van Non-Disclosure Agreements met partijen waarmee een organisatie samenwerkt en persoonsgegevens uitwisselt.
  • Het afsluiten van een cyberrisk verzekering.

Medewerkers die met persoonsgegevens in aanraking komen, moeten goed op de hoogte te zijn van de regelgeving en zich bewust zijn van de mogelijke gevolgen van een datalek; een cursus of seminar is niet overbodig.

data-bescherming

4. Gemelde datalekken zijn niet openbaar inzichtelijk, tenzij een organisatie daarvoor beboet wordt

De toezichthouder zal een standaardformulier beschikbaar stellen waarmee je melding kunt doen van een datalek. Deze informatie zal opgeslagen worden in een register dat niet openbaar is. Maar als je organisatie beboet wordt omdat er naar oordeel van de toezichthouder sprake is geweest van nalatigheid, een ernstig datalek of recidive; dan zal dit boetebesluit openbaar gemaakt worden. De toezichthouder kan ook een boete opleggen als een organisatie de afweging heeft gemaakt dat een datalek niet gemeld hoeft te worden, terwijl dit volgens de toezichthouder wel het geval is.

Damage control

De openbare bekendmaking van de boetes die de toezichthouder kan opleggen in het kader van de meldplicht datalekken, kunnen schadelijk zijn voor het imago van je organisatie. Het is daarom het overwegen waard om in je communicatieplan een paragraaf op te nemen over damage control in het geval van een boete naar aanleiding van een datalek. Denk hierbij aan afspraken over het naar buiten communiceren van het lek via bijvoorbeeld sociale media, maar ook het trainen van de medewerkers van de klantenservice voor het verstrekken van meer informatie over het lek aan de getroffen personen.

5. Regeren is vooruit zien

Het mag duidelijk zijn dat de meldplicht datalekken een goede voorbereiding vereist. Als je organisatie de impact van de meldplicht goed in kaart heeft gebracht en de noodzakelijke maatregelen getroffen heeft, dan zul je de introductie van de meldplicht in januari 2016 met vertrouwen tegemoet treden.

Enkele vragen die hierbij van belang zijn:

  • Met welke persoonsgegevens heeft je organisatie te maken?
  • Hoe zijn deze gegevens beveiligd?
  • Welke externe partijen hebben toegang tot/ontvangen deze gegevens?
  • Zijn er bewerkersovereenkomsten opgesteld met deze partijen, en dienen deze aangepast te worden met een bepaling omtrent datalekken?
  • Moet het communicatieplan aangepast/opgesteld worden naar aanleiding van de introductie van de meldplicht datalekken?

Op naar 2016

Een organisatie die aandacht besteedt aan bovenstaande punten en haar interne en externe communicatie hierop aanpast, zal een streepje voor hebben op branchegenoten die zich niet voorbereid hebben. Als zich dan toch een datalek voordoet, dan kun je handelen vanuit een sterke startpositie waarbij paniek geen grip krijgt op de situatie.

Afbeeldingen met dank aan Fotolia.