Na veel media-aandacht is de term datalek ondertussen bij iedereen in onze industrie bekend. Tenminste, een ieder kan globaal vertellen wat een datalek is en vooral dat u dit als bedrijf zeker niet wilt overkomen. Toch blijkt er nog veel onduidelijkheid te zijn over hoe nu te handelen bij (het vermoeden van) een datalek.
In mijn functie als directeur bij brancheorganisatie ICTWaarborg spreek ik dagelijks ondernemers uit de branche. We hebben telefonisch contact en komen elkaar veelvuldig tegen bij evenementen. Zo hebben wij afgelopen maand een viertal seminars georganiseerd rondom de inwerkingtreding van de AVG (Algemene verordening gegevensbescherming). Tijdens deze events viel ook de term meldplicht datalekken. Opvallend is dat veel ondernemers nog vragen hebben over wat nou precies een datalek is en vooral ook: wanneer en waarom moet u deze als organisatie melden?
De meldplicht datalekken geldt sinds 1 januari 2016. Deze plicht houdt in dat de verwerkingsverantwoordelijke binnen 72 uur na de eerste constatering van een ernstige datalek hiervan melding moeten doen bij de Autoriteit Persoonsgegevens (AP). Daarnaast bestaat de kans dat dit ook gemeld moet worden aan de personen wiens persoonsgegevens in het geding zijn.
Onschuldig
Een datalek een ver-van-mijn-bed-show? Zeker niet! Denk aan zaken die op het eerste oog onschuldig lijken: een verloren usb-stick of externe harde schijf, een gestolen laptop, tablet of smartphone. Zodra er op deze apparaten persoonsgegevens staan, spreken we van een datalek. En heel eerlijk, een smartphone zónder persoonsgegevens bestaat met alle geavanceerde software van tegenwoordig niet meer. En wat denkt u van een e-mail met persoonsgegevens die bij de verkeerde ontvanger terechtkomt? Of een poststuk met persoonsgegevens dat geopend terugkomt? Ook dat zijn datalekken. Een mogelijke datalek is dichterbij dan u wellicht denkt.
In de meeste gevallen gaat het om NAW-gegevens van natuurlijke personen. Gevolgd door geslacht, geboortedatum en/of leeftijd. Maar ook het burgerservicenummer en financiële gegevens staan, volgens de Autoriteit Persoonsgegevens (AP), hoog in de lijst van gelekte data.
Goede afspraken
Zoals gezegd roepen ‘72 uur na eerste constatering’ en ‘een ernstige datalek’ meteen vragen op roepen.
De regel ‘72 uur na eerste constatering’ is exact zoals het er staat. Stel dat een klant van een partner van uw organisatie dit lek ontdekt, dan gaat op dat moment de 72 uur in. Het kan zomaar gebeuren dat u als ondernemer én verwerkingsverantwoordelijke pas na 24 uur geïnformeerd wordt door uw partner. Dat houdt in dat u nog maar 48 uur heeft om het datalek te melden bij de AP. Het is verstandig om hierover goede afspraken te maken (en vast te leggen) met de externe partijen die met uw data werken. Deze partijen worden ook wel verwerkers of subverwerkers genoemd. Spreek met hen bijvoorbeeld af dat zij een datalek binnen twaalf uur na constatering bij u moeten melden. Dat geeft u als ondernemer en verwerkingsverantwoordelijke meer, of in elk geval voldoende tijd om een melding bij de toezichthouder te doen.
En dan het tweede: wat is ernstig? Ernstig is een relatief begrip en niet makkelijk te concretiseren. De AP heeft een goed bruikbaar schema gemaakt dat u kunt gebruiken in uw afweging om een datalek wel of niet te melden (zie onderstaand).
Als brancheorganisatie raden wij aan om bij twijfel altijd een melding te maken. Ook al is de informatie rondom het datalek nog niet helemaal compleet, zorg dat u binnen 72 uur de melding maakt. Op een later moment kunt u alsnog aanvullingen of wijzigingen doen of zelfs uw melding intrekken.
Het maakt daarbij niet uit hoeveel mensen geraakt kunnen worden door een datalek. Of dat nu gaat om één enkele persoon van wie de gegevens gelekt zijn of honderdduizenden betrokkenen; een datalek is een datalek en moet als zodanig behandeld worden.
Overzicht bijhouden
Op grond van de Wet bescherming persoonsgegevens (Wbp) moest u al een overzicht bijhouden van alle meldingsplichtige datalekken. Onder de AVG zult u echter van alle datalekken een overzicht moeten bijhouden, dus ook van de niet-meldingsplichtige. In dit overzicht neemt u per datalek in elk geval de feiten en gegevens omtrent de aard van de inbreuk op. Als u het datalek ook aan de betrokkene heeft gemeld, dan moet u ook de tekst van de kennisgeving aan de betrokkene in dit overzicht opnemen.
Daarnaast moet onder de AVG in het overzicht worden opgenomen wat de feiten en gevolgen van het datalek zijn en wat de genomen maatregelen tot herstel zijn. De AVG bepaalt overigens niet hoe lang u deze overzichten moet bewaren. In dat geval is het verstandig om aan te sluiten bij de eerder door de AP uitgegeven richtlijnen ten aanzien van de Wbp. Daarin wordt uitgegaan van één jaar.
Reputatie
Op het gezegde ‘There is no such thing as bad publicity’ valt veel af te dingen. Uw reputatie valt of staat immers met het vertrouwen van uw klant. In het nieuws komen met een ernstig datalek kan dit vertrouwen ernstig beschadigen. Naast de bestuurlijke boetes die aan uw organisatie door de toezichthouder zijn op te leggen, is het risico op reputatieschade misschien nog wel veel belangrijker voor uw organisatie. Des te meer reden uw interne processen omtrent het melden van datalekken onder de AVG goed onder de loep te nemen en aan te passen waar nodig.
De meldplicht datalekken is nu bijna twee jaar van kracht en we zien dat het aantal meldingen elk kwartaal stijgt. In het eerste kwartaal van 2016, toen de meldplicht net van kracht was, zijn er ruim duizend meldingen gedaan. Nu bijna twee jaar later is het aantal meldingen gestegen met factor 2,5 (Bron: AP). Of deze stijging komt doordat datalekken vaker voorkomen of dat ondernemingen vaker een melding doen, kunnen we alleen maar naar gokken.
Een datalek zit dus in een klein hoekje. Als ondernemer kunt u het risico wel zo klein mogelijk maken. Hier speelt de AVG, die vanaf 25 mei 2018 in werking treedt, ook op in. Zorg voor goede afspraken met uw verwerker(s) en eventueel subverwerker(s). Zorg dat u goed nadenkt over uw beleid met betrekking tot de privacy van uw (potentiële) klanten en documenteer alles.
ICTWaarborg
Als brancheorganisatie staan wij voor onze deelnemers klaar met (juridisch) advies rondom datalekken en de inwerkingtreding van de AVG. Dus heeft u vragen hierover? Twijfel niet en neem telefonisch (088 – 773 00 80) of per mail (juridisch@ictwaarborg.nl) contact op met onze juridische afdeling.