Meldplicht datalekken: privacybescherming


Verwerkt uw organisatie persoonsgegevens? Dan krijgt u te maken met de nieuwe Wet Meldplicht datalekken. Dit is een aanvulling op de Wet Bescherming persoonsgegevens ( Wbp). Wat betekent dit voor u als ondernemer? Hoe beschermt u de privacy van uw klanten en werknemers?

Bijna dagelijks wordt gepubliceerd over incidenten waarbij persoonsgegevens zijn betrokken. Een grote hack trekt natuurlijk veel aandacht. Zoals deze zomer bij de website van Ashley Madison, en datingsite voor vreemdgangers. De hackers plaatsen namen en creditcardgegevens online van 37 miljoen leden - waarvan bijna 600 Nederlanders. Dit heeft een enorme impact voor alle betrokkenen.


Datalekken

Andere voorbeelden van datalekken zijn:

  • diefstal of zoekraken van USB-stick of laptop
  • dossiers die tussen oud papier belanden
  • per ongeluk verkeerd adresseren van een email of brief
  • onbevoegd toegang tot informatie, door onzorgvuldige omgang met wachtwoorden

Jaarlijks 60.000 datalekken


Volgens het CPB ( dat vanaf januari 2016 Autoriteit Persoonsgegevens (AP) heet) zijn er alleen al in Nederland 60.000 datalekken per jaar waarbij persoonsgegevens worden buitgemaakt. Dat betekent dat hackers of andere onbevoegde personen informatie bezitten waarmee ze bijvoorbeeld identiteitsfraude kunnen plegen. Ook worden buitgemaakte gegevens steeds vaker gebruikt om bedrijven te chanteren.


Persoonsgegevens: eenvoudig te verwerken


De Wbp is bedoeld om oneigenlijk gebruik van persoonsgegevens in te dammen. Door voortschrijdende techniek en de snelle groei van internet wordt het steeds eenvoudiger om persoonsgegevens te verwerken. Hierdoor neemt het misbruik toe. Daar komt bij dat veel bedrijven de Wbp onvoldoende serieus nemen. Met een maximale boete van € 4500 loont het vaak niet om te investeren in een correcte omgang met persoonsgegevens.


Privacybescherming afdwingen


De Nieuwe meldplicht datalekken gaat in per 1 januari 2016 en geldt als aanvulling op de Wbp. Het doel van de nieuwe wet: met forse sancties privacybescherming afdwingen. Dat meldplicht moet ervoor zorgen dat organisaties de bescherming van persoonsgegevens goed regelen. Het uitgangspunt is een betere beveiliging en transparantie over de verwerking van persoonsgegevens. Gaat u als organisatie hier niet in mee? Dan overtreedt u de wet al snel op meerdere punten. Elke overtreding kan afzonderlijk worden beboet tot een maximum van € 810.000 of 10% van de wereldwijde jaaromzet.


Het risico van een datalek


Vooral wanneer u een datalek niet direct meldt en wanneer u de verwerkingen niet documenteert, levert dit risico's op. Hoe goed de technische en organisatorische beveiliging ook is: een datalek kan altijd voorkomen. Medewerkers kunnen zich vergissen en hackers verzinnen steeds weer iets nieuws waar de bestaande beveiliging niet direct grip op heeft. Melding is nodig om te waarborgen dat organisaties snel actie ondernemen om risico's en schade voor organisaties én de betrokkene na een datalek te beperken. Een bedrijf dat ondanks een datalek kan aantonen voldoende voorzorgsmaatregelen te hebben genomen zal dan ook niet worden beboet.


Bijkomende schade


Naast een mogelijke boete is er bij een datalek vaak ok sprake van bedrijfsschade. Want om het datalek te dichten en bestanden te herstellen, worden vaak belangrijke computersystemen stilgelegd. Vaak is hulp van specialisten nodig. Er kan sprake zijn van civiele boetes en schadevergoeding aan betrokkenen plus de bijkomende juridische kosten. Onderzoek in de VS heeft aangetoond dat de kosten van een gemiddeld datalek in de miljoenen lopen. Reputatieschade is misschien het meest ingrijpend maar nauwelijks meetbaar en niet zomaar op te lossen met geld.


Nieuwe wet voor elke organisatie


De wet geldt voor alle organisaties in Nederland. Recent onderzoek van de Consumentenbond toonde bij 38 procent van de top 100 webwinkels een ernstig datalek aan op basis van een bekende fout in software. Alle reden om aan te nemen dat diezelfde fout ook op grote schaal voorkomt bij kleinere webwinkels. Ook een onvoldoende beveiligde website is riskant. Zo krijgen hackers vaak eenvoudig toegang tot uw systemen en tot gegevens van uw klanten en medewerkers.


bron: Flynth