Meldplicht datalekken en handige tips

14 juni, 2016

Meldplicht datalekken en tips om problemen te voorkomen

Ook sportverenigingen die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens (AP), voorheen CPB genaamd. Vragen als, wanneer is sprake van een datalek, wat moet je doen bij een incident en hoe kunnen problemen (en boetes) zoveel als mogelijk worden voorkomen, komen hierna aan de orde.

Wat is een datalek?

Voor de hand liggende persoonsgegevens zijn iemands naam en (email)adres. Ook gevoelige gegevens als iemands ras, godsdienst of gezondheid worden persoonsgegevens genoemd. Bij een datalek gaat het om toegang tot of vernietiging, wijziging, verwerking of het vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie (een inbreuk op de beveiliging van persoonsgegevens). Enkele voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Verplicht melden?

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen, zoals de leden, zal jouw vereniging ook hen moeten informeren. Onlangs heeft de AP beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen je als vereniging bij het bepalen of er sprake is van een datalek dat je moet melden bij de AP en eventueel aan de betrokkenen, zoals de leden.

Boete

De AP kan jouw organisatie een boete geven als je een datalek ten onrechte niet meldt. De maximale boete is meer dan € 800.000. Hoewel het uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding, zie je dat de consequenties van een overtreding fors kunnen zijn. In bovenstaande beleidsregels geeft de AP ook inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.

Tips om datalekken te voorkomen

Om datalekken te voorkomen, moet je persoonsgegevens volgens de Wbp beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dat is alleen nog zo vaag. We geven je daarom de volgende concrete tips:

1.     Gebruik moderne beveiligingstechnieken. Dit is een open deur, maar vaak wordt bij datalekken de weg van de minste weerstand opgezocht. Dus hoe moderner de beveiliging, hoe kleiner de kans op bijvoorbeeld een hack;

2.     Houd besturingssystemen, browser en hulpprogramma’s up-to-date en maak regelmatig (versleutelde) back-ups;

3.     Beperk de toegang tot de persoonsgegevens. Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik;

4.     Gebruik verschillende en sterke wachtwoorden. Klik hier voor tips over het instellen van een goed wachtwoord;

5.     Verzamel en gebruik niet meer gegevens dan strikt noodzakelijk. Ook dat lijkt een open deur, maar vaak verzamelen organisaties meer gegevens dan noodzakelijk is. Ook pseudonomiseren kan je helpen;

6.     Communiceer aan en met de medewerkers en vrijwilligers, zodat de awareness wordt vergroot;

7.     Probeer een cultuur te creëren waarbij medewerkers en vrijwilligers zich veilig voelen om het bestuur van de vereniging en elkaar te wijzen op risico’s, verdachte zaken en daadwerkelijke datalekken;

8.     Maak duidelijk aan wie een datalek intern binnen de vereniging gemeld moet worden en stel daarvoor een protocol op;

9.     Maak afspraken met degene die binnen de organisatie persoonsgegevens bewerkt;

10.  Maak afspraken met medewerkers/bestuursleden die hun eigen apparaat (telefoon tablet, laptop) gebruiken; en

11.  Maak afspraken over de bescherming van persoonsgegevens met (toe)leveranciers.

Tot slot

Indien er ondanks alle maatregelen toch data lekt, dan raden wij ten slotte aan om ook alvast na te denken over de omgang daarmee. Wie in de organisatie gaat bijvoorbeeld datalekken beoordelen en eventueel melden? Hoe wil je betrokkenen gaan informeren en hoe wil je omgaan met signalen uit de buitenwereld over mogelijke datalekken? Dit zijn allemaal vragen waar jij, als vereniging, een antwoord op behoort te hebben. Wij helpen je desgewenst graag bij het formuleren en implementeren van het privacybeleid.

Bron tekst: Hekkelman Advocaten Ton Hendriks

 

 

Background