Het komt steeds vaker voor dat u als ondernemer te maken heeft met datalekken. De overheid wil dat bedrijven zich meer richten op beveiliging van persoonsgegevens met de invoering van de Wet meldplicht datalekken. Hoe u boetes vanwege strengere handhaving door de Autoriteit Persoonsgegevens voorkomt leest u hieronder.
Bedrijven hebben de afgelopen jaren relatief weinig aandacht geschonken aan de bescherming van persoonsgegevens. Met de invoering van de Wet meldplicht datalekken moet daar verandering in komen. Wat houdt deze wet nu precies in en waar moet u zich op voorbereiden? De Wet meldplicht datalekken, die 1 januari 2016 wordt ingevoerd, verplicht organisaties om een melding te doen als persoonsgegevens op straat komen te liggen. Daarnaast krijgt het College Bescherming Persoonsgegevens (CBP) een sterkere handhavingsbevoegdheid. Om schade te voorkomen kunt u het best zo vroeg mogelijk inspelen op de nieuwe privacywetgeving.
Noodzakelijke veiligheidsmaatregelen
Als uw organisatie persoonsgegevens verwerkt of daar verantwoordelijk voor is, dient u zorgvuldig om te gaan met deze gegevens. Daarom mag u persoonsgegevens niet langer bewaren dan noodzakelijk is. Daarnaast moet de technische beveiliging van persoonsgegevens op orde zijn. Het is van cruciaal belang om op tijd een gedegen incidentenbeheer in te richten, want zonder goed beleid kan een datalek enorme schade aanrichten. Daar zit u als ondernemer natuurlijk niet op te wachten!
Volgens de wet moet uw organisatie passende technische- en organisatorische veiligheidsmaatregelen nemen om persoonsgegevens te beschermen. Er is sprake van een datalek als persoonsgegevens toegankelijk worden voor onbevoegden of vernietigd of gewijzigd worden zonder dat dit uw bedoeling is.
Voorbeeld datalek
Een datalek kan volgens het CBP (straks: Autoriteit Persoonsgegevens) verschillende vormen aannemen. Zo kunt u bijvoorbeeld het slachtoffer worden van computercriminelen. Zo werd recent een bekende datingsite het doelwit van hackers. Doordat het betreffende bedrijf onvoldoende veiligheidsmaatregelen had getroffen konden hackers duizenden gevoelige persoonsgegevens van klanten online publiceren waardoor er veel schade werd veroorzaakt.
Naast een hack kan het kwijtraken van een simpele usb-stick waar klantengegevens op staan ook vallen onder het begrip datalek. In het geval van een zoekgeraakte usb-stick kunnen de gegevens namelijk ook in onbevoegde handen vallen, tenzij de betreffende gegevens zijn versleuteld.
Bewerkersovereenkomst
U kunt er uiteraard voor kiezen een derde partij in te huren voor het verwerken van persoonsgegevens. Dat is bijvoorbeeld het geval als u gebruik maakt van een salaris- of administratiekantoor. Het is bij het inschakelen van een derde partij van belang dat u hiervoor een bewerkersovereenkomst sluit. Indien een ingeschakelde partij onvoldoende veiligheidsmaatregelen treft ter bescherming van persoonsgegevens, kan de onzorgvuldige derde via een bewerkersovereenkomst aansprakelijk worden gesteld. Voor meer informatie over de bewerkersovereenkomst en het aansprakelijk stellen van derden in situaties als hiervoor genoemd, kunt u uiteraard contact opnemen met ons kantoor.
Binnenkort verplicht: functionaris gegevensbescherming
Wanneer u verantwoordelijk wordt voor de verwerking van persoonsgegevens, dient u dit voorafgaand aan de verwerking te melden bij het Cbp. Er bestaat een alternatief voor deze meldingsprocedure. Zo kunt u ook een Functionaris Gegevensbescherming instellen volgens de regels van artikel 62 van de Wet bescherming persoonsgegevens (Wbp).
Aanstelling van een functionaris is nog niet verplicht. Echter, de Europese Privacy Verordening zal niet lang meer op zich laten wachten. In deze verordening staat dat de figuur van Functionaris Gegevensbescherming (FG) op termijn waarschijnlijk verplicht gaat worden. Deze verplichting geld overigens alleen voor bedrijven die veel persoonsgegevens werken. Het is aan te raden om alvast een dergelijke functionaris binnen uw onderneming aan te stellen, om overzicht te krijgen van de verwerking van persoonsgegevens en de verantwoordelijken daarvoor binnen uw bedrijf.
Taken functionaris
De FG heeft een louter adviserende rol en is toezichthouder op verwerking van persoonsgegevens binnen uw organisatie. Een FG moet voldoende deskundig zijn op het gebied van gegevensbescherming en geniet ontslagbescherming. Daarnaast moet de FG worden aangemeld bij het Cbp.
Als er sprake is van een datalek en er is een FG aangesteld, wordt deze verantwoordelijk voor de melding van het lek bij het Cbp. Doordat de FG in een openbaar register wordt opgenomen kan een ieder contact opnemen met de FG en navraag doen naar gegevensverwerking binnen de betreffende organisatie.
Privacy offer
U kunt er ook voor kiezen om los van de regels van artikel 62 Wbp iemand in te stellen die toezicht houdt op de verwerking van persoonsgegevens. De taken van een Privacy Officer (ook wel Privacy Functionaris) zijn dezelfde als die van een Functionaris Gegevensbescherming, maar dat is alleen niet formeel vastgesteld. Een Privacy Officer hoeft niet te worden opgenomen in het openbare register van het CBP en geniet geen ontslagbescherming in tegenstelling tot de FG.
Schade en boetes
Het Cbp kan dankzij de Wet meldplicht datalekken binnenkort boetes uitdelen tot een maximum van € 20.250,- in de laagste categorie tot € 810.000,- in de hoogste categorie, als de Wbp niet goed wordt nageleefd. Daarnaast kunnen bedrijven met een datalek enorme reputatieschade oplopen. Op het niet verlenen van medewerking aan een onderzoek van het Cbp staat tevens een boete.
Conclusie
Het is aldus van belang om een goede bewerkersovereenkomst af te sluiten met bewerkers van persoonsgegevens. In bepaalde gevallen kan de schade van een datalek ook worden verhaald op de IT-leverancier. In dat geval moet de betreffende leverancier wel tekort zijn gekomen in de gemaakte afspraken. Het is sinds kort ook mogelijk om een speciale cyberrisicoverzekering af te sluiten voor het geval van een datalek. Het belangrijkste is dat u op de hoogte bent van uw verplichtingen met betrekking tot het zorgvuldig verwerken van persoonsgegevens.
Heeft u vragen over de Wet meldplicht datalekken, Functionaris Gegevensbescherming en de Wbp, neemt u dan gerust contact met ons op!