De Meldplicht Datalekken; zorg dat je bent voorbereid!

In de afgelopen periode ontploft de media met berichten over datalekken. Daar is een reden voor. Per 1 januari van dit jaar is namelijk de meldplicht datalekken in werking getreden en zijn organisaties in bepaalde gevallen verplicht om een melding te maken van dit datalek. Deze meldplicht is opgenomen in de al langer bestaande Wet bescherming persoonsgegevens. Deze wet is van toepassing op de organisatie die persoonsgegevens verwerkt. Daarbij kan bijvoorbeeld gedacht worden aan het opnemen van een naam en adres in een klantenbestand. Vele organisaties hebben dus te maken met deze wet, van zorginstellingen tot gemeenten en van MKB-ondernemers tot woningcorporaties.

Indien er sprake is van een datalek, kom je als organisatie voor de vraag te staan of je dit datalek moet melden bij de Autoriteit Persoonsgegevens en eventueel ook bij de betrokkene, degene op wie de persoonsgegevens betrekking hebben. Aan de hand van een aantal door de wet en beleidsregels ingevoerde handvatten zal de organisatie deze afweging zelf moeten maken. Een verkeerde afweging kan tot vervelende consequenties leiden. Het ten onrechte niet nakomen van de meldplicht kan namelijk tot forse boetes leiden, te weten maximaal € 820.000,- of 10% van de jaaromzet.

Elke organisatie loopt helaas het risico op een datalek. Een datalek kan in alle soorten en maten plaatsvinden. Daarbij kan gedacht worden aan het abusievelijk versturen van een e-mailbericht met persoonsgegevens naar een verkeerde ontvanger maar ook aan het verlies van een USB-stick met persoonsgegevens. Dit zijn vormen waarbij er sprake is van onopzettelijk foutief menselijk handelen van medewerkers, maar een organisatie kan eveneens te maken krijgen met malafide hackers. Helaas zijn daar ook genoeg voorbeelden van de te noemen. Kortom, datalekken zijn aan de orde van de dag en het kan eenieder overkomen.

Niet alleen dient een organisatie de meldplicht datalekken na te komen, maar ook dient de organisatie de overige verplichtingen uit de Wet bescherming persoonsgegevens na te leven. Ook bij de schending van deze andere verplichtingen kunnen verschillende sancties worden opgelegd door de Autoriteit Persoonsgegevens, waaronder een boete. Buiten de op te leggen sancties door de Autoriteit Persoonsgegevens kan er ook civielrechtelijke aansprakelijkheid volgen, bijvoorbeeld indien een betrokkene schade heeft geleden doordat er niet in overeenstemming is gehandeld met de Wet bescherming persoonsgegevens.

Als organisatie is het daarom van belang om een adequaat privacyprotocol neer te zetten waardoor beter gewaarborgd wordt dat de verplichtingen uit de Wet bescherming persoonsgegevens worden nagekomen. Het is van belang om dat privacyprotocol juridisch te laten toetsen. Dat geldt eveneens voor de bewerkersovereenkomsten die organisaties op grond van de wet verplicht zijn om af te sluiten met hun bewerkers, de partijen die in opdracht van de organisatie persoonsgegevens verwerken. Hierbij kan bijvoorbeeld worden gedacht aan een clouddienstverlener.

In een dergelijke bewerkersovereenkomst wordt onder andere afgesproken hoe de clouddienstverlener omgaat met een datalek. De organisatie blijft namelijk steeds verantwoordelijk voor de meldplicht van het datalek, ook al worden de persoonsgegevens verwerkt door een derde, zoals de clouddienstverlener. Het is daarom van groot belang om hier goede afspraken over te maken die worden vastgelegd in de bewerkersovereenkomst en ervoor te zorgen dat de ingeschakelde derde óók de verplichtingen nakomt.

Per 25 mei 2018 zal de Algemene verordening gegevensverwerking in werking treden. Deze verordening brengt mee dat er verschillende wijzigingen zullen plaatsvinden die ook weer gevolgen zullen hebben voor organisaties die persoonsgegevens verwerken. Tegen die tijd moet de organisatie er dus voor zorgen dat wordt voldaan aan deze nieuwe verplichtingen uit de Europese regelgeving.

Kortom, zorg er voor de uw organisatie privacy compliant is indien u persoonsgegevens verwerkt. Tref de juiste technische maatregelen en zorg voor een adequate juridische check van de belangrijkste documenten, zowel preventief als tussentijds!
Voor meer informatie kunt u contact opnemen met mr. Mirjam Davelaar of mr. Phuong Nguyen van de sectie ondernemingsrecht.

Mirjam Davelaar
– Sectie ondernemingsrecht –

Share on facebook
Share on google
Share on twitter
Share on linkedin

Vestiging Almere​

Versterkerstraat 4B
Postbus 10058
1301 AB Almere

T: 036 5346220 F: 036 5345984
E: advocaten@okkerse-schop.nl

Vestiging Lelystad

Zilverparkkade 6
Postbus 155
8200 AD Lelystad

T: 0320 289888 F: 0320 220155
E: advocaten@okkerse-schop.nl

Okkerse & Schop Advocaten maakt voor deze website gebruik van cookies en daarmee vergelijkbare technieken. Cookies zijn kleine digitale tekstbestanden die in de browser worden geplaatst bij het bezoek aan een website. Okkerse & Schop Advocaten gebruikt functionele cookies om de website naar behoren te laten functioneren. Analytische cookies worden gebruikt om het websitegebruik te analyseren en de website te verbeteren. Met het gebruik van functionele cookies en analytische cookies worden geen persoonsgegevens verwerkt. U kunt uw cookievoorkeuren op ieder moment aanpassen door de instellingen van de browser te wijzigen. Raadpleeg ons privacy- en cookie statement voor meer informatie.