Sinds 1 januari 2016 geldt de meldplicht Datalekken voor alle organisaties. Dit betekent dat elke organisatie die met een ernstig datalek te maken heeft, dat direct moet melden bij de Autoriteit Persoonsgegevens. In bepaalde omstandigheden moet het datalek ook worden gemeld aan de betrokkenen (degenen van wie persoonsgegevens gelekt zijn).

Belangrijk in dit verband is wie de melding moet doen. Degene die melding moet, is namelijk de verantwoordelijke. En dat is volgens de wet (de WBP, en binnenkort ook de AVG) weer degene die doel en middelen van de registratie bepaalt.

Dit laatste is erg belangrijk. Een voorbeeld: een gastouderbureau dat de kassiersfunctie vervult, houdt een administratie bij. In deze administratie worden veel persoonsgegevens bijgehouden: natuurlijk naam, adres, geboortedatum en geslacht, maar ook bankrekeningnummers, BSN en kopieën van paspoorten. Het gastouderbureau moet deze administratie wel hebben om de kassiersfunctie goed te kunnen vervullen. Daarom is het gastouderbureau degene die doel en middel bepaalt van de registratie van persoonsgegevens. En is daarom de Verantwoordelijke voor de wet.

Niet veel gastouderbureau’s beseffen wat dit inhoudt. Een hack bij de webapplicatie levert een probleem op voor het gastouderbureau. Het bureau moet melding maken als persoonlijke gegevens worden ontvreemd. Omdat de diefstal van kopieën van het paspoort en bankrekeningnummers een goede voedingsbodem is voor identiteitsdiefstal, dienen ook de betrokkenen op de hoogte te worden gebracht.

1 miljoen boete als je het lek niet meldt

Als je weet dat er een datalek heeft plaats gevonden onder jouw verantwoordelijkheid, en je meldt dit niet, dan kun je de maximale boete van (in 2017) € 500.000 per overtreding krijgen. Meld je het lek niet aan de Autoriteit Persoonsgegevens maar ook niet aan de betrokkenen (terwijl dat wel had gemoeten), dan zijn dit 2 aparte overtredingen, die apart beboet kunnen worden!

Hoe weet je dat de webapplicatie heeft gelekt?

Een aardig detail in dit verhaal, is dat de bewerker (bijvoorbeeld het bedrijf dat de webapplicatie voor de administratie heeft gebouwd) GEEN meldplicht heeft, naar niemand. Dus als de webapplicatie wordt gehackt, dan hoeft het bedrijf dat aan niemand te vertellen. Nooit? Nou ja, wél als de Verantwoordelijke, het gastouderbureau, een Bewerkersovereenkomst heeft afgesloten, waarin onder andere expliciet staat dat datalekken binnen een bepaalde tijd moeten worden gemeld aan het bureau.

Weet waar je mee bezig bent

Het privacyverhaal gaat nog een stapje verder. Als je namelijk niet goed nadenkt bij de gegevens die je verzamelt OF niet kunt aantonen dat je goed hebt nagedacht, dan loop je kans op nog meer boetes, zeker als er een datalek heeft plaats gevonden.

En als in mei 2018 de Algemene Verordening Gegevensbescherming van kracht wordt, dan kun je boetes krijgen tot € 20.000.000 (of 4% van je jaaromzet als dat een hoger bedrag oplevert)!

Tijd dus om eens goed na te denken over de gegevens die je bewaart, maar vooral ook: tijd om te registreren hoe je er over hebt nagedacht, en wat je hebt gedaan.

Gelukkig hoef je dat niet alleen te doen. Wij helpen je graag!

Lees verder…