Verzekering en Hypotheekadviseur

Uw onafhankelijke adviseur uit de omgeving Rotterdam

Hoe werkt de meldplicht datalekken?

Categorie: Zijlstra & Udema Vertellen

Ingezonden door: ha aug 1, 2016

Graag wil ik u meenemen naar de meldplicht voor ondernemers indien er sprake is van een onverhoopt "datalekken". Sinds 1 januari 2016 heeft u deze verplichting namelijk als u bijvoorbeeld een USB-stick of een laptop bent kwijt geraakt. Of als er sprake is van een computerinbraak door een hacker.

De persoonsgegevens van iemand bevinden zich in vele honderden bestanden van bedrijven en overheidsorganisaties. Iedere ondernemer zal dus passende maatregelen moeten nemen om ervoor te zorgen dat persoonsgegevens van klanten, contractspartijen of van werknemers niet op straat komen te liggen. Als ondernemer dient u zich derhalve bewust te zijn, dat u met dergelijke gegevens vertrouwelijk dient om te gaan. Wordt dit niet gedaan dan is dit in strijd met de Wet bescherming persoonsgegevens.

Wanneer is er sprake van een datalek?

Van "datalekken" is dan ook sprake als dergelijke gegevens wél op straat komen te liggen. Dit ondanks alle beveiligingsmaatregelen die u als ondernemer heeft getroffen.

De persoonsgegevens gaan dus verloren, maar ook hebben we te maken met "datalekken" als een bedrijf (of overheidsorganisatie) niet kan uitsluiten dat persoonsgegevens op onrechtmatige wijze worden verwerkt of door derden worden gebruikt c.q. misbruikt. Hiervoor heb ik al een aantal voorbeelden genoemd, zoals verlies of diefstal van de laptop of de USB-stick.

Het kan echter ook ontstaan door een fout van u zelf of een medewerker. Stel dat persoonlijke informatie abusievelijk wordt toe gestuurd naar de verkeerde partij. Wel moet het gaan om verlies van gegevens die voor de betrokken persoon van gevoelige aard zijn. Voorbeelden zijn:

  1. gegevens die noodzakelijk zijn voor de acceptatie van een hypothecaire geldlening , zoals kopieën van legitimatiebewijzen of het BSN-nummer;
  2. financiele of economische gegevens , die gebruikt worden voor een beoordeling van een bedrijfsfinanciering;
  3. gebruikersnamen, wachtwoorden en inloggegevens , die een accountant en / of administrateur nodig hebben voor het doen van belastingaangiften;
  4. bijzondere persoonsgegevens, zoals iemands godsdienst, ras of levensovertuiging;
  5. strafrechtelijke persoonsgegevens, gegevens over drank - of gokverslaving;
  6. beoordelings - en / of functioneringsgesprekken van medewerkers.

Wat zijn de gevolgen van een datalek?

Leidt het "datalekken" inderdaad tot ernstige gevolgen voor de desbetreffende persoon of kan dit hiertoe leiden, dan heeft de ondernemer een probleem. U dient dan ook sinds 1 januari 2016 binnen 72 uur na constatering het "datalek" te melden bij de Autoriteit Persoonsgegevens. Dat kan online via de website https://www.autoriteitpersoonsgegevens.nl onder het kopje "Meldplicht datalekken". De wet spreekt over "zo snel mogelijk melden van een datalek", maar dit betekent in ieder geval dus binnen 72 uur na ontdekking van het "datalek".

Maar dat is niet alles!

U moet het "datalek" ook melden aan de persoon van wie de gegevens verkeerd zijn verwerkt of in handen van derden zijn gekomen. Deze verplichting geldt met name als valt te verwachten dat het "datalek" ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokken persoon zal hebben.

Is die verplichting van het op tijd melden aan de Autoriteit Persoonsgegevens nu echt zo belangrijk? Het antwoord is "ja"!

U dient hier niet te gemakkelijk over te denken. Als achteraf blijkt dat een "datalek" voor een of meerdere personen ernstige gevolgen heeft en er is niet of te laat voldaan aan de meldplicht, dan riskeert de ondernemer een boete die tot € 820.000,-- kan oplopen.

Ik zal u de komende periode een aantal praktijkvoorbeelden laten zien, die ik met enige regelmaat tegenkom. Later zullen de verzekeringsoplossingen worden besproken. Kortom: een boeiend onderwerp ? Voor mij als verzekeringsadviseur in ieder geval wel!

Met vriendelijke groet, Reint Jan Zijlstra, verzekeringsadviseur