Een nieuwe meldplicht datalekken: wat verandert er?

Op 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) in werking getreden. Hiermee heb je als organisatie de plicht om bij een datalek melding te maken bij de toezichthouder en in sommige gevallen ook bij je klant. Lekt er data en meld je het lek niet volgens afspraak? Dan riskeer je een boete die kan oplopen tot € 820.000 of 10% van de jaaromzet – per overtreding.

Het is dus goed om op de hoogte te zijn van deze wijzigingen wanneer je data van klanten of derden verwerkt. In dit artikel lees je wanneer een datalek nu echt een lek is en wanneer je een lek moet melden. Én wanneer je die niet hoeft te melden, want er zijn uitzonderingen. Maar nog veel belangrijker: wat kun je als bedrijf doen om datalekken te voorkomen?

Wat is een datalek?

In de wet staat het volgende: een datalek ontstaat wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Wat staat hier nu precies? Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt niet alleen het vrijkomen (lekken) van gegevens, maar dus ook de onrechtmatige verwerking van gegevens, er iets mee doen.

Een breed begrip, wat met een paar voorbeelden duidelijker gemaakt kan worden:

• Een hacker die toegang krijgt tot persoonsgegevens.
• Het verlies van een USB-stick in de trein.
• Sturen van een nieuwsbrief met de adressen van je klanten in het CC-veld, in plaats van het BCC-veld.
• Verlies van data waarvan geen back-up meer beschikbaar is. Bijvoorbeeld na een brand in het datacenter.

Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, zijn geen datalekken. Als de broncode van je  nieuwe software wordt gestolen, of de strategie van een bedrijf van 2016, valt dat buiten deze wet.

Wanneer melden?

Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit deze tweede categorie:

• inloggegevens
• financiële gegevens
• kopieën van identiteitsbewijzen
• school- of werkprestaties
• gegevens die betrekking hebben op levensovertuiging
• gegevens die betrekking hebben op gezondheid

Deze lekken moeten worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens. Andere lekken moeten direct aan de betrokkene worden gemeld. Dit zijn de lekken die ongunstige gevolgen hebben voor degene van wie de gegevens zijn gelekt. Een aantal voorbeelden zijn:

• identiteitsfraude
• discriminatie
• reputatieschade 

Wanneer hoef je een datalek niet te melden?

De eerste groep, kwalitatief ernstige, datalekken die hiervoor zijn beschreven moeten altijd bij de autoriteit worden gemeld. Daarbij doet het er niet toe of het datalek door een fout kwam of dat het datalek het gevolg was van overmacht.

Een datalek hoeft echter niet aan de getroffen personen gemeld  te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop. Je moet dan wel kunnen bewijzen dat deze data inderdaad niet is ingezien of gebruikt. Het lek moet wél aan de toezichthouder gemeld worden.

Op deze site vind je een flowchart die het een en ander overzichtelijk weergeeft. 

Hoe kun je datalekken voorkomen?

Hiermee rijst direct de vraag welke maatregelen je zou moeten treffen om datalekken tegen te gaan. De WPB hanteert hier echter een zeer open norm door te spreken over een ‘passend beveiligingsniveau’, rekening houdend met de stand van de techniek en de kosten van het beveiligen. Daarmee moet je natuurlijk wel rekening blijven houden met de risico’s die het soort persoonsgegevens dat je verwerkt met zich meebrengen.

Een aantal van de maatregelen die je kan treffen, zijn:

Bewerkersovereenkomst

Sluit met de partijen die voor jou gegevens verwerken (de zogenaamde bewerkers, zoals een hostingpartij als Savvii) een bewerkersovereenkomst en zorg ervoor dat hierin afspraken worden gemaakt over datalekken. Heb je al bewerkersovereenkomsten afgesloten, controleer deze en pas waar nodig aan. Een voorbeeld van de bewerkersovereenkomst die wij met jou kunnen afsluiten vind je op onze website.

Informatiebeveiliging

Op welke wijze heeft de bewerker zijn beveiliging geregeld? Voor ons als hosting provider is dit een van de belangrijkste thema’s binnen onze organisatie. Wij werken alleen maar samen met datacenters die alle certificeringen op orde hebben. Daarnaast kan je bij ons altijd terecht voor advies over beveiliging van je website. Een van de maatregelen die je kunt nemen is het installeren van een SSL-certificaat op je website. Op Savvii.nl is deze ook geïnstalleerd, dat zie je aan de groene balk naast onze URL. Ook gaan we aan de slag met onszelf te certificeren voor het ISO27001 certificaat.

Update juli 2017: we hebben inmiddels de audits voor de certificeringen van ISO9001 én 27001 succesvol afgerond. In juli verwachten we de officiële certificeringen binnen te krijgen.

Interne verantwoordelijkheid

Stel vast of er bij jezelf én bij bewerkers een interne procedure bestaat over de omgang met en de bescherming van persoonsgegevens, het melden van datalekken, enzovoort. En wie hiervoor verantwoordelijk is. Maak de nieuwe datalekmeldplicht ook bekend binnen je organisatie. Je wilt niet dat datalekken onder de pet worden gehouden, uit angst voor een waarschuwing van de leidinggevende of om anderszins gezichtsverlies te voorkomen.

Registratie

Registreer alle interne inbreuken op de beveiliging die als datalek kunnen kwalificeren. Een goede paper trail zorgt ervoor dat je precies weet waar, wanneer en bovenal bij wie er iets is misgegaan.

Verzekering

Ga na of je bent verzekerd tegen het lekken van persoonsgegevens, bijvoorbeeld via een cybercrimeverzekering.

Denk na over de veiligheid

Met deze punten hebben we je een aantal punten meegegeven om jouw eigen data beter te beschermen. Wij zijn ons ervan bewust dat je hier niet constant mee bezig wilt zijn, jouw core business vraagt daar waarschijnlijk niet om. Daarom kun je bij ons terecht voor advies. Voor ons is het hebben van een veilig platform een van de topprioriteiten. Snelheid, schaalbaarheid én veiligheid is waar het volgens om ons draait om succesvol te zijn op het internet.

Wij helpen je verder

Wil je meer weten hoe wij je hiermee kunnen helpen, neem dan contact op met een van onze adviseurs via info@savvii.nl. Zij helpen je graag verder met advies en ondersteuning voor jouw website.

Robert-Jan Budding - Robert-Jan is senior international marketer bij Savvii. Zijn interesses richten zich op technologie en digitale strategieën. Daardoor houd hij ervan bedrijven te laten groeien door gebruik te maken van de laatste technieken en schrijft daarover.