Bedrijven moeten persoonsgegevens goed beschermen. Wie dat niet doet, loopt de kans dat data weglekt. Dat kan gebeuren door een hack, maar ook door een personeelslid dat een USB-stick kwijtraakt. Bedrijven zijn verplicht om dit datalek te melden bij de Autoriteit Persoonsgegevens. Doet u dit niet, dan riskeert u een fikse boete. Wat is een datalek precies en wat moet u doen als het gebeurt? BOVAG beantwoordt drie veelgestelde vragen.
1. Wat is een datalek?
Als een bedrijf persoonsgegevens lekt of kwijtraakt die het in beheer heeft, dan spreekt de Wet bescherming persoonsgegevens van een datalek. Denk aan klant- of personeelsgegevens. Als deze gegevens in handen komen van mensen die daar geen toegang toe mogen hebben, dan is dit een datalek. Meestal gaat het om uitgelekte computerbestanden. Dat kan via een moedwillige hack, maar het kan ook doordat een medewerker een USB-stick of een papieren dossier kwijtraakt. Als gegevens zijn veranderd door onbevoegden of als de gegevens door bijvoorbeeld een brand niet meer toegankelijk zijn, is volgens de wet ook sprake van een datalek.
2. Wat zijn persoonsgegevens?
Persoonsgegevens zijn gegevens over natuurlijke personen. Gegevens over ondernemingen of organisaties zijn meestal geen persoonsgegevens. Een onderneming of organisatie is namelijk geen natuurlijk persoon. Komen er in de klantenbestanden alleen ondernemingen voor, dan zijn de desbetreffende gegevens meestal dus geen persoonsgegevens. Legt u ook gegevens vast over contactpersonen bij die ondernemingen, dan zijn dit wél persoonsgegevens. Of bepaalde gegevens wel of geen persoonsgegevens zijn, is vaak een grijs gebied. De waarde van een auto is bijvoorbeeld wel een persoonsgegeven wanneer die waarde wordt verwerkt in de administratie van een autoverzekeringsmaatschappij. Die waarde zegt immers in het maatschappelijk verkeer iets over het inkomen van de eigenaar van de auto. In de prijslijst van een autodealer daarentegen is de waarde geen persoonsgegeven.
3. Wat moet u doen als er onverhoopt toch data is weggelekt?
- Neem zo snel mogelijk maatregelen om het lek te dichten en zo verder lekken te voorkomen.
- Houd een logboek bij waarin staat wat er gebeurd is, welke maatregelen u neemt om het lek te dichten en welke maatregelen u eventueel in de toekomst neemt om herhaling te voorkomen.
- Breng in kaart welke gegevens zijn gelekt en wat voor gevolgen dit heeft.
- Meld het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
- Indien noodzakelijk: informeer de personen waarvan gegevens zijn gelekt. Dit is verplicht als het waarschijnlijk is dat het lek ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokken persoon heeft. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Deze plicht geldt niet als de gelekte persoonsgegevens versleuteld zijn.
> Lees verder in de BOVAGkrant
Eerste hulp bij datalekken
Op 25 mei 2018 gaat de nieuwe privacywet in. De wetgeving rondom datalekken blijft dan hetzelfde. Wel stelt de AVG strengere eisen aan de registratie van datalekken. De BOVAG Privacytool helpt u om de juiste acties te ondernemen om uw bedrijf privacyproof te maken. Ook loodst het u door de stappen heen die u moet nemen bij een datalek. BOVAG-leden kunnen kosteloos gebruik maken van deze tool.
Klik hier om aan de slag te gaan met de privacytool