Persoonsgegevens zijn sinds begin dit jaar nog beter beschermd in de wet. Dat betekent dat bedrijven er alles aan moeten doen om de informatie van en over personen goed te beschermen. Wie dat niet doet, loopt de kans dat de data weglekt. En dat kan een boete van dik acht ton opleveren. UTAH biedt eerste hulp bij datalekken.

1. Wat is een datalek?

De wet gaat specifieke over het lekken of kwijtraken van persoonsgegevens die een bedrijf in beheer heeft. Denk hierbij aan klant- of personeelsgegevens. Als deze gegevens in handen komen van mensen die daar geen toegang toe mogen hebben, dan is er sprake van een datalek. Meestal gaat het om uitgelekte computerbestanden. Dat kan via een moedwillige hack, maar het kan ook doordat een medewerker een USB-stick of een papieren dossier kwijtraakt. Als gegevens zijn veranderd door onbevoegden of als de gegeven door bijvoorbeeld een brand niet meer toegankelijk zijn, is volgens de wet ook sprake van een datalek.

2. Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens over natuurlijke personen. Gegevens over ondernemingen of organisaties zijn meestal geen persoonsgegevens. Een onderneming of organisatie is immers geen natuurlijke persoon. Komen er in de klantenbestanden alleen ondernemingen voor, dan zijn de desbetreffende gegevens meestal dus geen persoonsgegevens. Legt u ook gegevens vast over contactpersonen bij die ondernemingen, dan zijn dit wél persoonsgegevens.

Of bepaalde gegevens wel of geen persoonsgegevens zijn, is vaak een grijs gebied. De waarde van een auto is bijvoorbeeld wel een persoonsgegeven wanneer die waarde wordt verwerkt in de administratie van een autoverzekeringsmaatschappij. Die waarde zegt immers in het maatschappelijk verkeer iets over het inkomen van de eigenaar van de auto. In de prijslijst van een autodealer daarentegen is de waarde geen persoonsgegeven.

3. Wat gebeurt als u een datalek niet meldt?

Dan loopt u kans op een boete die kan oplopen tot €820.000. De autoriteit Persoonsgegevens (AP) zal meestal eerst een gele kaart geven, vergezeld van de opdracht alsnog de melding te doen. Wie dan in gebreke blijft, krijgt een dikke boete. Als de AP echter de indruk heeft dat de melding bewust achterwege is gebleven, dan kan de AP ook direct een boete opleggen.

4. Gelden deze nieuwe strenge regels ook voor kleine ondernemers?

Ja, deze regels gelden voor alle ondernemers en organisaties. Ook bijvoorbeeld verenigingen zoals BOVAG. Wel is het zo dat de boete voor hele grote bedrijven nog veel hoger kan zijn. De regel is: de maximum boete bedraagt €820.000 of tien procent van de wereldwijde omzet. En dat kan dus aardig oplopen.

5. Waarom zijn de regels rond datalekken zo streng?

Persoonsgegevens zijn privacygevoelig. De overheid wil niet dat onbevoegden misbruik kunnen maken van deze data. Dit misbruik kan variëren van last gevallen worden met ongewenste reclame tot misbruik van een identiteit om bijvoorbeeld aankopen te doen of een misdrijf te plegen.

6. Wat moet ik doen als er onverhoopt toch data zijn weggelekt?

• Neem zo snel mogelijk maatregelen om het lek te dichten en zo verder lekken te voorkomen.
• Houd een logboek bij waarin staat wat er gebeurd is, welke maatregelen u neemt om het lek te dichten en welke maatregelen u eventueel in de toekomst neemt om herhaling te voorkomen.
• Breng in kaart welke gegevens zijn gelekt en wat voor gevolgen dit heeft.
• Meld het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
• Indien noodzakelijk: informeer de personen waarvan gegevens gelekt zijn. Dit is verplicht als het waarschijnlijk is dat het lek ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokken persoon heeft. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Deze plicht geldt niet als de gelekte persoonsgegevens versleuteld zijn.

Voorkom datalekken!

• Zorg er allereerst voor dat persoonsgegevens op uw bedrijfscomputer of -server goed beveiligd zijn en dat gevoelige informatie zoals persoonsgegevens versleuteld (met encryptie) opgeslagen zijn.
• Beveilig uw systemen met een wachtwoord en vergrendel computers indien ze niet in gebruik zijn. Gebruik sterke wachtwoorden en verander deze met regelmaat.
• Wees terughoudend met het opslaan en bewaren van persoonsgegevens op datadragers zoals USB-sticks of cd’s/dvd’s. Bewaar deze altijd in een kluis.
• Beveilig uw apparaten met pincodes of wachtwoorden en stel in dat u het apparaat op afstand kan wissen. Zo houdt u grip op uw data bij verlies of diefstal.
• Informeer uw medewerkers over de risico’s rondom datalekken. Zo is het onverstandig dat medewerkers persoonsgegevens verspreiden via de e-mail of opslaan in clouddiensten die niet door de werkgever gefaciliteerd worden.
• Informeer uw medewerkers over de meldplicht datalekken.
• Sluit overeenkomsten met softwareleveranciers van bijvoorbeeld kassasystemen, CRM-systemen en garagesoftwarepakketten. Neem in die overeenkomst op wie er wanneer verantwoordelijk is voor datalekken.
• Open nooit bijlages en klik nooit op links van e-mails die verdacht zijn. Kijk op fraudehelpdesk.nl voor bekende meldingen van valse e-mails.

Heeft u vragen of heeft u ondersteuning nodig?

Neemt u zeker contact op met UTAH. Wij hebben de expertise in huis om u te helpen.

Bron: BOVAG-krant – internet - ISSUU