Bedrijven die persoonlijke gegevens opslaan, hebben te maken met de Wet Bescherming Persoonsgegevens. Het naleven van die wet wordt sinds 1 januari 2016 gehandhaafd door de AP ofwel Autoriteit Persoonsgegevens. Boetes bij overtreding kunnen oplopen tot maximaal € 820.000,-. Hiermee hoopt de wetgever te bewerkstelligen dat bedrijven de persoonsgegevens beter beschermen. Omdat datalekken gemeld moeten worden hebben bedrijven bovendien een grotere incentive om niet negatief in de pers te komen.
Waar gaat het om?
Beheerders van persoonsgegevens moeten deze zorgvuldig beheren en (doen) bewerken. Persoonsgegevens mogen niet kwijt raken, verminken, in verkeerde handen komen of op straat komen te liggen en er mogen geen onbedoelde bewerkingen op plaatsvinden. Indien dat wel gebeurt, is er sprake van een datalek. Indien er sprake is van een datalek, dient dit gemeld te worden bij de AP.
Wat zijn persoonsgegevens?
Dat zijn gegevens die iets over een identificeerbare natuurlijke persoon zeggen. Voorbeelden zijn medische gegevens, betalingsgegevens of personeelsdossiers. Ook de in opkomst zijnde tijd/locatiegegevens die met tracking/tracing apparatuur verzameld kunnen worden vallen hieronder.
Wat houdt verwerken van persoonsgegevens in?
Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Welke bedrijven hebben hiermee te maken?
Alle bedrijven die persoonsgegevens opslaan die tot de bewuste persoon zijn te herleiden. De noodzaak tot zorgvuldig handelen stijgt met de mate van vertrouwelijkheid. Zo is het verlies, verminking etc. minder schadelijk wanneer het telefoonnummers betreft dan wanneer het medische gegevens of financiële gegevens betreft. Bedrijven die werkzaam zijn in bijvoorbeeld de medische branche zullen hier meer mee te maken krijgen dan bedrijven uit de industriële automatiseringsbranche.
Wanneer moet er een melding gedaan worden?
Wanneer sprake is van een (voldoende ernstig) datalek als gevolg van een inbeuk op de beveiliging. Daarvan is bijvoorbeeld sprake bij omzeiling van de beveiliging zoals bij een hack, vaak door tekortschietende beveiliging zoals verlies van wachtwoorden, verlies van een datadrager, of andere menselijke fouten.
Advies
- Stel een Data protection officer aan en houd een logboek bij van meldenswaardige datalekken
- Koppel data zoveel mogelijk los van de persoon, bijvoorbeeld door met nummers/codes waarvan alleen bij bijvoorbeeld de zorginstelling bekend is welke persoon daarbij hoort
- Indien u toegang krijgt tot persoonsgegevens die door een andere instelling verwerkt worden, dient u een bewerkstellingsovereenkomst te hebben met de desbetreffende instelling. Borg daarin wie waarvoor verantwoordelijk is en welke bevoegdheden heeft
- Zorg voor een protocol dat beschrijft wat er moet gebeuren in geval van een datalek
- Indien er een datalek is, meld dit dan bij de Autoriteit Persoonsgegevens. Ook de personen wier informatie is gelekt zullen mogelijk geïnformeerd moeten worden. Het kan raadzaam zijn daarvoor een advocaat in te schakelen.