Datalekken in organisaties

Op 1 januari 2016 is aan de Wet Bescherming Persoonsgegevens een artikel toegevoegd waarin staat wanneer en hoe datalekken gemeld moeten worden aan de Autoriteit Persoonsgegevens. Het doel van de meldplicht is om de schade van natuurlijke personen als gevolg van datalekken zo minimaal mogelijk te houden. De wet schrijft voor dat alle organisaties die persoonsgegevens verwerken passende maatregelen moeten nemen om die informatie maximaal te beschermen.

Er is sprake van een datalek als derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen. Datalekken kunnen optreden als de servers van een bedrijf worden gehackt en gevoelige informatie wordt gestolen, maar ook als een medewerker een smartphone, laptop of usb-stick met gevoelige informatie verliest. Zelfs een geprinte lijst met klantgegevens die wordt gestolen, geldt als datalek. In de Algemene Verordening Gegevensbescherming (AVG) die vanaf mei 2016 ingevoerd moet worden, spreekt men van een “inbreuk in verband met persoonsgegevens”, we zullen echter de term “datalekken” blijven gebruiken omdat die zo ingeburgerd is. De exacte definitie van een datalek in de AVG is: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens”. Let erop dat het na 25 mei 2018 voor de boete niet meer van belang is of datalekken per ongeluk of door nalatigheid veroorzaakt zijn.

Organisaties moeten gewoon hun beveiliging goed geregeld hebben.

Dat wil zeggen dat ze ervoor moeten zorgen dat informatie niet beschikbaar is voor derden. Encryptie van de gegevens is daartoe een goede technische maatregel en privacy-bewustzijn van alle medewerkers is een noodzakelijke organisatorische maatregel. Bij de beveiliging van data is de mens vaak de zwakste schakel. Het is daarom belangrijk om binnen de organisatie bewustzijn te creëren voor de beveiliging van persoonsgegevens. Zo weet iedereen wat er van hem of haar wordt verwacht als hij of zij met dat soort data werkt. Het is belangrijk dat ondernemers en bestuurders een beleid formuleren waarbij medewerkers worden gestimuleerd zelf mee te denken en verantwoordelijkheid te nemen. Een lijvig document wordt niet gelezen, laat staan nageleefd. Zorg ervoor dat een paar belangrijke regels op papier staan en leg minimaal één keer per jaar uit waarom beveiliging zo belangrijk is.

Als vast is komen te staan dat een organisatie is gehackt, of als bijvoorbeeld een van de medewerkers een device is verloren waarop privacygevoelige informatie staat, schrijft de AVG voor dat het lek binnen 72 uur na constatering gemeld wordt aan de toezichthouder, de Autoriteit Persoonsgegevens. De Autoriteit zal dan beoordelen welke maatregelen de organisatie moet nemen.

Veelal zal ze verlangen dat binnen een bepaalde tijd de organisatie haar beveiliging moet aanpassen. Gebeurt dat niet, dan is de kans op een flinke boete reëel. De wet schrijft namelijk voor dat boetes “evenredig, doeltreffend en afschrikkend” moeten zijn.

Veel ingrijpender zijn echter de kosten van reputatieschade. “Naming and shaming” kan niet alleen een behoorlijke deuk in het vertrouwen van klanten veroorzaken, het kan zelfs tot faillissement leiden. De gedupeerden kunnen individueel of als groep bij de rechter een schadeclaim indienen, zowel voor materiële als voor immateriële schade die ze geleden hebben door het datalek. Omdat de AVG vooral geschreven is om het individu te beschermen, kunt u er zeker van zijn dat de gedupeerden een heel sterke positie in een procedure innemen. Daarnaast zult u het vertrouwen van klanten en andere stakeholders moeten herstellen en dat kost (veel) geld. Denk bijvoorbeeld aan kortingacties om klanten die weg dreigen te lopen, te behouden en aan campagnes om het publiek ervan te overtuigen dat dergelijke datalekken niet meer kunnen/zullen voorkomen.