INTERNET - RECHT - 29.04.2015

‘Wet meldplicht datalekken’, een nieuw risico?

Het Wetsvoorstel meldplicht datalekken is op 10 februari 2015 aangenomen door de Tweede Kamer en zal waarschijnlijk nog voor de zomer worden aangenomen door de Eerste Kamer. Wat moet u daar nu al van weten?

Toenemend risico

Niet alleen voor de grote jongens ... Het gebeurt steeds vaker dat bedrijven, ook in het MKB, te maken krijgen met een cyberaanval waarbij persoonsgegevens worden buitgemaakt. De consequenties van zo’n cyberaanval kunnen groot zijn. Denk aan imagoschade, financiële schade doordat bijvoorbeeld een geheimhoudingsovereenkomst niet kan worden nagekomen, diefstal van informatie en intellectueel eigendom, uitval van processen en diensten, verlies aan kwaliteit en wellicht zelfs chantage.

Nieuw risico in 2016? Als deze wet wordt aangenomen, komt daar vanaf volgend jaar een nieuw risico bij: een boete op grond van de ‘Wet meldplicht datalekken’ die op kan lopen tot € 450.000,-.

Tip. Zorg dat uw beveiliging op orde is!

Meer over de meldplicht

Doel van de wet. Steeds meer bedrijven maken gebruik van persoonsgegevens. Daarom heeft de wetgever zich genoodzaakt gezien om een wet te maken. Het doel van de wet is tweeledig:

  1. datalekken van persoonsgegevens voorkomen;
  2. de gevolgen voor de betrokkenen zo veel mogelijk beperken als het toch gebeurt.

Niet verplicht, toch melden? Op dit moment geldt alleen voor aanbieders van openbare elektronische communicatiediensten een wettelijke plicht om een datalek te melden. Er is voor MKB-ondernemers nog geen meldplicht. U hoeft dan helemaal niets te melden als er bij u onverhoopt een datalek optreedt. Tip. Wees daar voorzichtig mee. Niet melden kan leiden tot een onrechtmatige daad, bijv. omdat de betrokkene onnodig schade lijdt. Ook kan een datalek soms zelfs een zelfstandig strafbaar feit opleveren, bijv. als een medische geheimhoudingsplicht wordt geschonden.

Wat is er nieuw?

Het wetsvoorstel zorgt ervoor dat er een verplichting komt om datalekken te melden aan het College Bescherming Persoonsgegevens ( https://cbpweb.nl ) én aan de betrokkenen. Als getroffen onderneming moet u zelf toetsen of de inbreuk nadelige gevolgen kan hebben voor de privacy en u daarom in aanmerking komt voor een melding. Hoe doet u dat?

Hoe toetsen of ik moet melden?

Stap 1. Stel vast of persoonsgegevens zijn blootgesteld aan het risico op verlies en/of onrechtmatige verwerking. Is er sprake van een geslaagde hack (inbreuk op de beveiliging) van het IT-systeem waar persoonsgegevens zijn opgeslagen of is er bijvoorbeeld een USB-stick, smartphone of laptop met persoonsgegevens kwijtgeraakt ?

Stap 2. Bepaal of het risico op verlies en/of onrechtmatige verwerking aannemelijk is. Kijk naar de aard en de omvang van het datalek. In de regel zal het risico gering zijn als het gaat om het verlies van een enkel apparaat met een beperkte hoeveelheid niet-gevoelige persoonsgegevens (bijvoorbeeld een smartphone met een lijst met contacten). Het risico is echter aanmerkelijk als bijv. een abonneebestand op een website is gehackt.

Stap 3. Zijn er mogelijk nadelige gevolgen voor de privacy van de betrokken personen? Is dat het geval en zijn de risico’s groot, dan heeft u een meldplicht.

Ga zorgvuldig na of er persoonsgegevens zijn verloren of onrechtmatig bewerkt kunnen zijn. Schat in hoe groot het bestand is en wat de gevolgen voor de betrokkenen kunnen zijn. Meld het als de risico’s aanwezig zijn. Doet u dat niet, dan kan de boete oplopen tot € 400.000,-.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01