Datum: 28 januari 2019
Gewijzigd 14 november 2023
Geschreven door: Valerie Lipman
Leestijd: +/- 2 minuten
Digitalisering is overal en de hoeveelheid data die hierbij wordt opgeslagen neemt fors toe. Dit brengt nieuwe risico’s met zich mee, onder andere op het gebied van beveiliging van data. Wat zijn de gevolgen wanneer data wordt gestolen of op een andere manier verloren raakt en wat kunt u hieraan doen?
Wanneer als onderdeel van data persoonsgegevens worden verwerkt, is daarop de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG eist een zorgvuldige omgang met persoonsgegevens, op straffe van forse boetes. Een belangrijk onderdeel hiervan is de beveiliging van persoonsgegevens. Slechte beveiliging van gegevens kan namelijk verschillende problemen met zich mee brengen, zoals een datalek.
De belangrijkste regel op het gebied van beveiliging van persoonsgegevens is dat organisaties volgens de AVG zowel technische als organisatorische maatregelen moeten nemen om een passend beschermingsniveau te garanderen. Onder technische maatregelen vallen onder andere toegangscontroles en netwerkbeveiliging, terwijl bij organisatorische maatregelen bijvoorbeeld kan worden gedacht aan het opleggen van geheimhouding aan personeelsleden, het geven van instructies en het verzorgen van trainingen.
Daarnaast is het belangrijk om als organisatie te bepalen hoe er met data omgegaan wordt. Wie heeft er bijvoorbeeld toegang tot welke gegevens? Hoe meer personen toegang hebben tot de gegevens, hoe groter natuurlijk de kans op een incident is. Beperk als organisatie de toegang tot data en persoonsgegevens tot de medewerkers die deze echt nodig hebben voor hun werkzaamheden. Daarbij is het als organisatie ook belangrijk om niet meer persoonsgegevens te verwerken dan nodig is. Verwijder bijvoorbeeld waar mogelijk bepaalde identificeerbare kenmerken uit gegevens.
Veel organisaties werken samen met andere partijen bij de verwerking van persoonsgegevens, zoals in het kader van de salarisadministratie. De AVG bepaalt dat organisaties met dergelijke partijen een zogenaamde verwerkersovereenkomst moeten sluiten. Deze verwerkersovereenkomst moet onder andere beschrijven hoe de bescherming en verwerking van de persoonsgegevens is geregeld. Zo mag de verwerker de persoonsgegevens niet voor eigen doelen gebruiken. Belangrijk hierbij is dat een organisatie zelf verantwoordelijk blijft voor de bescherming van persoonsgegevens. Schakel daarom alleen verwerkers in die kunnen aantonen dat zij ook aan de wettelijke vereisten op het gebied van beveiliging van data voldoen. Met bijvoorbeeld een AVG-certificaat of een ISO/NEN 27001 en 27002 certificering kunnen organisaties aantonen dat ze persoonsgegevens volgens wettelijke standaard verwerken.
Een van de grootste risico’s op het gebied van beveiliging van data is het ontstaan van een datalek. Bij een datalek gaat het om gevallen waarin er sprake is van inbreuk op de beveiliging, waarbij persoonsgegevens verloren zijn gegaan of niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt. Denk bijvoorbeeld aan een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker of een malware-besmetting.
De AVG stelt strenge eisen aan de registratie van de datalekken in een organisatie. Zo moet een organisatie ieder datalek documenteren, inclusief de feiten over het datalek, de gevolgen daarvan en de naar aanleiding van het datalek genomen maatregelen. Daarnaast geldt de meldplicht datalekken, die inhoudt dat organisaties een melding moeten doen bij de Autoriteit Persoonsgegevens (hierna: AP) binnen 72 uur nadat zij een datalek hebben ontdekt. In sommige gevallen moet er ook melding worden gedaan bij de betrokkenen zelf. Dit is het geval als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer.
Of een organisatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.
Het niet of niet tijdig melden van een datalek vormt een overtreding van de AVG. De AP kan in dat geval een boete opleggen van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van de organisatie. Zo heeft de AP onlangs vervoersbedrijf Uber een boete van 600.000 euro opgelegd voor het overtreden van de meldplicht datalekken, omdat Uber de AP en betrokkenen niet tijdig had geïnformeerd over een datalek waarbij onbevoegden toegang tot persoonsgegevens kregen. Het ging hier om persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs.
Natuurlijk wilt u als organisatie het risico op een datalek of enige onrechtmatige vorm van verwerking zo klein mogelijk maken. Daarom is het van belang dat de beveiliging van data binnen de organisatie een blijvend punt van aandacht blijft. Zorg dat uw organisatie voldoet aan de AVG en voorkom boetes!
Wilt u meer weten over privacy of de beveiliging van persoonsgegevens? Neem dan gerust contact op met een van onze privacy specialisten, wij staan graag voor u klaar: Valerie Lipman en Annemarie van Woudenberg.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.