Datum: 18 juni 2021
Gewijzigd 14 november 2023
Geschreven door: Joost van Dongen
Leestijd: +/- 2 minuten
De afgelopen jaren worden er in het nieuws regelmatig datalekken gemeld. Een van de grootste en wellicht meest ingrijpende was het datalek bij de GGD begin 2021. In datzelfde jaar meldde ook New York Pizza een datalek als gevolg van een hack bij een van haar softwareleveranciers. Het gevolg: 3,9 miljoen klantgegevens die mogelijk zijn gestolen. Recentelijk heeft er bij pakketdienst GLS een datalek plaatsgevonden waardoor veel onbedoelde e-mails zijn verstuurd naar mensen die helemaal geen pakketje hadden besteld. Wat kun je als onderneming doen om dit soort datalekken te voorkomen? In dit artikel geven wij vijf praktische tips!
Op de eerste plaats is van belang dat de hoeveelheid persoonsgegevens die door een onderneming worden verzameld, zoveel mogelijk wordt beperkt. Dat klinkt wellicht als een open deur, maar in de praktijk leidt het onnodig verzamelen van persoonsgegevens tot veel onnodige risico’s en problemen. Niet alleen is de hoeveelheid data die door de onderneming wordt verwerkt onnodig groot in omvang, ook worden deze persoonsgegevens in veel gevallen niet verwijderd wanneer de bewaartermijn hiervan is verstreken. De onderneming is voor hackers een interessante prooi, want als ze weten binnen te dringen, is de buit immers groot. Daarnaast loopt de onderneming ook het risico om boetes opgelegd te krijgen door de Autoriteit Persoonsgegevens (AP).
Van belang is dat kritisch beoordeeld wordt welke persoonsgegevens noodzakelijk zijn om te verwerken. Daarnaast kan het handig zijn om een jaarlijks moment in te plannen waarop de verwerkte persoonsgegevens gecontroleerd worden. Is de bewaartermijn verstreken? Vernietig de persoonsgegevens dan. Gegevens die je niet hebt, kunnen ook niet worden gelekt!
Persoonsgegevens die worden verwerkt op basis van een van de grondslagen die de Algemene Verordening Gegevensbescherming (AVG) noemt, dienen goed beveiligd te zijn. De AVG verplicht ondernemingen passende (organisatorische en technische) maatregelen te nemen om persoonsgegevens te beveiligen. Beveiligingsmaatregelen die je als ondernemer kunt nemen zijn onder andere het installeren van een firewall, het extra beveiligen van het draadloze netwerk en het installeren van twee-factorauthenticatie voor toegang tot de persoonsgegevens of applicaties. Vergeet ook niet om de beveiliging regelmatig te controleren. Is alles nog up-to-date en conform de norm? Dan loop je als onderneming minder risico dat een datalek plaatsvindt.
Als een datalek, zoals een hack, plaatsvindt, kan de schade beperkt worden door persoonsgegevensgegevens versleuteld (door middel van encryptie) op te slaan. Door persoonsgegevens versleuteld op te slaan, wordt de eventuele schade voor betrokkenen enorm beperkt, ook als onverhoopt toch een datalek plaatsvindt. Het risico dat derden, zoals hackers, daadwerkelijk gebruik kunnen maken van de gelekte persoonsgegevens door deze openbaar te maken of te verkopen is dan aanzienlijk minder groot.
Voor het deugdelijk verwerken van persoonsgegevens is een goed privacy beleid essentieel. Daarin neemt u kort gezegd op welke persoonsgegevens u waarvoor verwerkt en hoe u dit op een veilige manier doet.
Daarnaast zijn ondernemingen op grond van de AVG verplicht betrokkenen te informeren over de verwerking van hun persoonsgegevens. De AVG stelt verschillende eisen aan deze informatieplicht, die het makkelijkst nageleefd kunnen worden door een privacy beleid op te stellen met daarin alle informatie. Het privacy beleid dient vervolgens geplaatst te worden op een openbare en toegankelijke plaats, zoals de eigen website. Enkele onderwerpen waarover betrokkenen verplicht geïnformeerd moeten worden, zijn de verwerkingsdoelen, de grondslag voor de verwerking, de bewaartermijnen van de persoonsgegevens en de rechten die betrokkenen hebben.
Zorg daarnaast ook voor naleving van het beleid binnen de onderneming. Veel datalekken vinden namelijk plaats als gevolg van menselijke fouten. Een goede naleving van het beleid is dus cruciaal om datalekken zoveel mogelijk te voorkomen. Door werknemers actief op de hoogte te stellen van de inhoud van het privacy beleid en ze hier regelmatig aan te herinneren, zijn zij zich meer bewust van een goede naleving van het beleid en wat de gevaren en risico’s zijn wanneer zij persoonsgegevens verwerken.
Tot slot is aan te bevelen een intern protocol meldplicht datalekken op te stellen. Een onderneming is op basis van de AVG namelijk verplicht ieder datalek te documenteren. Bovendien geldt er een meldplicht datalekken. De meldplicht houdt in dat ondernemingen binnen 72 uur nadat het datalek is ontdekt, melding van het lek moeten maken bij de AP. Wanneer een datalek niet binnen 72 uur wordt gemeld, bestaat een (extra) risico op een boete door de AP. Door een intern protocol meldplicht datalekken op te stellen, weten werknemers direct wat ze moeten doen wanneer een datalek plaatsvindt en kunnen zo snel mogelijk passende maatregelen getroffen worden.
Indien samengewerkt wordt met derde partijen, is het van belang om te bepalen of deze partij kwalificeert als verwerkingsverantwoordelijke of verwerker. Wanneer een derde partij verwerkingsverantwoordelijke dan moet deze partij zelfstandig voldoen aan alle verplichtingen en eisen die AVG stelt.
Als de derde partij voor de onderneming persoonsgegevens gaat verwerken en deze partij niet het doel en de middelen van de verwerking bepaalt, dan is deze partij een verwerker en dient er op grond van de AVG een verwerkersovereenkomst te worden gesloten. Daarin moet bijvoorbeeld worden opgenomen welke persoonsgegevens worden verwerkt en voor hoe lang, wat de aard en het doel van de verwerking is en op welke manier de beveiliging van de persoonsgegevens is gewaarborgd. Daarnaast wordt hierin opgenomen welke verplichtingen de verwerker heeft, zoals een meldplicht in het geval een datalek optreedt. Een goede verwerkersovereenkomst zorgt dat duidelijk is wie waarvoor verantwoordelijk is waar het gaat om het verwerken van persoonsgegevens.
Vraagt u zich af of uw onderneming persoonsgegevens wel conform de AVG verwerkt. Of wilt u meer informatie over het opstellen van een privacy beleid of procedures rondom datalekken? Neem dan contact op met onze privacy specialisten: Annemarie van Woudenberg of Joost van Dongen.
Deze pagina is op 14 augustus 2023 voor het laatst bijgewerkt.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.