Commissaris moet alert zijn op datalek

Nieuwe meldplicht datalekken

De nieuwe meldplicht datalekken heeft grote gevolgen voor de bescherming van persoonsgegevens. Commissarissen moeten de veranderingen tijdig signaleren en toetsen of bestuur en organisatie adequaat kunnen handelen bij een datalek, alus Marc Elshof en Barry Breedijk van Boekel.

Op 1 januari 2016 is de meldplicht datalekken in werking getreden. Iedereen die verantwoordelijk is voor de verwerking van persoonsgegevens, is verplicht om een inbreuk op de beveiliging (datalek) met een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens, binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens (AP).

Bijzondere gegevens

Het is aan de verantwoordelijke functionaris om te bepalen of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Hiervan zal sneller sprake zijn bij grote groepen betrokkenen, bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard. Hierbij moet gedacht worden aan gegevens over de financiële of economische situatie van betrokkenen, inloggegevens, gegevens die misbruikt kunnen worden voor (identiteits)fraude, of aan persoonsgegevens over gezondheid, godsdienst, ras en politieke gezindheid.

Privacy

De verantwoordelijke functionaris is daarnaast verplicht betrokkenen direct in kennis te stellen indien de inbreuk (waarschijnlijk) ongunstige gevolgen zal hebben voor hun privacy. Een melding aan de betrokkenen kan achterwege blijven indien de betreffende persoonsgegevens voldoende versleuteld - en daardoor onbegrijpelijk of ontoegankelijk - zijn. Naast de tijd die gemoeid is met het afwikkelen, herstellen en melden van datalekken, kunnen hieraan aanzienlijke kosten verbonden zijn. Denk aan de kosten voor het detecteren en herstellen van het datalek, het melden van het datalek bij de AP en betrokkenen, reputatieschade en aanzienlijke boetes van de AP. Daarnaast kunnen benadeelde personen de verantwoordelijke functionaris aansprakelijk stellen voor geleden schade.

Draaiboek

Verantwoordelijke functionarissen doen er goed aan een draaiboek op te stellen waarin zo concreet mogelijk is opgenomen hoe te handelen bij datalekken om zodoende direct te kunnen reageren en indien nodig direct een melding te kunnen doen bij de AP en betrokkenen. Naarmate de interne procedures ten aanzien van datalekken duidelijker en actueler zijn, zal de impact van een datalek kleiner zijn en kunnen kosten geminimaliseerd worden. Het opstellen van een dergelijk draaiboek vergt een gezamenlijke inspanning van meerdere afdelingen, waaronder IT, Legal en PR.

Privacy by design

Door vanaf de start van het ontwikkelen en het ontwerpen van diensten en producten aandacht te besteden aan privacyverhogende maatregelen kunnen veel datalekken worden voorkomen en kunnen de gevolgen van datalekken aanzienlijk worden beperkt (privacy by design). Voorbeelden van privacyverhogende maatregelen zijn encryptie, adequate autorisatie, dataminimalisatie, pseudonimisering en transparantie. Privacy by design ligt ten grondslag aan de nieuwe Europese privacyverordening die hoogstwaarschijnlijk in het voorjaar van 2018 in werking treedt. Het structureel toepassen van privacy by design begint bij bewustwording. Daarnaast kan gedacht worden aan het instellen van een voorafgaande privacy impact assessment. Hiermee worden de privacyaspecten in een vroeg stadium kenbaar. De privacyverordening verplicht ondernemingen onder omstandigheden een dergelijke voorafgaande evaluatie uit te voeren. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat achteraf geen aanpassingen hoeven te worden gedaan aan al ontwikkelde diensten of producten.

Sanctie(bevoegdheden)

De boetebevoegdheden van de AP zijn per 1 januari 2016 aanzienlijk uitgebreid. Voorheen kon de AP bij overtreding van de Wet bescherming persoonsgegevens een boete opleggen van maximaal 4.500 euro. Het maximum van de boete onder de nieuwe wet is 820.000 euro of tien procent van de omzet.

Commissarissen

De meldplicht datalekken heeft vergaande gevolgen en vereist een integrale benadering waarbij het bestuur een cruciale (voorbereidende) taak heeft. Commissarissen doen er goed aan om de veranderingen die de meldplicht meebrengt tijdig te signaleren, het bestuur aan te zetten tot handelen en te toetsen of het bestuur en de organisatie als geheel daadwerkelijk adequaat kunnen handelen in het geval van een datalek.

http://www.boekel.com/nl/data/juristen/marc-elshof/filter

http://www.boekel.com/nl/data/juristen/barry-breedijk/filter

 

Auteur(s)
Marc Elshof
Barry Breedijk (Boekel)
Dit artikel is gepubliceerd in
GU2016feb

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Volg ons op social media

Governance Update nieuwsbrief