Datalekken bovenaan commissarissenagenda
Op het niet-naleven van de meldplicht datalekken staat een boete van 820.000 euro of tien procent van de omzet van een rechtspersoon in het voorafgaande jaar. Of in de toekomst zelfs meer. Reden genoeg voor toezichthouders om datalekken serieus te nemen, adviseren Maarten Appels, Roos Dutilh-van Waaij en Eva de Vries van Van Doorne.
Het aantal datalekken is de laatste jaren toegenomen. Een voorbeeld dat kon rekenen op grote media-aandacht was het datalek bij Ashley Madison waardoor persoonsgegevens van miljoenen gebruikers van de vreemdgangerswebsite op straat kwamen te liggen. Met niet alleen grote financiële schade voor Ashley Madison, maar ook persoonlijke schade voor betrokkenen. Ashley Madison staat hierin helaas niet alleen. Het is niet langer de vraag of een onderneming te maken krijgt met een datalek, maar wanneer dit gebeurt.
Diefstal en inbraak
Er is sprake van een datalek wanneer zich een beveiligingsincident voordoet waarbij persoonsgegevens verloren zijn gegaan of wanneer onrechtmatige verwerking daarvan redelijkerwijs niet valt uit te sluiten. Dit laatste kan bijvoorbeeld het geval zijn wanneer persoonsgegevens onbedoeld in handen van derden zijn gevallen. Hierbij kun je denken aan diefstal van een laptop, een inbraak door een hacker of bestanden met gegevens die per ongeluk worden verstuurd aan de verkeerde geadresseerden. Ook het kwijtraken van een USB-stick of het openbaar maken van wachtwoorden valt te kwalificeren als een datalek.
Wet aangepast
Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) aangepast. Hierin is nu opgenomen dat datalekken moeten worden gemeld aan de privacytoezichthouder, de Autoriteit Persoonsgegevens en onder omstandigheden ook aan de betrokkenen. Een soortgelijke meldplicht bestond al langer voor de financiële sector, waarbij datalekken moeten worden gemeld aan de Autoriteit Financiële Markten en/of De Nederlandsche Bank. Tegelijkertijd met het invoeren van de meldplicht datalekken is ook de boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. Op het niet-naleven van de meldplicht datalekken staat een boete van maximaal € 820.000, of tien procent van de omzet van een rechtspersoon in het voorafgaande jaar. Met deze aanpassingen in de Wbp loopt de wetgever vooruit op de Algemene Verordening Gegevensbescherming (AVGB). Deze Europese privacywetgeving, die vanaf 25 mei 2018 van kracht zal zijn, voorziet ook in een meldplicht datalekken en geeft de privacywaakhond de bevoegdheid om boetes op te leggen met maxima van € 10.000.000 tot € 20.000.000 - of percentages van de jaaromzet van respectievelijk twee tot vier procent van de wereldwijde omzet.
Rol toezichthouder
De rol van de toezichthouder is in de afgelopen jaren sterk veranderd. Van toezichthouders wordt steeds meer verwacht als het gaat om kennis. Een toezichthouder dient voldoende gekwalificeerd te zijn om een toezichthoudende functie te vervullen, daarbij de omvang en complexiteit van de onderneming in aanmerking genomen. Technologische ontwikkelingen zullen bij de meeste ondernemingen een steeds belangrijkere rol krijgen bij het vervullen van de taak van een commissaris. In het recent gepubliceerde Voorstel tot Herziening van de Corporate Governance Code wordt dit door de Commissie onderschreven: 'In dit kader is van belang dat de raad van commissarissen zodanig is samengesteld dat in ieder geval de nodige affiniteit en expertise aanwezig is ten aanzien van kennis over technologische innovatie'. In de voorgestelde best-practicebepaling 2.1.4. is in het verlengde hiervan opgenomen dat ten minste één commissaris beschikt over specifieke deskundigheid op het gebied van technologische innovatie en nieuwe businessmodellen.
Sancties
Wat is de rol van de toezichthouder in relatie tot de nieuwe meldplicht datalekken en de daaraan verbonden sancties? Dit lijkt immers een primaire verantwoordelijkheid van het bestuur. De gevolgen van een datalek kunnen enorm zijn. Niet alleen door de genoemde boetes, maar denk ook aan reputatieschade, claims van betrokkenen en stilleggen van de bedrijfsvoering. Met recht kan gesteld worden dat beveiliging van persoonsgegevens en het adequaat reageren op voorkomende datalekken een prominente plek verdient op de agenda van de toezichthouder. Een van de taken van de raad van commissarissen is het toezien op de effectiviteit van de interne risicobeheersings- en controlesystemen van de vennootschap. Daarbij behoort de raad van commissarissen zich te laten informeren over de kwaliteit van de onderliggende processen. Juridische thema’s hierbij zijn onder meer: privacy (waaronder toegang tot en beveiliging van persoonsgegevens), aansprakelijkheid en continuïteit. Om dergelijke thema’s en de daarmee samenhangende risico’s goed te kunnen beoordelen is specialistische kennis van (een van de) commissarissen een voorwaarde.