Datalekken
Meldplicht datalekken en tips om problemen te voorkomen
Inleiding
Ook sportverenigingen die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens (AP), voorheen CPB genaamd. Vragen als, wanneer is sprake van een datalek, wat moet u doen bij een incident en hoe kunnen problemen (en boetes) zoveel als mogelijk worden voorkomen, komen hierna aan de orde.
Wat is een datalek?
Voor de hand liggende persoonsgegevens zijn iemands naam en (email)adres. Ook gevoelige gegevens als iemands ras, godsdienst of gezondheid worden persoonsgegevens genoemd. Bij een datalek gaat het om toegang tot of vernietiging, wijziging, verwerking of het vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie (een inbreuk op de beveiliging van persoonsgegevens). Enkele voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Verplicht melden?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen, zoals uw leden, zal uw vereniging ook hen moeten informeren. Onlangs heeft de AP beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen u als vereniging bij het bepalen of er sprake is van een datalek dat u moet melden bij de AP en eventueel aan de betrokkenen, zoals uw leden.
Boete
De AP kan uw organisatie een boete geven als u een datalek ten onrechte niet meldt. De maximale boete is meer dan € 800.000. Hoewel het uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding, ziet u dat de consequenties van overtreding fors kunnen zijn. In bovenstaande beleidsregels geeft de AP ook inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.
Tips om datalekken te voorkomen
Om datalekken te voorkomen, moet u persoonsgegevens volgens de Wbp beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dat is alleen nog zo vaag. We geven u daarom de volgende concrete tips:
- Gebruik moderne beveiligingstechnieken. Dit is een open deur, maar vaak wordt bij datalekken de weg van de minste weerstand opgezocht. Dus hoe moderner de beveiliging, hoe kleiner de kans op bijvoorbeeld een hack;
- Houd besturingssystemen, browser en hulpprogramma’s up-to-date en maak regelmatig (versleutelde) back-ups;
- Beperk de toegang tot uw persoonsgegevens. Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik;
- Gebruik verschillende en sterke wachtwoorden. Klik hier voor tips over het instellen van een goed wachtwoord;
- Verzamel en gebruik niet meer gegevens dan strikt noodzakelijk. Ook dat lijkt een open deur, maar vaak verzamelen organisaties meer gegevens dan strikt noodzakelijk is. Ook pseudonomiseren kan u helpen;
- Communiceer aan en met uw medewerkers en vrijwilligers, zodat de awareness wordt vergroot;
- Probeer een cultuur te creëren waarbij medewerkers en vrijwilligers zich veilig voelen om het bestuur van de vereniging en elkaar te wijzen op risico’s, verdachte zaken en daadwerkelijke datalekken;
- Maak duidelijk aan wie een datalek intern binnen de vereniging gemeld moet worden en stel daarvoor een protocol op;
- Maak afspraken met degene die binnen uw organisatie persoonsgegevens bewerkt;
- Maak afspraken met uw medewerkers/bestuursleden die hun eigen apparaat (telefoon tablet, laptop) gebruiken; en
- Maak afspraken over de bescherming van persoonsgegevens met (toe)leveranciers.
Tot slot
Indien er ondanks alle maatregelen toch data lekt, dan raden wij u ten slotte aan om ook alvast na te denken over de omgang daarmee. Wie in de organisatie gaat bijvoorbeeld datalekken beoordelen en eventueel melden? Hoe wilt u betrokkenen gaan informeren en hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken? Dit zijn allemaal vragen waar ook u als vereniging een antwoord op behoort te hebben. Wij helpen u desgewenst graag bij het formuleren en implementeren van uw privacybeleid.
Hekkelman Advocaten
Ton Hendriks
Telefoon: (024) 3 828 384
E-mail: t.hendriks@hekkelman.nl
Online: Hekkelman Advocaten