Datalekken voorkomen en de meldplicht

Volgens de nieuwe privacywet AVG geldt er een meldplicht voor datalekken.
Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van de persoonsgegevens.
Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens binnen uw organisatie.
Maar uw medewerker kan ook onbedoeld een datalek veroorzaken. Denk aan bijvoorbeeld een e-mail die naar de verkeerde adressen wordt gestuurd of een e- mail met een verkeerd bestand. Ook kan een usb stick of laptop zoek raken of worden gestolen. Om deze reden is het heel belangrijk uw medewerkers bewust te maken van de risico’s die het werken met privacygegevens met zich meebrengt.
Immers hoe onschuldig een foutje misschien ook lijkt, het is belangrijk om dit meteen te melden zodat er maatregelen getroffen kunnen worden.
Hoe voorkom je datalekken nu zoveel mogelijk?
Neem reguliere beveiligingsmaatregelen. Denk aan spamfilters, firewalls en inbraakdetetiesystemen.
Hardware en software up to date houden. Het is noodzakelijk uw hardware en software zoveel mogelijk up to date te houden zodat er geen zwakke plekken in de firmware of in het besturingssysteem ontstaan.
Beperkte toegang tot privacyinformatie. Geef medewerkers alleen toegang tot informatie die ze echt nodig hebben voor het uitoefenen van hun taken.
Versleutel je data. Onbevoegden hebben immers niets aan onleesbare info.
Stel een calamiteitenplan op voor datalekken. Hier gaan wij in onze volgende blog dieper op in.
Toch een datalek? Meld deze dan per direct bij de Autoriteit Persoonsgegevens (AP).
Wanneer er onverhoopt toch een datalek ontstaat dan moet u dit lek proactief melden aan de toezichthouder, de AP. Dit kan via een formulier op hun website Meldloket datalekken van Autoriteit Persoonsgegevens. Als er persoonsinformatie van Europese burgers is verloren, moet ook de Europese toezichthouder worden genotificeerd. In elk geval moeten ook de betrokkenen van wie de persoonsgegevens zijn gelekt, proactief op de hoogte worden gesteld wanneer het lek ongunstige gevolgen heeft voor de persoonlijke levenssfeer.
Wanneer u als ondernemer kunt aantonen dat u passende maatregelen heeft genomen om de data te beschermen en een databeschermingsbeleid heeft, zullen er niet snel boetes worden opgelegd door de AP. Heeft u echter geen maatregelen genomen, dan staat u wel een boete te wachten. Die boete is echter nooit zo hoog als wanneer u helemaal geen melding heeft gedaan van het datalek en de toezichthouder (AP) daarachter komt. Deze boete’s kunnen dan, op dit moment, namelijk tot wel 820.000 euro bedragen of, als dat hoger is, 10 procent van de omzet van een onderneming.
Onze tip: Benadruk bij uw medewerkers dat het uiterst belangrijk is om een datalek meteen te melden zodat er maatregelen kunnen worden getroffen. Immers verzwijgen komt u als bedrijf nog velen malen duurder te staan. Uiteraard adviseren wij met klem om bovenstaande tips op te volgen om datalekken zo goed als mogelijk te voorkomen.
Wilt u meer weten over dit onderwerp of wilt u een calamiteitenplan laten opstellen? Neem dan contact op met één van onze ervaren juristen op gebied van de nieuwe AVG wetgeving.
Natuurlijk staan wij voor u klaar!
Het team van HBO Juristen.