Laat je data niet lekken!

27 oktober 2016 15:44

Op 1 januari jongstleden werd de Wet bescherming persoonsgegevens uitgebreid met de Wet meldplicht datalekken en een boetebevoegdheid voor de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP). Doel van de meldplicht: het minimaliseren van de schade die betrokkenen lijden door een datalek.

Met die boetebevoegdheid en de maximaal toegestane hoogte daarvan heeft de privacytoezichthouder geen stok in handen, maar een honkbalknuppel. Mijn inschatting is dat de maximale boete die kan worden opgelegd en die 820.000,- euro bedraagt, voor de meeste MKB’ers direct de doodklap zou betekenen. Is die boete overigens niet passend, dan mag zij tien procent van de netto jaaromzet van de onderneming beslaan. Die ‘tien procent-boetes’ zullen in de praktijk dus vooral gelden voor de kleine groep MKB-bedrijven met een minimale netto jaaromzet van meer dan 8,2 miljoen euro.

Zelfs als versleutelde data in handen van onbevoegde derden mochten vallen, kunnen die daar niets mee

Zo’n (dood)klap wilt u uiteraard voorkomen en de wet verplicht ook tot preventie. U moet namelijk maatregelen treffen om de privacy te beschermen en tevens een databeschermingsbeleid op poten zetten en dit (aantoonbaar) handhaven. U moet zodoende met uw medewerkers, maar bijvoorbeeld ook met uw leveranciers en andere zakelijke netwerkpartners, afspraken maken over hoe veilig om te gaan met data en deze afspraken vervolgens vastleggen. Heeft u dit allemaal goed geregeld, dan kunt u er bij een datalek zelfs helemaal zonder boete vanaf komen. Uw beleid moet overigens gericht zijn op al uw bedrijfsdata die direct herleidbaar is tot individuen.

Een datalek kan op vele wijzen ontstaan, onder meer doordat uw server wordt gehackt en persoonsgegevens worden gestolen. Maar ook doordat een van uw medewerkers privacygevoelige data verliest door een device te laten slingeren. Denk aan een usb-stick of laptop, maar ook aan een smartphone of zelfs een printje met vertrouwelijke data erop. Nu zijn er diverse preventiemaatregelen denkbaar, maar aangezien vrijwel elk bedrijf tegenwoordig in de cloud zit, is het versleutelen van uw data middels encryptie sowieso de backbone van goed databeschermingsbeleid. Want zelfs als versleutelde data in handen van daartoe onbevoegde derden mochten vallen, kunnen die daar niets mee.

En wat als data ondanks uw inspanningen toch in handen van die daartoe onbevoegde derde vallen? Dan is het devies om dat direct (binnen 72 uur) proactief te melden bij de AP én in sommige gevallen ook bij diegenen die schade lijden van uw lek. Dit werkt boeteverlagend, terwijl verzwijging van een datalek bij ontdekking door de AP juist tot een hogere boete leidt. Alertheid op preventie én transparantie bij ongelukken zijn dus absoluut geboden. Sinds 1 januari.

Interessant artikel? Deel het: