Skip to Content

Blog Frank Diepmaat – Datalekken, de WBP en AVG

Frank Diepmaat is werkzaam op de Servicedesk en lid van het LOKO Security-team.

Datalekken, de WBP en AVG.

Welkom terug beste lezer bij de tweede toevoeging aan onze LOKO Blog. Voordat u dit artikel leest, adviseer ik om eerst de voorgaande te lezen “Wanneer ben ik veilig?”. Dit artikel is een vervolg en zal verder ingaan op het onderwerp datalekken en wat daar allemaal bij komt kijken.

Allereerst is het handig even af te kaderen wat een datalek nou is. Een datalek is het kwijtraken, onrechtmatig verstrekken en/of onrechtmatig verwerken van persoonsgegevens. Vooral dat laatste woord is hierin belangrijk. Maar wat zijn persoonsgegevens precies? Volgens de Autoriteit Persoonsgegevens:

De Wet bescherming persoonsgegevens (WBP) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Wanneer is er spake van een datalek?

Wat betekent dit nu? Voorbeeld: Een USB stick met blauwdrukken voor uw nieuwe prototype verdwijnt en ligt op straat. HEEL vervelend, maar dit is geen datalek. Dit wordt echter een datalek wanneer er op de USB stick ook een bestand staat met klanten voor dit product, inclusief hun inloggegevens voor bijvoorbeeld een klantportaal.

Nou oké, stel een medewerker verzend per ongeluk een Excelbestand met klantgegevens (email, namen, rekeningnummers) naar iemand die hier geen inzage in mag hebben. Waar kunt u dan terecht en wat zijn de vervolgstappen? Allereerst moet een datalek binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens. De tijd begint te lopen vanaf het moment dat iemand binnen uw bedrijf het lek vermoed. Deze termijn is in het leven geroepen om u eerst de tijd te geven om te bepalen of er echt een datalek is. Onderstaand schema is daar een goed handvat voor:

Wanneer heeft u een meldplicht?

Zoals u ziet zijn de gekozen kleuren in de afbeelding toepasselijk, namelijk: grijs. Er zit hier namelijk een groot grijs gebied waar veel over valt te speculeren. Wat voor de één zwaarwegende redenen zijn om een lek niet te melden, zijn voor de ander onacceptabel. En wanneer zouden persoonsgegevens nou van zulke aard zijn dat kwaadwillende hier wat mee kunnen? En wanneer is die versleuteling nou aantoonbaar sterk genoeg om het lek niet te melden? Dit zijn vragen die eigenlijk vooraf al beantwoord moeten zijn. Een gedegen plan van aanpak voor datalekken is elke moderne organisatie aan te raden.

Nu we helder hebben wat een datalek is en waar dit tijdig gemeld moet worden, blijven de consequenties over. “Save the best for last”, laten we maar zeggen. De consequenties van het niet melden van datalekken zijn vele malen groter dan het wel melden. Sterker nog: het wel melden van een datalek waarbij geen sprake is van nalatigheid, wordt naar verwachting geen boete voor uitgedeeld (de Autoriteit Persoonsgegevens heeft tot nu toe nog geen boetes uitgedeeld. Ze beloven dit wel te gaan doen!). Of u moet terugkerend nalatig zijn. De maatregelen zijn duidelijk bedoeld om te voorkomen dat bedrijven datalekken niet melden uit angst voor reputatieschade. Dit houdt namelijk in dat u nooit te horen krijgt of uw creditcardgegevens gestolen zijn, totdat u ineens een rekening krijgt voor die BMW uit Roemenië.

De boetes bij het niet melden van een datalek zijn dan ook niet mals. Deze staan niet zozeer in verhouding met wat een bedrijf kan betalen, maar met de schade die normaal ontstaat door een datalek. Deze bestuurlijke boete kan variëren van 500.000 tot 820.000 euro. In uitzonderlijke gevallen kan zelfs een boete tot 10% van de netto jaaromzet opgelegd worden.

Algemene Verordening Gegevensbescherming (AVG)

Een laatste toevoeging aan dit artikel is de vermelding van de nieuwe AVG, Algemene Verordening Gegevensbescherming. Dit is een set Europese maatregelen die vanaf 25 Mei 2018 de Wet Bescherming Persoonsgegevens (WBP) vervangt. Niet alleen worden in de AVG de eisen aan de verwerking van persoonsgegevens aangescherpt, ook wordt de boetebevoegdheid behoorlijk uitgebreid. Deze nieuwe boetes laten de huidige van de WBP op een zakcentje lijken. Met respectievelijk 10 tot 20 miljoen euro, of 2 tot 4 procent van de wereldwijde jaaromzet van de onderneming.

De AVG breidt verder vooral de rechten en bescherming van natuurlijke personen uit, waarbij er meer verantwoordelijkheid bij de verwerkers van deze gegevens neergelegd wordt. Zoals te zien is aan de boetebedragen worden ook de consequenties en maatregelen groter. Gelukkig komen er voor ondernemers ook meer tools beschikbaar om dit allemaal aan te kunnen. Zo kunt u met dienstverleners als LOKO een bewerkersovereenkomst afsluiten (moet onder de huidige wetgeving ook al) om duidelijke afspraken te maken die voldoen aan de AVG. Voor ondernemers met Europese vestigingen kan de AVG een uitkomst bieden, omdat er dan namelijk één Europese wet geldt i.p.v. 28 verschillende.

Onderstaand nog een verzameling aan handige links om uzelf verder in te lezen en voor te bereiden. Ook kunt u uiteraard contact opnemen met LOKO voor vragen, of om te zien wat wij voor elkaar kunnen betekenen. Uiteraard bent u ook van harte welkom op 1 van onze ontbijtsessies over dit onderwerp. Zie de agenda ontbijt- en lunchsessies.

Meldplicht Datalekken – Autoriteit Persoonsgegevens

Meldloket Datalekken – Autoriteit Persoonsgegevens

Algemene Verordening Gegevensbescherming – Autoriteit Persoonsgegevens

In 10 stappen voorbereid op de AVG (pdf) – Autoriteit Persoonsgegevens

Richtlijnen Datalekken (pdf) – Autoriteit Persoonsgegevens

Bewerkersovereenkomst – Justitia

Datalekken – Justitia