Vanaf 1 januari 2016 moeten zowel bedrijven als overheden ‘ernstige’ datalekken van persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP). Voorbeelden van datalekken zijn kwijtgeraakte USB-sticks met persoonsgegevens, gestolen laptops of een gehackt databestand.
Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd, oftewel naam en adres (ook van e-mail of computer). Gevoelige persoonsgegevens zijn gegevens die in verkeerde handen iemands privacy ernstig kunnen aantasten. Persoonsgegevens mogen alleen worden gevraagd als dat nodig is voor een nauwkeurig omschreven doel. Met die verzamelde gegevens mag alleen wat worden gedaan als de wet dat toelaat en mits het zorgvuldig gebeurt.
Van 1 januari tot begin mei 2016 werden ruim 1600 lekken gemeld, maar volgens de AP moeten er in werkelijkheid veel meer datalekken zijn geweest. Er zijn ruim 130.000 organisaties in Nederland die persoonsgegevens verwerken. De verwachting is dat jaarlijks 60.000 datalekken plaatsvinden. Dan zijn 1600 meldingen in vier maanden tijd aan de krappe kant. Als bedrijven beveiligingsproblemen niet melden, riskeren zij hoge boetes: ruim € 800.000,- of tien procent van de jaaromzet. Boetes zijn door de AP nog niet opgelegd, maar dat gaat in de toekomst wel gebeuren.
Voor ons werk als advocaat hebben wij gevoelige persoonsgegevens van mensen nodig. Die registreren wij. Wij moeten als professionele geheimhouders extra goed zorgen voor beveiliging van die gegevens. De gegevens staan nu nog op een server op kantoor. We maken gebruik van een ICT-bedrijf, dat service en onderhoud verricht. Wij zijn met dit bedrijf in zee gegaan, omdat zij veel aandacht heeft voor het beveiligingsaspect.
Cloud-providers zeggen dat wij daarmee een dief van onze eigen portemonnee zijn, maar wij wachten vooralsnog op informatie van cloud-providers en niet-eenzijdig op te zeggen afspraken over beveiligingsmaatregelen, de opslaglocatie (binnen de EU), het inschakelen van derden, exit-strategies, audits, aansprakelijkheid, scenario’s bij datalekken of faillissement.
Behalve de techniek is ook van belang hoe je als organisatie met persoonsgegevens omgaat. De noodzaak om toegang te krijgen tot persoonsgegevens moet altijd worden gecheckt en door het management gefiatteerd. Binnen de organisatie dient een vaste persoon te worden aangewezen, die eventuele datalekken beoordeelt en meldt. Die persoon moet ook de betrokken partijen informeren over het datalek. Verder is het raadzaam een protocol te maken voor de situatie dat van buitenaf signalen komen over mogelijke datalekken binnen jouw bedrijf.
Niet alleen advocatenkantoren slaan gevoelige persoonsgegevens op. In principe heeft ieder bedrijf daarmee te maken. Denk bijvoorbeeld aan personeelsadministratie en ziekteverzuimregistratie, die gevoelige persoonsgegevens bevatten. Wij kunnen u helpen bij het screenen van ICT-contracten en het opmaken van duidelijke instructies voor personeel over veilig gebruik van het bedrijfsnetwerk. U kunt hierover vrijblijvend contact opnemen met Rietje Obers, advocaat Milieu + Omgeving, per email: r.obers@gca.nl of telefonisch 0493 – 352070.
