Menu

Bij de inzet van marketing wordt gewerkt met data. Door jou of door het externe marketingbureau dat is ingeschakeld. Persoonlijke gegevens worden verzameld, bewaard, verwerkt of opgeslagen. Met deze data dient zorgvuldig te worden omgegaan. Het risico is aanwezig dat de data openbaar komt met alle gevolgen van dien. 

Dit "lekken" kan komen doordat bijvoorbeeld een zakelijke laptop wordt gestolen, een bedrijfsnetwerk wordt gehackt of een usb-stick met klantdata op straat komt te liggen. Bij een datalek wordt er inbreuk gemaakt op de beveiliging van persoonsgegevens. Persoonsgegevens worden openbaar, zonder dat dit de bedoeling is.

Meldplicht datalekken
De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan. De meldplicht is een middel om te zorgen dat datalekken worden voorkomen. Er moet een melding worden gedaan als het datalek “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Degenen over wie gegevens zijn gelekt, dienen hiervan op de hoogte te worden gebracht als het datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor de persoonlijke levenssfeer van de betrokkenen.

Actie bij een datalek
Bij het geval van een datalek, moet deze binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP). Dit geldt voor interne data van bijvoorbeeld het personeel en externe data als klantgegevens.

Indien het melden van een datalek niet gebeurt, kan de boete oplopen tot €820.000 of 10% van de jaaromzet.

Om een boete en imagoschade is te voorkomen kun je als organisatie een aantal maatregelen nemen:

Stel een privacyreglement op met daarin beschreven welke persoonsgegevens er worden verwerkt, met welk doel en wat de risico’s zijn. Breng in kaart welke software/applicaties er in de organisatie worden gebruikt en waar data wordt opgeslagen.

  • Leg in het reglement vast wat de registratieprocedure is van datalekken. Wie doet de melding bij de Autoriteit Persoonsgegevens? Dit dient te gebeuren binnen 72 uur na constatering van het lek.
  • Bij grotere organisaties met een ondernemingsraad (OR) heeft de OR instemmingsrecht op nieuwe of te wijzigen bedrijfsregels over het verwerken van persoonsgegevens. Betrek dit orgaan bij het opstellen van het beleid rondom datalekken.
  • Zodra het beleid rond is, is het belangrijk dit te delen met de medewerkers. Zo weten zij hoe te handelen bij bijvoorbeeld het verlies van een usb-stick of bij het versturen van een e-mail met privacy-gevoelige gegevens naar de verkeerde persoon.
  • Let op ketenaansprakelijkheid! Bij het gebruik van een marketingbureau dat werkt met jouw data, ben je wettelijk verplicht een schriftelijke bewerkersovereenkomst aan te gaan met dat bureau. In deze overeenkomst tussen de organisatie en de externe partij maak je duidelijke afspraken over de beveiliging en aansprakelijkheid. Mocht er een datalek zijn, moet je dit over en weer aan elkaar melden. 
  • Check de actieve contracten op de aansprakelijkheid bij een incident. Hoe is dat nu geregeld? Herzie waar nodig!
  • Zie voor de volledigheid ook de beleidsregels van de Autoriteit Persoonsgegevens (AP).
  • Het is aan te raden om tijd te investeren in het nemen van maatregelen die komen kijken bij een datalek. 

Door de toenemende cybercrime is de kans op een datalek zeker aanwezig. Zo is elektronicaconcern Philips onlangs getroffen door een datalek. Daarbij zijn de financiële gegevens van 2.000 medewerkers op straat komen te liggen. Indien het melden van een datalek niet gebeurt, kan de boete oplopen tot €820.000 of 10% van de jaaromzet.

 

Indien het melden van een datalek niet gebeurt, kan de boete oplopen tot €820.000 of 10% van de jaaromzet.