Slachtoffer van een datalek, wat nu?

5 jul 2016

SLACHTOFFER VAN EEN DATALEK, WAT NU?

Een digitale werkomgeving valt niet meer weg te denken uit het huidige bedrijfsleven. Essentiële data worden steeds vaker digitaal opgeslagen en offline systemen worden steeds schaarser. De toenemende digitalisering brengt naast de vele voordelen ook kwetsbaarheden met zich mee. Een steeds meer belicht aspect is het risico op een datalek. Hiermee wordt de situatie bedoeld waarin persoonsgegevens die door uw bedrijf zijn verkregen in handen vallen van derden die hiertoe geen toegang zouden mogen hebben. Een dergelijk lek zal veelal het gevolg zijn van een probleem in de beveiliging van uw data. Sinds 1 januari 2016 is de Wet Meldplicht Datalekken in Nederland in werking getreden. Deze wet loopt vooruit op Europese Algemene Verordening Gegevensbescherming, welke in mei 2018 werking zal krijgen. Met de komst van de Wet Meldplicht Datalekken is het mogelijk geworden voor de privacy-toezichthouder Autoriteit Persoonsgegevens (AP) om in geval van een (ernstig) datalek aanzienlijk hogere boetes op te leggen dan voorheen. Deze boetes kunnen zelfs oplopen tot € 820.000,00 of tot 10% van de binnenlandse jaaromzet van uw bedrijf!

In Nederland bestond al een zogenaamde smalle meldplicht voor aanbieders van openbare elektronische communicatiediensten. In de nieuwe wetgeving is daarnaast ook een brede meldplicht opgenomen, welke een algemene meldplicht van datalekken voor bedrijven en de overheid inhoudt. Voldoende ernstige datalekken dienen te worden gemeld bij de Autoriteit Persoonsgegevens. Middels de hoge boetes die hiermee gepaard (kunnen) gaan, hoopt de wetgever bedrijven aan te sporen tot een betere beveiliging van (digitale) persoonsgegevens. De Autoriteit Persoonsgegevens heeft ‘beleidsregels meldplicht datalekken’ opgesteld, welke zijn bedoeld om bedrijven te helpen bij het bepalen of er sprake is van een datalek dat onder de meldplicht valt. Deze beleidsregels kunt u terugvinden op de website van de Autoriteit Persoonsgegevens.

 

De Autoriteit Persoonsgegevens zal boetes betreffende datalekken doorgaans opleggen aan het bedrijf zelf. Hiermee is echter niet uitgesloten dat daarnaast (of in plaats van het bedrijf) ook bestuurders voor het datalek kunnen worden aangesproken. Bestuursaansprakelijkheid kan onder meer volgen bij instructies tot onrechtmatig handelen, het laten voortduren van een onrechtmatig handelen maar ook door het nalaten van het treffen van beveiligingsmaatregelen. Het bijhouden van een behoorlijke administratie is op dit moment al een duidelijke plicht van het bestuur. In dat kader mag vandaag de dag van de bestuurder worden verwacht dat deze administratie ook op passende wijze wordt beveiligd, zowel in het belang van de organisatie (men denke aan de hoge kosten en schade aan de bedrijfsreputatie) als in het belang van derden wier privacygevoelige gegevens op straat kunnen komen te liggen. Het is voor een bestuurder zeker niet altijd meer mogelijk zich te verschuilen achter de complexiteit van een beveiliging voor cyberaanvallen.

 

Een op dit moment veelbesproken vraag is of het mogelijk is voor bedrijven (of voor bestuurders persoonlijk) om zich te verzekeren tegen cybercriminaliteit. Voor de boetes zal dit over het algemeen niet het geval zijn, nu dit vaak expliciet wordt uitgesloten door de verzekeringsmaatschappijen. Wel zou men kunnen denken aan de mogelijkheden om zich te verzekeren voor de interne en externe kosten die gepaard gaan met een datalek.

 

Voorgaande laat zien dat het steeds belangrijker wordt dat bestuurders zich persoonlijk bewust zijn van het belang van een adequate beveiliging voor persoonsgegevens. Hoe men in de praktijk met de nieuwe wetgeving zal omgaan, zal de toekomst moeten uitwijzen.