Het programma Zembla liet onlangs in twee uitzendingen (2 dec., 9 dec.) zien dat de handel in persoonsgegevens buitengewoon lucratief is en dat bedrijven vaak eenvoudig veel van u te weten kunnen komen. Er worden bovendien steeds meer persoonsgegevens verzameld, regelmatig meer dan wenselijk of zelfs toegestaan is. Het risico dat deze gegevens op straat komen te liggen, lijkt ook alsmaar toe te nemen.
Dat dit daadwerkelijk gebeurt, is niet ondenkbaar. En dan gaat het niet alleen om persoonsgegevens die worden buitgemaakt door het verlies van een usb-stick of door doelgerichte aanvallen van al dan niet ‘ethische’ hackers (V-Tech, Ashley Madison).
Zo bleek uit de Zembla-uitzending dat door ‘trackers’ uw surfgedrag op talloze websites, zelfs die van ziekenhuizen en het Nederlands Huisartsen Genootschap, minutieus wordt bijgehouden en wordt doorgegeven aan datahandelaren. Of wat dacht u van het bericht dat Mediamarkt en Phonehouse inloggegevens, die toegang geven tot duizenden klantgegevens, open en bloot laten liggen en zonder encryptie blijken op te slaan? En hoe vaak ontvangt u zelf als particuliere klant een mailing, waarin de e-mailadressen van de geadresseerden per ongeluk in het c.c.-veld zijn geplaatst in plaats van in het b.c.c.-veld?
Veelal wordt een beveiligingslek onbewust veroorzaakt. Voordat u zich dat realiseert worden persoonsgegevens blootgesteld aan het risico op onbevoegde kennisname en andere vormen van onrechtmatige verwerking.
Per 1 januari 2016 wordt de Wet Bescherming Persoonsgegevens (Wbp) uitgebreid met een meldplicht voor datalekken. Het College Bescherming Persoonsgegevens (CBP), dat komend jaar wordt omgedoopt tot Autoriteit Persoonsgegevens, zal bevoegd worden om voor overtredingen boetes op te leggen oplopend tot maar liefst € 820.000,-.
Beveiliging van persoonsgegevens staat ook hoog op de Europese agenda. Op 7 december jl. is het Europees Parlement akkoord gegaan met een richtlijn over netwerk- en Informatiebeveiliging, en op 15 december jl. is een compromis bereikt over de tekst van een Privacyverordening.
Van een datalek is sprake wanneer door een inbreuk op de beveiliging – een ‘beveiligingsincident’ – persoonsgegevens zijn blootgesteld aan verlies of ‘onrechtmatige verwerking’. Dat persoonsgegevens door verlies of diefstal daadwerkelijk in handen zijn gekomen van derden, is dus niet vereist. Bij een datalek gaat het erom dat uw organisatie redelijkerwijs niet kan uitsluiten dat persoonsgegevens door het beveiligingsincident onrechtmatig zijn verwerkt.
Bij een ‘beveiligingsincident’ dat kan leiden tot onrechtmatige verwerking van persoonsgegevens, kunt u denken aan een malware-besmetting, een brand in een datacenter, een webwinkel die het bestelproces – internetverkeer – via een onvoldoende beveiligde (bijv. onversleutelde) verbinding laat lopen, een knullig opgeslagen lijst met gebruikersnamen en wachtwoorden van klanten, etc.
Persoonsgegevens worden ook blootgesteld aan het gevaar van ‘onrechtmatige verwerking’, wanneer uw organisatie zélf persoonsgegevens heeft verwerkt op een wijze die de Wbp juist verbiedt. Van onrechtmatige verwerking is bijvoorbeeld sprake wanneer uw organisatie aan de betrokkene geen ondubbelzinnige toestemming heeft gevraagd voor het verkrijgen en bewaren van de persoonsgegevens, uw organisatie uiteindelijk meer met de persoonsgegevens heeft gedaan dan waarvoor de betrokkene tevoren was ingelicht, de persoonsgegevens per ongeluk zijn verwijderd, bepaalde medewerkers onnodig toegang hebben gekregen tot de gegevens, de gegevens niet worden gecorrigeerd wanneer de betrokkene daarom vraagt etc.
Als de inbreuk leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, dan dient deze inbreuk onverwijld te worden gemeld bij de Autoriteit Persoonsgegevens. De Beleidsregels Meldplicht Datalekken, die het huidige CBP op 9 december jl. publiceerde, geeft voorbeelden van situaties waarbij sprake kan zijn van een aanzienlijke kans op ernstige nadelige gevolgen.
Gedacht kan worden aan informatie over de financiële of economische situatie van betrokkenen (zoals betalingsachterstanden, inkomen, schulden), inloggegevens, gegevens die kunnen worden misbruikt voor (identiteits)fraude, gegevens over prestaties op school of werk, gegevens over godsdienst, medische gegevens, etc.
Zal het datalek bovendien waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene en zijn er geen zwaarwegende redenen om de melding achterwege te laten, dan moet het datalek ook worden gemeld bij de betrokkene zelf. De wet en de beleidsregels bieden wel uitzonderingen op de meldplicht. Uiteindelijk zal per situatie moeten worden beoordeeld of in het specifieke geval melding van het datalek aan de betrokkene noodzakelijk is.
Als er puur sprake is van een zwakke plek in de beveiliging, een ‘beveiligingslek’, dan is dat niet direct een datalek in de zin van de Wbp. Waar het om gaat is dat er dátgene gebeurt met de persoonsgegevens die uw passende technische en organisatorische maatregelen juist hadden moeten voorkomen. Dat betekent dat het voor uw organisatie van belang is om gedegen inzicht te hebben in de wijze waarop en omvang waarin zij met persoonsgegevens te maken heeft, en om daarop concreet beleid af te stemmen.
Meer informatie?
Voor meer informatie over privacyvraagstukken kunt u contact opnemen met Stefan van der Horst.
Er is sneller sprake van een ‘datalek’ dan menigeen zou verwachten. Heeft uw organisatie al in kaart welke persoonsgegevens zij onder zich heeft, welke zij mag verzamelen, hoe zij die gegevens op een correcte wijze moet beheren, hoe lang zij deze mag bewaren, etc.? En is uw organisatie erop voorbereid dat zij snel moet handelen mocht het onverhoopt mis gaan? Overtreding van de meldplicht kan leiden tot een forse boete. En ziet u de negatieve publiciteit al voor zich? Voorkomen is beter dan genezen. Een goede voorbereiding is van groot belang. Bekijk onze tips bij privacy hier.
