De Autoriteit Persoonsgegevens heeft in 2019 bijna 27.000 meldingen van datalekken ontvangen. Dat is een forse stijging ten opzichte van 2018. Aanleiding om nader naar dit onderwerp te kijken deze maand.
Wat betekent dit voor jouw kantoor? Menno Weij, jurist verbonden aan BDO en Richard Ridderhof, compliancy officer bij Twinfield geven je graag een uitleg.
Wat is een datalek
Er is sprake van een datalek als zich een inbreuk op de beveiliging van persoonsgegevens heeft voorgedaan. Dit is niet alleen het geval als een hacker toegang tot die gegevens krijgt. Bij een beveiligingsincident kan bijvoorbeeld ook worden gedacht aan het kwijtraken van een USB-stick, een gestolen laptop of zelfs het sturen van een mailing met de e-mailadressen in het CC-veld, in plaats van het BCC-veld.
Maar niet ieder beveiligingsincident is ook daadwerkelijk een datalek. Er is pas sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking van persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Onder onrechtmatige vormen van verwerking vallen onder andere de aantasting of wijziging van de persoonsgegevens, onbevoegde toegang, of afgifte daarvan.
Datalek melden bij toezichthouder
Menno WeijDe Europese toezichthouders hebben gezamenlijk richtsnoeren opgesteld aan de hand waarvan je kunt beoordelen of je een melding moet maken bij de toezichthouder. Niet ieder datalek hoeft immers te worden gemeld aan de toezichthouder. Pas wanneer een datalek leidt tot een risico voor de rechten en vrijheden van de getroffen personen, moet melding worden gemaakt. Bij die beoordeling speelt de aard van de gelekte persoonsgegevens een belangrijke rol. Als persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Hierbij kun je denken aan bijzondere persoonsgegevens, zoals medische gegevens of informatie over iemands levensovertuiging of seksuele leven. Maar ook gegevens over de financiële of economische situatie van personen, zoals gegevens over schulden, salarissen en betalingsgegevens, zijn gegevens die gevoelig liggen bij een datalek.
Informeren getroffen personen
Als een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat je dit datalek ook moet melden aan de personen waarvan gegevens zijn gelekt. Hiervoor dient een aparte afweging te worden gemaakt. Je moet een melding doen aan de getroffen personen als het datalek een hoog risico inhoudt voor de rechten en vrijheden van de getroffen personen. Personen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij kun je onder meer denken aan onrechtmatige publicatie, reputatieschade, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er in principe vanuit gaan dat je het datalek niet alleen moet melden aan de Autoriteit, maar ook aan de getroffen personen.
Gevolgen datalek
Bij overtreding van de meldplicht kan de Autoriteit een boete opleggen. Deze boete bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. De autoriteit kan een zwaardere boete opleggen indien het vaker voorkomt of als het onderzoek wordt tegengewerkt. Vergaande medewerking, schadeloosstelling van de getroffen personen of snelle beëindiging van de overtreding kunnen boeteverlagend zijn.
Privacycheck: ben ik goed voorbereid?
Richard RidderhofDe toevlucht van technologische ontwikkelingen en het gemak waarmee (persoons)gegevens gedeeld kunnen worden, maakt dat privacybescherming een steeds grotere plaats inneemt in de maatschappij. Overtreding van de privacyregels kan dan ook leiden tot aanzienlijke (reputatie)schade en/of boeteoplegging. Niet alleen voor het bedrijf, maar ook voor personen werkzaam binnen dit bedrijf. Dit maakt het steeds belangrijker om te beoordelen of je bedrijf (nog) voldoet aan de wet.
Maak duidelijke afspraken
Het is in dat verband belangrijk om na te gaan welke beveiligingsmaatregelen er dienen te worden genomen ter bescherming van persoonsgegevens. Daarnaast dient er een protocol aanwezig te zijn voor het geval er onverhoopt een inbreuk op de beveiligingsmaatregelen plaatsvindt. Weet je wanneer je moet melden? Wie doet de melding? Als u persoonsgegevens laat verwerken door een derde partij, een verwerker, dan moet je toezien op de naleving van de wet. Maak daarom duidelijke afspraken met de medewerkers van je kantoor omtrent (het nakomen van) de meldplicht.
Kortom: wees goed voorbereid, want een goed begin is het halve werk.
Dit blog is geschreven door Menno Weij, jurist en verbonden aan BDO en Richard Ridderhof, compliancy officer van Twinfield.
Cybercriminaliteit komt steeds vaker voor. Het hacken van accounts, identiteitsfraude, phishing e-mails, virussen en datalekken, je hebt er vast recent wel eens wat over gelezen. Hoe bescherm je je nu optimaal tegen deze risico’s en vergroot je je online veiligheid? Deze checklist helpt jou en je collega’s veilig om te gaan met (gevoelige) gegevens!
Download de gratis checklist: Veilig omgaan met persoonlijke data
Bron: https://blogs.taxnl.wolterskluwer.com/deonlineaccountant/bescherm-je-kantoor-tegen-datalekken-0
Over Twinfield
Twinfield helpt accountants en boekhoudprofessionals hun dagelijkse werk makkelijker te maken. Twinfield Boekhouden is een online boekhoudprogramma waarmee accountants en ondernemers slim en gemakkelijk kunnen samenwerken. Twinfield is veilig en werkt 100% in de cloud. Daarbij koppelt Twinfield met vele andere pakketten. Twinfield is een onderdeel van Wolters Kluwer Tax & Accounting.
Geef een reactie