Softwarepakketten.nl

Bijdrage van Bloggers (blogs)

Bescherm je kantoor tegen datalekken

Plaatsingsdatum 12-05-2016
Berichtdatum Mei 2016

Het kan je haast niet ontgaan zijn: op 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) op een aantal onderdelen gewijzigd. Een van die wijzigingen is de invoering van de zogenaamde meldplicht bij datalekken. Het niet naleven hiervan kan grote (financiële) gevolgen hebben. Wat betekent dit voor jouw kantoor? Ik geef je graag een uitleg.

Eerst maar eens een introductie over het begrip 'datalek'. 

Wat is een datalek
Er is sprake van een datalek als zich een inbreuk op de beveiliging van persoonsgegevens heeft voorgedaan. Dit is niet alleen het geval als een hacker toegang tot die gegevens krijgt. Bij een beveiligingsincident kan bijvoorbeeld ook worden gedacht aan het kwijtraken van een USB-stick, een gestolen laptop of zelfs het sturen van een mailing met de e-mailadressen in het CC-veld, in plaats van het BCC-veld.

Maar niet ieder beveiligingsincident is ook daadwerkelijk een datalek. Er is pas sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking van persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Onder onrechtmatige vormen van verwerking vallen onder andere de aantasting of wijziging van de persoonsgegevens, onbevoegde toegang, of afgifte daarvan.

Datalek melden bij toezichthouder
De Autoriteit Persoonsgegevens heeft beleidsregels* opgesteld aan de hand waarvan je kunt beoordelen of je een melding moet maken bij de toezichthouder. Niet iedere datalek hoeft immers te worden gemeld aan de toezichthouder. Pas wanneer een datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet melding worden gemaakt. Bij die beoordeling speelt de aard van de gelekte persoonsgegevens een belangrijke rol. Als persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Hierbij kun je denken aan bijzondere persoonsgegevens, zoals medische gegevens. Maar ook gegevens over de financiële of economische situatie van personen, zoals gegegevens over schulden, salarissen en betalingsgegevens, zijn gegevens van gevoelige aard.

Informeren getroffen personen
Als een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat je dit datalek ook moet melden aan de personen waarvan gegevens zijn gelekt. Hiervoor dient een aparte afweging te worden gemaakt. Je moet een melding doen aan de getroffen personen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Personen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij kun je onder meer denken aan onrechtmatige publicatie, reputatieschade, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er in principe vanuit gaan dat je het datalek niet alleen moet melden aan de Autoriteit, maar ook aan de getroffen personen.

Je moet een melding doen aan de getroffen personen 
als het datalek waarschijnlijk ongunstige gevolgen 
heeft voor diens persoonlijke levenssfeer.

Gevolgen datalek
Bij overtreding van de meldplicht, het niet op orde hebben van adequate beveiliging of het verwerken van persoonsgegevens zonder toestemming, kan de Autoriteit een bestuurlijke boete opleggen. Deze boete bedraagt per 1 januari 2016 maximaal 820.000 euro, of 10 procent van de jaaromzet voor zover 820.000 euro geen passende bestraffing zou zijn. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit eerst een bindende aanwijzing opleggen voorafgaand aan een eventuele boete.  

In de meeste gevallen wordt de boete opgelegd aan het bedrijf zelf. Dit neemt niet weg dat de boete daarnaast of in plaats daarvan aan personen binnen het bedrijf kunnen worden opgelegd. Deze personen dienen dan feitelijk leiding te hebben gegeven respectievelijk opdracht te hebben gegeven tot het verrichten van de verboden gedraging en te hebben nagelaten om maatregelen te treffen ter voorkoming van de overtreding en daarmee bewust de kans wordt aanvaard dat deze gebeurtenis zal plaatsvinden. Deze personen zullen over het algemeen bestuurders zijn, maar het kunnen ook andere personen zijn binnen het bedrijf.

Privacycheck: ben ik goed voorbereid?
De toevlucht van technologische ontwikkelingen en het gemak waarmee (persoons)gegevens gedeeld kunnen worden, maakt dat privacybescherming een steeds grotere plaats inneemt in de maatschappij. Overtreding van de privacyregels kan dan ook leiden tot aanzienlijke (reputatie)schade en/of boeteoplegging. Niet alleen voor het bedrijf, maar ook voor personen werkzaam binnen dit bedrijf. Dit maakt het steeds belangrijker om te beoordelen of je bedrijf (nog) voldoet aan de wet. Nog lang niet alle bedrijven doen dit. Uit het periodieke Privacy Governance onderzoek van PwC** blijkt dat hooguit 16 procent van de 156 organisaties die aan het twee jaar durende onderzoek hebben deelgenomen, aangeeft goed tot zeer goed voorbereid te zijn op de meldplicht datalekken.

Maak duidelijke afspraken
Het is in dat verband belangrijk om na te gaan welke beveiligingsmaatregelen er dienen te worden genomen ter bescherming van persoonsgegevens. Daarnaast dient er een protocol aanwezig te zijn voor het geval er onverhoopt een inbreuk op de beveiligingsmaatregelen plaatsvindt. Weet je wanneer je moet melden? Wie doet de melding? Als u persoonsgegevens laat verwerken door een derde partij, een bewerker, dan moet je toezien op de naleving van de wet. Maak daarom duidelijke afspraken met de medewerkers van je kantoor omtrent (het nakomen van) de meldplicht.

Kortom: wees goed voorbereid, want een goed begin is het halve werk.

door Menno Weij, voor Twinfield
Jurist bij Solv Advocaten. Expert in juridische aspecten van de aanschaf tot en met de outsourcing van software, of het nu gaat om klassieke software, open source of software as a service (internet).


Twinfield whitepaper:

Geef je klant strategisch advies
De tijd dat je klant een map met bonnen en facturen bij je achterliet, is voorbij. Met de komst van online boekhouden verwerken steeds meer ondernemers hun bonnen zelf. Dit betekent dat jij minder tijd kwijt bent aan verwerken en orderen, en meer tijd krijgt om je klant goed te adviseren over zijn bedrijf. Hoe speel je in op deze verandering? Dit whitepaper geeft je handvatten.
Download Twinfield white paper...  

Categorie(n) Branche > Accountantskantoren, Branche > Juridisch, ICT & Recht
Bronvermelding Twinfield blogs
Internet URL http://www.twinfield

Terug

13 december 2017
Seminar: elektronisch factureren in de praktijk
Aan de orde komt: overview elektronisch factureren, Europese standaard EN 16931, SCOBDO.eu: automatische conversie, elektronisch factureren en de originele factuur, elektronisch factureren en de overheid, elektronisch factureren internationaal met o.a. VAT compliance verplichtingen, PEPPOL netwerk, elektronisch factureren in de praktijk, robotic accounting en machine learning en elektronisch factureren en factuurscenario's.
Meer info en aanmelden...


CreAim

Informer software

KING

Timewriter

MUIS Software


Onerzoeksbureau GBNED