Een datalek, wat nu?! De Wet bescherming persoonsgegevens, waaronder de meldplicht datalekken
Even voorstellen… Bedrijfsjurist Gespecialiseerd in privacy, beveiliging en gegevensverstrekking Melden van datalekken
Ik ga u informeren over: De algemene uitgangspunten van de Wet bescherming persoonsgegevens (Wbp) Focus op datalekken Europese Privacyverordening (AVG)
Netjes met gegevens omgaan Verwerkt u persoonsgegevens van anderen? Dan is de Wet bescherming persoons-gegevens op uw bedrijf van toepassing. Op een verantwoorde en een zorgvuldige manier omgaan met de persoonsgegevens van anderen die u in uw systeem heeft Wat zijn persoonsgegevens? Tot een individu herleidbare gegevens
Welke verplichtingen vanuit Wbp? Grondslag om gegevens te mogen verwerken; bijvoorbeeld met toestemming van de betrokkene zelf Voor welke doel wilt u de persoonsgegevens gebruiken; vooraf formuleren Niet meer gegevens gebruiken dan strikt noodzakelijk (proportionaliteit) De persoonsgegevens moeten goed beveiligd zijn
Niet goed beveiligd? Datalek! Sinds 1 jan 2016 verplichting om datalekken te melden bij de AP Hoge boetes bij niet nakoming van deze plicht: € 820.000 of 10% van de jaaromzet Dus: wees bewust van de verplichting om een datalek te melden en het risico als u niet meldt
Wat is een datalek? Er vindt een beveiligingsincident plaats, dwz een inbreuk op de beveiliging… …dat tot gevolg heeft dat persoons-gegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben…. …. en dat leidt of kan leiden tot ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens
Wanneer inbreuk op beveiliging? Tekortgeschoten beveiliging; gegevens via een onbeveiligde verbinding versturen Beveiliging is van voldoende niveau, maar is omzeild
Voorbeelden beveiligingsincidenten Uw systeem wordt gehackt en gegevens kunnen worden ingezien door de hacker Uw medewerker verliest zijn (zakelijke) telefoon Uw laptop wordt gestolen U stuurt klantgegevens naar een adres van een andere klant van u De USB-stick van uw medewerker is in de trein blijven liggen
Dus niet dit…
Maar wel dit... Uw personeelssysteem met persoons-gegevens van uw medewerkers wordt gehackt. Alle BSN’s met naam, bank-rekeningnummer en geboortedatum zijn ingezien Een maandelijkse rapportage van een klant wordt door uw medewerker per ongeluk naar alle klanten tegelijk verstuurd via email
Hoe om te gaan met betrokkene? Soms moet u ook aan de betrokkene zelf vertellen dat diens gegevens gelekt zijn: Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van degene wiens persoonsgegevens gelekt zijn Denk aan identiteitsfraude
Wie moet melden? De verantwoordelijke van de persoonsgegevens Als er een bewerker is: afspraken maken in een bewerkersovereenkomst! Heeft u persoonsgegevens in de cloud (dus bij de bewerker)? -> u bent de verantwoordelijke
Hoe moet u melden? Op een rijtje hebben wat er exact gebeurd is Binnen 72 uur na ontdekking Via de website van de Autoriteit Persoonsgegevens Relevante gegevens bij de hand hebben Soms aan betrokkene zelf melden, bijvoorbeeld per brief.
Bereid u voor… Zorg voor een draaiboek/instructie voor uw medewerkers zodat ze weten wat ze moeten doen Maak afspraken met bewerkers die in uw opdracht toegang hebben tot de persoonsgegevens …en voorkom boetes van de AP en claims van betrokkenen.
2018 Europese Privacyverordening De Europese Privacyverordening gaat de Wet bescherming persoonsgegevens vervangen Ook in de Europese Privacyverordening geldt een meldplicht datalekken
Bedankt voor uw aandacht Vragen?