Wet meldplicht datalekken Wat betekent het voor u? Verwerkt uw organisatie persoonsgegevens? Dan krijgt u te maken met de nieuwe Wet meldplicht datalekken. Deze aanvulling op de Wet bescherming persoonsgegevens (Wbp) gaat in vanaf 1 januari 2016. Wat betekent dit voor u als ondernemer? Hoe beschermt u de privacy van uw klanten en werknemers? De Wet meldplicht datalekken verandert de Wbp op twee
Risico’s voor vele organisatie
punten:
Vrijwel elke organisatie, groot of klein, heeft een website en/of
1. Datalek melden Een datalek meldt u in bepaalde situaties
webshop. Recent onderzoek van de Consumentenbond toonde
bij het CBP* / de betrokkenen. 2. Forse sancties Als u de Wbp onvoldoende naleeft, kan het CBP forse sancties opleggen.
bij 38 procent van de top 100 webwinkels een ernstig datalek aan op basis van een bekende fout in software. Alle reden om aan te nemen dat diezelfde fout ook veel voorkomt bij kleinere webwinkels.
Het uitgangspunt van de nieuwe meldplicht is: een veilige en
Ook een onvoldoende beveiligde website is riskant. Zo krijgen
transparante verwerking van persoonsgegevens. Gaat uw bedrijf
hackers eenvoudiger toegang tot uw systemen en tot gegevens
hier niet in mee? Dan overtreedt u de wet al snel op meerdere
van uw klanten en medewerkers.
punten. Elke overtreding afzonderlijk kan worden beboet tot 820.000 euro of 10 procent van uw jaaromzet.
Jaarlijks 60.000 datalekken Waarom deze wet?
Volgens het CBP zijn er in Nederland 60.000 datalekken
Hoe goed uw technische en organisatorische beveiliging ook
per jaar waarbij persoonsgegevens worden buitgemaakt.
is: een datalek kan altijd voorkomen. Medewerkers kunnen zich
Dat betekent dat onbevoegde personen informatie
vergissen. Hackers verzinnen steeds weer iets nieuws. Als u na
bezitten, waarmee ze bijvoorbeeld identiteitsfraude kun-
een datalek kunt aantonen dat uw bedrijf voldoende voorzorgs-
nen plegen of een bedrijf kunnen chanteren.
maatregelen heeft genomen, krijgt u waarschijnlijk geen boete. De verplichte melding is nodig om te waarborgen dat organisaties actief datalekken opsporen en snel actie ondernemen om risico en schade te beperken. Indien nodig met ondersteuning
Wat is een datalek?
van het CBP.
Een datalek is meer dan een hack alleen. Enkele voorbeelden van datalekken:
Bijkomende schade
USB-stick raakt zoek
Een datalek veroorzaakt bedrijfsschade. Om het lek te dichten
laptop wordt gestolen
en bestanden te herstellen moeten belangrijke computersyste-
dossier belandt in het oud papier
men worden stilgelegd. Ook is vaak hulp nodig van specialisten.
verkeerd adres op een brief
Er kan sprake zijn van civiele boetes en schadevergoeding aan
onveilig e-mailwachtwoord
betrokkenen plus bijkomende juridische kosten. Onderzoek in de VS laat zien dat de kosten van een datalek vaak in de miljoenen lopen.
*Het CBP heet vanaf januari 2016 Autoriteit Persoonsgegevens (AP)
Top-5 aandachtspunten Leidt een datalek tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Dan moet u dit als verantwoordelijke ‘onverwijld’ melden bij het CBP. U heeft daarvoor 72 uur, inclusief het weekend en feestdagen. Een datalek is complex en u moet veel informatie aanleveren.
Er technische en organisatorische maatregelen zijn genomen, bijvoorbeeld encryptie van gegevens. Persoonsgegevens niet voor een ander doel worden verwerkt. U rechten van betrokkenen binnen vier weken kunt nakomen.
Het vergt voorbereiding om dit tijdig en correct te doen. Hieronder de belangrijkste aandachtspunten:
Ons advies aan u als ondernemer Start met inventariseren van de verwerkingen. Organiseer
1. Ken uw verantwoordelijkheden
alle eisen binnen de werkprocessen van uw bedrijf.
U bent verantwoordelijk voor persoonsgegevens die rechtstreeks beschikbaar zijn voor uw bedrijf. Dat zijn meestal de
Rechten van betrokkenen
gegevens van uw medewerkers, leveranciers en klanten; zij
Als verantwoordelijke moet u binnen vier weken voldoen
worden betrokkenen genoemd. Voor kleine ondernemers is dit
aan:
vaak wel overzichtelijk. Voor grotere organisaties en samen-
Verzoeken van betrokkenen om informatie over
werkingen is het complexer. Zoals binnen een samenwerkings-
welke gegevens van hen verwerkt worden, met welk
verband dat persoonsgegevens gebruikt, afkomstig van
doel, de herkomst en ontvangers van de gegevens.
verschillende verantwoordelijken.
Verzoeken tot verbeteren, aanvullen of (indien wettelijk toegestaan) verwijderen of afschermen van
Ons advies aan u als ondernemer
de gegevens.
Breng in kaart waarvoor u verantwoordelijk en aansprakelijk bent.
Dit geldt óók voor gegevens die zijn doorgegeven aan
Borg uw zeggenschap zodat u zelf uw risico’s kunt beheersen.
derden of bewerkers.
2. Implementeer de Wbp Inventariseer alle verwerkingen van persoonsgegevens waar-
3. Realiseer bewerkersovereenkomsten
voor u verantwoordelijk en aansprakelijk bent. Breng voor elke
Leveren derden u de ICT-infrastructuur en/of software voor uw
verwerking in kaart:
systemen? Maakt u gebruik van een bezorgdienst of accoun-
Welke persoonsgegevens worden verwerkt en met welk doel.
tant? Deze partijen hebben vaak toegang tot persoonsgegevens.
De grondslag (wettelijke basis) voor de verwerking. Hier-
U bent ervoor verantwoordelijk dat zij u maximaal faciliteren
van is toestemming op basis van heldere informatie de
om uw plichten als verantwoordelijke na te komen.
belangrijkste.
In een bewerkersovereenkomst spreekt u af dat zij de Wbp
Wie toegang heeft tot de gegevens.
implementeren in hun werkprocessen en dat u dit kunt (laten) controleren. Daarnaast legt u vast wie aansprakelijk is voor
Zorg er daarnaast voor dat:
het niet (kunnen) nakomen van verplichtingen en in geval van
U niet meer persoonsgegevens verwerkt dan strikt
schade, zoals bij een datalek.
noodzakelijk is. Persoonsgegevens juist en nauwkeurig zijn.
Ons advies aan u als ondernemer
U persoonsgegevens niet langer bewaart dan strikt
Sluit een bewerkersovereenkomst met elke derde die toegang
noodzakelijk is.
heeft tot de gegevens waarvoor u verantwoordelijk bent.
Misschien hebt u externe specialisten nodig, zoals technici die
Wet bescherming persoonsgegevens
het lek dichten en advocaten die de aansprakelijkheid bepalen.
De Wbp heeft betrekking op de verwerking van per-
Als bewerker hebt u hierbij de taak de nodige informatie aan te
soonsgegevens. Dit zijn alle gegevens over een identifi-
leveren aan de verantwoordelijke. U geeft toegang tot de betrok-
ceerbare persoon - of gegevens waarmee een persoon
ken systemen voor nader onderzoek.
geïdentificeerd kan worden. Verwerking van persoonsgegevens is elke handeling met
Ons advies aan u als ondernemer
deze gegevens. Zoals verzamelen, ordenen, bewaren,
Maak een goed draaiboek en regel vooraf een crisisteam dat dit
bijwerken en opvragen.
draaiboek kent en klaarstaat als het nodig is.
Algemeen: uitgangspunten Wbp 4. Organiseer de PSA
Elk bedrijf heeft te maken met persoonsgegevens. Bijvoorbeeld
Vanuit de Wbp bent u verplicht om een register van verwerkin-
om goederen aan uw klant te leveren. Veel bedrijven registreren
gen bij te houden. U brengt alle verwerkingen juist in kaart (zie
meer gegevens, bijvoorbeeld voor marketingdoeleinden.
punt 2). Ook houdt u een overzicht bij van alle inbreuken. Voor
Ook de personeels- en salarisadministratie bevatten gevoelige
het melden van datalekken en met het oog op rechten van
persoonsgegevens, zoals burgerservicenummers (BSN), kopie
betrokkenen houdt u bij voorkeur ook bij:
paspoort en ziekmeldingen. Hoe blijft u binnen de kaders van
Een overzicht van alle bewerkersovereenkomsten.
de Wet bescherming persoonsgegevens (Wbp)?
Register van alle informatie aan en informatieverzoeken van betrokkenen. Register van alle databestanden ontvangen en verstrekt aan derden. Een overzicht van alle IT-systemen en software die u ge-
Verwerking: vier uitgangspunten Persoonsgegevens moeten zorgvuldig worden verwerkt. De wet
bruikt, inclusief onderliggende databestanden en beveili-
is duidelijk over wat wel en niet mag. Hieronder de belangrijkste
gings- en beheersinformatie.
uitgangspunten:
Logfiles van wie wanneer toegang had tot welke persoonsgegevens.
1. Doel van de verwerking U moet als verantwoordelijke precies beschrijven welke
Ons advies aan u als ondernemer
persoonsgegevens u gebruikt en voor welk doel. In principe
Start zo snel mogelijk met het opzetten en bijhouden van de
mag u enkel gegevens opvragen die nodig zijn voor dit doel. U
nodige registraties.
informeert de betrokkene, zoals uw klant of medewerker.
5. Regel de meldplicht datalekken in
Voor het leveren van een bestelling heeft u bijvoorbeeld naam,
Een datalek is een crisissituatie. Een draaiboek geeft houvast.
(e-mail)adres en betaalinformatie nodig. Meer opvragen - zoals
Daarin staat welke stappen u in welke volgorde doorloopt,
een geboortedatum - mag alléén als u helder aangeeft waar-
wie daarbij betrokken zijn plus hun taken, bevoegdheden en
voor u dit wilt gebruiken. U mag de klant niet verplichten om
verantwoordelijkheden. Zorg dat uw medewerkers weten hoe te
deze gegevens af te staan.
handelen.
2. Toestemming van betrokkene
Leg in een bewerkersovereenkomst vast dat zij de privacywetge-
Verzamelde persoonsgegevens mogen niet voor andere doelen
ving zorgvuldig naleven en dat u hen aansprakelijk stelt als dit
worden gebruikt. Wilt u dat toch? Dan vraagt u eerst toestem-
niet gebeurt.
ming aan de betrokkene.
Juist en nauwkeurig Het is een uitdaging om gegevens langdurig juist en nauwkeurig
Wilt u een klant een nieuwsbrief of aanbiedingen toezenden?
te houden. U kunt ze beter verwijderen als u ze niet meer nodig
Meestal mag dit, maar het is beter om expliciet toestemming te
heeft. Sommige gegevens moeten wettelijk na een bepaalde
regelen. Dat kan door een vrijwillige aanmelding (opt-in), waarbij
termijn verwijderd worden.
de klant ook weer kan opzeggen (opt-out). Uiteraard mag u de
Het is handig om periodiek, bijvoorbeeld jaarlijks, aan betrok-
gegevens nooit zonder toestemming delen met anderen.
kenen te vragen of hun gegevens nog correct zijn. Persoonsgegevens in de in- en verkoopadministratie (facturen) behoren tot de financiële administratie. Deze moeten wettelijk zeven jaar
Respect voor privéleven
bewaard worden en u mag er achteraf niets meer in veranderen.
Juridisch gezien zijn persoonsgegevens eigendom van de persoon op wie ze betrekking hebben. Dat is ‘de
Rechten van betrokkenen
betrokkene’. Ieder ander die ze verwerkt, moet er zorg-
Betrokkenen hebben het recht om te weten over welke per-
vuldig mee omgaan. Wetgeving over persoonsgegevens
soonsgegevens u beschikt en wat ermee gebeurt. Als zij daarom
heeft een lange geschiedenis en is gebaseerd op het
vragen moet u binnen vier weken schriftelijk antwoorden.
recht op respect voor ons privéleven, onderdeel van de
De betrokkene kan u verzoeken om gegevens aan te vullen, te
Universele Verklaring van de Rechten van de Mens.
corrigeren of te verwijderen. Als er geen wettelijke belemmering is, moet u dit binnen vier weken doen. Als verwijderen technisch niet haalbaar is, moet u zorgen dat de gegevens niet verder
3. Zorgvuldig handelen
verwerkt (kunnen) worden.
Persoonsgegevens behandelt u zorgvuldig. Geheimhouding staat voorop en de gegevens moeten juist en nauwkeurig zijn:
4. Beveiliging Als verantwoordelijke neemt u technische en organisatorische
Geheimhouding
maatregelen om de persoonsgegevens te beveiligen tegen
Geheimhouding betekent: iemand mag enkel de gegevens
verlies of onrechtmatige verwerking. De Wet meldplicht datalek-
gebruiken als dit strikt noodzakelijk is voor het doel waarvoor ze
ken spreekt van ‘een passend beveiligingsniveau’ voor het soort
zijn verkregen. Bijvoorbeeld voor het uitvoeren van een overeen-
gegevens dat u verwerkt. Denk aan technische beveiliging van
komst. Dit geldt voor u, uw medewerkers en voor ‘bewerkers’.
uw computersysteem tegen hacken of organisatorische maat-
Dat zijn bedrijven of mensen die niet onder uw gezag staan en
regelen.
die vanuit hun taak met de gegevens te maken hebben, zoals een:
Zorg voor tijdige software-updates, bescherm met sterke wacht-
inpak- en verzendbedrijf
woorden en versleutel zo mogelijk de gegevens. De beveiliging
bouwer of leverancier van software
wordt een stuk lastiger als u de persoonsgegevens ook verwerkt
accountant of boekhouder
via een tablet, smartphone of USB-stick. Probeer dit te voorkomen. Hoe minder gegevens u verwerkt en hoe korter u ze bewaart, hoe veiliger het is.
Vermijd vooral het verwerken van bijzondere persoonsgegevens
Meer informatie
zoals godsdienst, ras, gezondheid en seksuele leven. Dit is bijna
Wilt u meer informatie over dit onderwerp? Neem contact op
altijd verboden en het brengt extra risico’s met zich mee. Het
met uw adviseur, of met Flynth via e-mail
[email protected] of
burgerservicenummer (BSN) mag enkel verwerkt worden als dit
telefoonnummer 026 – 354 26 00.
wettelijk verplicht is, zoals voor de salarisadministratie. Weet waar u persoonsgegevens opslaat. Vooral als u gebruikmaakt van de cloud. Opslag van persoonsgegevens buiten de EU is verboden, tenzij u aan strenge voorwaarden voldoet.
Meander 261
Postbus 9221
6825 MC Arnhem
6800 KB Arnhem
Flynth is een landelijk opererende advies- en accountantsorganisatie. Hoewel Flynth
T (026) 354 26 00
E
[email protected]
de uiterste zorg heeft besteed aan de inhoud van dit leaflet, aanvaardt zij geen enkele aansprakelijkheid voor onvolledigheid of onjuistheid noch voor de gevolgen
www.flynth.nl
daarvan.