Nieuwsbrief Privacy/Datalekken januari 2017 - JPJ Consult Bedrijfsjuridische Diensten
Recente regelgeving privacy& datalekken.
In 2016 is de regelgeving rond privacy gewijzigd door invoering van de zogenaamde meldplicht datalekken. Deze meldplicht houdt in dat bedrijven een melding moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben. Bedrijven die een datalek dienen te melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het Meldloket Datalekken (zie website: cbpweb.nl). In bepaalde gevallen dienen ook de Betrokkenen ( = personen, waarvan de gegevens zijn “gelekt”) ook geïnformeerd te worden.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Van een datalek wordt gesproken als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking; dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Aandachtspunten
- De Autoriteit Persoonsgegevens (AP) heeft het document “Beleidsregels Meldplicht Datalekken” opgesteld. Op basis van deze beleidsregels kan je als onderneming bij een calamiteit bepalen of er sprake is van een zodanig ernstig datalek dat dit moet worden gemeld aan de Autoriteit Persoonsgegevens en eventueel aan betrokkenen. Niet alle datalekken behoeven namelijk te worden gemeld.
- Ook kan men in genoemde Beleidsregels van de AP de te volgen procedure nalezen.
- De AP kan bij overtreding van de Meldplicht Datalekken (= onderdeel Wet bescherming persoonsgegevens) een forse boete opleggen (maximaal € 820.000,-).
- De primaire verantwoordelijkheid in het kader van de Wbp en de Meldplicht Datalekken ligt bij de organisatie die de betreffende persoonsgegevens in haar eigen organisatie heeft gegenereerd ten behoeve van haar bedrijfsvoering. (=zogenaamde Verantwoordelijke).
- Bedacht dient te worden dat het regelmatig voorkomt dat een toeleverancier/ onderaannemer/ opdrachtnemer van de Verantwoordelijke de beschikking krijgt over de persoonsgegevens ten behoeve van een bepaalde vorm van verwerking (denk aan administratiekantoren, HRM-professionals dan wel database marketingdienstverleners).
- In alle gevallen waarin opdrachtnemers van de desbetreffende eigenaar van de persoonsgegevens (=de Verantwoordelijke) derden in staat stelt op enigerlei wijze kennis te nemen van c.q. persoonsgegevens van deze partij te verwerken op enigerlei wijze, dient een Bewerkersovereenkomst gesloten te worden.
-
In een Bewerkersovereenkomst wordt deze toeleverancier/opdrachtnemer (=zogenaamde Bewerker) verplicht zich te houden aan adequaat privacy gedrag en worden voorwaarden opgenomen met betrekking tot aard en omvang van beveiliging van persoonsgegevens binnen de organisatie van de Bewerker en omschreven te worden wat de omvang is van wijze waarop bewerker aan de slag kan met de desbetreffende persoonsgegevens.
Conclusies; aanbevelingen
- Het is van belang voor elke opdrachtgever (en Verantwoordelijke voor persoonsgegevens) om bij de uitbesteding van diensten, waarbij de opdrachtnemer de beschikking krijgt over persoonsgegevens dan wel de beschikking daarover kan krijgen, een Bewerkersovereenkomst af te sluiten.
- Tevens kan het zo zijn dat een bedrijf op enigerlei wijze persoonsgegevens verwerkt van zijn klant waarbij volgens de opdrachtnemer op zijn beurt diensten uitbesteedt als gevolg waarvan de onderaannemer de beschikking krijgt over de betreffende persoonsgegevens afkomstig van de klant. In een dergelijk geval dient een zogenaamde sub-bewerkersovereenkomst afgesloten te worden.
- Er dient dan wel met de opdrachtgever afgesproken te zijn dat er een “sub-bewerker’ mag worden ingeschakeld!
- Modellen voor dergelijke overeenkomsten zijn beschikbaar bij JPJ Consult evenals informatie van de AP over beoordeling wel/geen melding datalekken en te volgen procedures.
NB.
- Afgezien van de juridisch-administratieve borging is het primair van belang dat eenorganisatie een degelijk privacy beleid introduceert in de vorm van technische en organisatorische maatregelen ter voorkoming van datalekken.
- JPJ Consult heeft van haar relatie met ExpectiT, ICT-specialist voor het MKB te Baarn, informatie verkregen waarmee een mkb-bedrijf stappen kan nemen ter voorkoming vandatale kken en informatie kan verkrijgen hoe te handelen in geval van een datalek. Deze overzichten zijn beschikbaar via JPJ Consult en op aanvraag verkrijgbaar.
- Tevens kan JPJ Consult u -bij interesse voor de opzet van een verantwoord en professioneel privacy beleid - verwijzen naar ExpectiT, alwaar de kennis beschikbaar is om uw organisatie “privacy en IT-proof” in te gaan richten.