Meldplicht Datalekken zet databeheer op scherp
Is uw webwinkel veilig genoeg voor de Meldplicht Datalekken. De Stichting Webshop Keurmerk waarschuwt haar leden. Vanaf 1 januari 2016 is de Meldplicht Datalekken aangescherpt en moet u bij dataverlies melding doen bij het College Bescherming Persoonsgegevens (CBP). Doet u dat niet terwijl u dat wel had moeten doen en bent u laks geweest, dan krijgt u een boete.
1. Datalek
Bent u het slachtoffer van een hack waarbij persoonsgegevens zijn gestolen, dan kunt u vanaf 1 januari volgend jaar verplicht zijn om dat te melden bij het College Bescherming Persoonsgegevens (CBP). Dat wordt in de toekomst overigens Autoriteit Persoonsgegevens. Ook als uw computer of laptop met klantgegevens wordt gestolen, is er sprake van een lek.
2. Wanneer melden?
Of u het moet melden is echter wel afhankelijk van de ernst van het lek. Het CBP verplicht u melding te doen als er aanzienlijke kans is op ernstige nadelige gevolgen voor betrokkenen of als het lek gevolgen heeft voor de bescherming van persoonsgegevens. In de beschrijving van de Meldplicht Datalekken geeft het CBP uitleg over het moment dat u wel of geen melding moet maken. Daarvoor stelt u uzelf vier vragen:
- Is er inbreuk op uw beveiliging?
- Is er sprake van blootstelling met nadelige gevolgen, bijvoorbeeld het stelen van klantgegevens?
- Is er een aanmerkelijke kans dat de gegevens voor ‘slechte’ doeleinden gebruikt kunnen worden?
- Zijn er aannemelijke nadelige gevolgen in de persoonlijke levenssfeer?
Kunt u alle vragen met ‘ja’ beantwoorden, dan moet u melding doen van het lek. Kunt u ergens ‘nee’ invullen, dan kan het zijn dat u niet verplicht bent om melding te doen. Toch is het aan te raden om het met het CBP te bespreken. Als in een later stadium blijkt dat u nalatig bent geweest, dan kan het CBP boetes opleggen. Momenteel is het maximale boetebedrag € 810.000.
3. Voorbereiden
Het is nu zaak om u voor te bereiden op de nieuwe regelgeving. Want naast de boetes loopt u ook het risico op imagoschade als de klantgegevens van uw webwinkel op straat komen te liggen. Om die twee risico’s zoveel mogelijk in te dammen, moet u zich goed voorbereiden. Neem daarvoor de volgende stappen:
- Een open deur, maar beveilig uw data goed!
- Verdiep u in de details van de Meldplicht. U kunt deze op CPBweb.nl downloaden.
- Wijs een persoon binnen uw organisatie aan die eventuele datalekken beoordeelt en meldt bij het CBP.
- Stel alvast conceptbrieven op om betrokkenen te informeren. Snelheid is op dat moment namelijk gewenst.
4. Melden
Bent u het slachtoffer van een hack die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, dan moet u een melding indienen bij het CBP. In bepaalde situaties moet u ook de betrokkenen informeren. De betrokkenen zijn in dit geval bijvoorbeeld de klanten waarvan de gegevens bij een hack zijn gestolen.
Het melden van een datalek is niet nodig als u passende preventieve maatregelen heeft genomen. Bijvoorbeeld door de klantgegevens onbegrijpelijk te maken door middel van encryptie waar u alleen de sleutel van heeft. Als u dat niet heeft gedaan en de datadief de klantgegevens kan bekijken en misbruiken, moet u de betrokken klanten wel inlichten over het lek.
5. Register
Het CBP verwerkt uw melding van een datalek in een speciaal register. Dit register is helaas niet openbaar. Afhankelijk van de melding neemt het College contact met u op. Aan de hand van een klein onderzoek gaat het CBP na of u het lek ook bij uw klanten moet melden. Als er aanleiding toe is, stelt het CBP een onderzoek in om te bepalen of u nalatig bent geweest wat betreft de naleving van de privacywetgeving.
Ook consumenten kunnen een melding van een lek indienen bij het CBP. Zij kunnen dat doen als zij het vermoeden hebben dat via uw webwinkel hun persoonsgegevens worden gelekt.