Datalek en aansprakelijkheid
Na deel 1 (wat is een datalek) en deel 2 (een datalek melden), vertellen we in dit deel hoe je een datalek voorkomt. Maar eerst de aansprakelijkheid & mogelijke boete bij een datalek.
Als de persoonsgegevens van iemand gelekt zijn en deze persoon (de betrokkene) lijdt daardoor schade, kan hij de verwerkingsverantwoordelijke aansprakelijk stellen.
Is het datalek ontstaan bij de verwerker? Dan kan de betrokkene zowel de verwerkingsverantwoordelijke als de verwerker aansprakelijk stellen. Het is dus belangrijk dat deze partijen in hun overeenkomst afspraken maken over aansprakelijkheid en bijbehorende schade.
De rechter beoordeelt vervolgens die aansprakelijkheid: heb je gedaan wat je moest doen of had je het beter moeten doen als professional? Op dit moment zijn er niet veel uitspraken op dit gebied, maar dit zal in de toekomst waarschijnlijk veranderen; er zijn al massaclaims tegen grote (tech)bedrijven gestart, ook in Nederland.
Schade bij een datalek
De betrokkene moet zijn materiele en/of immateriële schade (zoals reputatieschade) bewijzen. De toegekende schadevergoedingen zijn in Nederland weliswaar relatief laag per persoon; maar bij een groot klantenbestand telt dat uiteindelijk wel op.
Voor een organisatie is reputatieschade meestal het grootste risico. Voeg daaraan toe de hoeveelheid werk, tijd en energie die een datalek kost (onderzoeken en oplossen, de toezichthouder informeren, het melden aan betrokkenen) en het voorkomen van een datalek is méér dan de moeite waard.
Verzekeren tegen een datalek
De gevolgen van een datalek zijn soms te verzekeren met een cyberverzekering. De precieze dekking hangt af van de polisvoorwaarden. Vaak valt een datalek als gevolg van ransomware onder de dekking; een datalek als gevolg van menselijk handelen wordt niet altijd vergoed.
Het is verstandig om als verwerker en verwerkingsverantwoordelijke samen afspraken te maken over deze verzekering.
Wanneer krijg je een boete bij een datalek?
Een organisatie kan ook een boete krijgen van de Autoriteit Persoonsgegevens (AP). Dit gebeurt vooral bij een datalek met impact. Zoals een datalek met een hoog risico of een groot aantal betrokkenen dat geraakt wordt. Maar ook wanneer er regelmatig klachten zijn over een organisatie of als er niet adequaat gehandeld is. Denk bijvoorbeeld aan het lekken van kopieën van paspoorten die qua bewaartermijn niet eens meer in het bezit mochten zijn.
De boete hangt af van wat er precies is gebeurd, en is maximaal € 20 miljoen of 4 % van de wereldwijze omzet (afhankelijk van wat het hoogste is).
Het is goed om te realiseren dat een datalek elke organisatie kan overkomen: het gaat er echt om hoe je er vervolgens mee omgaat. Meld je een datalek en doe je dit op tijd, doe je adequaat onderzoek en neem je mitigerende maatregelen? Dat speelt bij de beoordeling door de AP allemaal een rol.
Sluipt er misschien heel even door je hoofd om een datalek niet te melden, ook al ben je daartoe verplicht? Omdat de AP dan immers niet op de hoogte is? Weet dat de toezichthouder ook niet-gemelde datalekken onderzoekt.
Hoe voorkom je een datalek?
Voorkomen is beter dan genezen. Daarom 9 praktische tips om een datalek te voorkomen:
1. Bewaar niet meer persoonsgegevens dan je nodig hebt. En: bewaar niet meer persoonsgegevens dan je überhaupt mag bewaren. Zorg voor een goed bewaarbeleid zodat je weet wanneer je gegevens moet wissen.
2. Zorg voor continue privacy awareness binnen de organisatie. Een menselijke fout is namelijk nog altijd de meest voorkomende oorzaak van een datalek. Lees hier hoe je medewerkers privacybewust maakt.
3. Creëer een veilige omgeving waar medewerkers een mogelijk datalek intern durven melden, zonder dat ze het gevoel krijgen dat ze hiervoor ‘gestraft’ kunnen worden.
Wij weten uit ervaring dat het melden van een datalek bij de leidinggevende voor veel medewerkers écht een stap te ver is. Maak het laagdrempeliger. Bijvoorbeeld de mogelijkheid om het te melden met een simpele druk op een knop op intranet.
Zorg dat medewerkers die knop weten te vinden én dat ze weten dat ze een (mogelijk) datalek direct moeten melden.
4. Leg een protocol klaar (en houd het onder de aandacht) zodat degene die de melding van een mogelijk datalek krijgt, precies weet wat hij of zij moet doen.
5. Denk regelmatig na over de technische en organisatorische beveiligingsmaatregelen. Doe dit jaarlijks, en daarnaast elke keer als er processen veranderen. Breng in kaart wat de risico’s zijn en wat je kunt doen om deze te verkleinen.
Bij Privacycoaches kunnen we je daarbij helpen. Bijvoorbeeld met een security-assessment en risico-assessment.
6. Werk met toegangsrechten: wie heeft toegang tot welke gegevens? Geef medewerkers geen ruimere toegang dan noodzakelijk is. Zo beperk je het risico van een menselijke fout. Leg vast wie bij welke gegevens is geweest (logging). Niet om te straffen, maar om de oorzaak van een datalek te kunnen achterhalen.
7. Denk goed na waar je gegevens opslaat en bewaar gevoelige gegevens zoveel mogelijk op één plek (maar bij voorkeur wel op basis van data segregatie). Soms willen meerdere afdelingen gegevens bewaren, maar dan raak je de controle kwijt.
8. Zorg voor een goed wachtwoordbeleid om hacks te voorkomen.
9. Neem technische maatregelen zoals versleuteling van data (encryptie). Mochten hackers toch toegang weten te krijgen tot de gegevens, dan kunnen ze er niets mee.
Hulp nodig bij het voorkomen van een datalek?
Weten jouw medewerkers niet hoe ze een datalek kunnen voorkomen? Of denk je dat het beter kan? Neem dan contact met ons op. Wij helpen je met bijvoorbeeld privacy awareness binnen de organisatie, het opstellen van een datalekprotocol en -proces, en een risico- en security-assessment.
Is er een datalek? Dan geven wij je juridisch én strategisch advies, en zorgen we ervoor dat je precies weet wat je moet doen.