Lekken van persoonsgegevens

Nieuwe en bestaande klanten, leveranciers en medewerkers; grote kans dat je van hen persoonsgegevens opslaat. Werken met persoonsgegevens brengt verantwoordelijkheden met zich mee. Je moet ze veilig opslaan, zorgen dat ze niet op straat komen te liggen en ze voor de juiste doeleinden gebruiken. Hoe kun je een datalek voorkomen en wat moet je doen als er persoonsgegevens zijn gelekt.

De meeste voorkomende oorzaken van fouten met datagebruik zijn:

  1. Onvoldoende kennis over wat wel en niet mag met persoonsgegevens.
  2. Samenwerken met partijen die persoonsgegevens ontvangen (bijvoorbeeld een businesspartner, leverancier of ZZP’er) zonder een bewerkersovereenkomst op te stellen.
  3. Nalaten om de ICT-beveiliging actueel te houden waardoor hackers of cybercriminelen makkelijk kunnen toeslaan.
  4. (Onbewust) nalatig zijn waardoor een laptop, USB-stick, wachtwoord of printjes onbedoeld op een verkeerde plek belanden.

Tips om een datalek te voorkomen

Neem passende maatregelen om te voorkomen dat persoonsgegevens in verkeerde handen vallen en voorkom hiermee een datalek en een eventuele boete. Onderstaande tips helpen je daarbij:

  1. Bespreek regelmatig (bijvoorbeeld eens per jaar) met vakgenoten en medewerkers de verwerking van persoonsgegevens in het bedrijf. Verstuur je bijvoorbeeld gegevens op een veilige manier of gewoon per e-mail?
  2. Wees alert op het verstrekken van wachtwoorden, klantgegevens en toegang tot systemen aan derden, bijvoorbeeld zzp'ers die voor je bedrijf werken of leveranciers.
  3. Zorg voor een bewerkersovereenkomst als je de verwerking van persoonsgegevens uitbesteedt aan een andere partij. Ben je zzp'er? Check dan bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. In dat geval moet je een bewerkersovereenkomst afsluiten.
  4. Stel degene van wie je persoonsgegevens verzamelt op de hoogte van wat je doet en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
  5. Investeer in goede ICT-beveiliging van je laptop, computer, telefoon en mobiele apparaten. Laat je bijvoorbeeld eens per jaar bevragen door een cybersecurity-expert.
  6. Werk je veel in de cloud? Versleutel dan de persoonsgegevens die je opslaat en deelt.

Let op! Vanaf 25 mei 2018 is de nieuwe Europese Privacyweg (AVG) van kracht. De regels voor het gebruik van persoonsgegevens zijn strenger geworden. 

Lees meer over de AVG

Zijn er persoonsgegevens gelekt?

Het lekken van persoonsgegevens kan grote gevolgen hebben. Sinds 2016 ben je verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Je kunt zelfs een boete krijgen als blijkt dat je onvoldoende maatregelen hebt genomen. Denk je dat er sprake is van een datalek? Doorloop dan de volgende stappen:

Check of er sprake is van data met persoonsgegevens
Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Het gaat dan om iemands naam, adres en woonplaats. Maar ook telefoonnummers, adressen, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

Is er sprake van een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden. Dat zijn personen en organisaties die geen toegang tot die gegevens mogen hebben. Een datalek kan het gevolg zijn een beveiligingsprobleem of het onzorgvuldig handelen van iemand. In de meeste gevallen gaat het om uitgelekte computerbestanden via een hack of eigen medewerkers. Maar een gestolen laptop of gestolen geprinte klantenlijst kunnen ook een datalek vormen.

Wanneer moet je een datalek melden?
Onderzoek eerst of er inderdaad persoonsgegevens gelekt zijn en of deze persoonsgegevens van gevoelige aard zijn. Pas dan is sprake van een datalek met meldplicht. Zo'n datalek moet je binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Sinds 2016 ben je verplicht datalekken te melden. Je kunt zelfs boetes krijgen als blijkt dat je onvoldoende maatregelen hebt genomen. In de Beleidsregels Datalekken van de Autoriteit Persoonsgegevens vind je meer informatie over het melden van een datalek.

Wie moet je nog meer informeren over het datalek?
Je meldt een datalek ook direct aan betrokkenen wanneer het waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Denk hierbij aan leveranciers, klanten, medewerkers of patiënten.

Wat is een bewerkersovereenkomst?

Laat je als bedrijf de bewerking of het beheer van persoonsgegevens door een andere partij (bijv. een IT-leverancier) doen? Dan ben je verplicht om dit vast te leggen in een bewerkersovereenkomst. Hierin maak je afspraken over de bescherming en beveiliging van persoonsgegevens. Zo kun je bij een datalek vaststellen welke partij verantwoordelijk is.

Meer informatie

Privacy en open data en het Handelsregister

Heeft deze informatie je geholpen?