Lekken van persoonsgegevens

Nieuwe en bestaande klanten, leveranciers en medewerkers; grote kans dat u van hen persoonsgegevens opslaat. Werken met persoonsgegevens brengt verantwoordelijkheden met zich mee. U moet ze veilig opslaan, zorgen dat ze niet op straat komen te liggen en ze voor de juiste doeleinden gebruiken. Hoe kunt u een datalek voorkomen en wat moet u doen als er persoonsgegevens zijn gelekt.

De meeste voorkomende oorzaken van fouten met datagebruik zijn:

  1. Onvoldoende kennis over wat wel en niet mag met persoonsgegevens.
  2. Samenwerken met partijen die persoonsgegevens ontvangen (bijvoorbeeld een businesspartner, leverancier of ZZP’er) zonder een bewerkersovereenkomst op te stellen.
  3. Nalaten om de ICT-beveiliging actueel te houden waardoor hackers of cybercriminelen makkelijk kunnen toeslaan.
  4. (Onbewust) nalatig zijn waardoor een laptop, USB-stick, wachtwoord of printjes onbedoeld op een verkeerde plek belanden.

Tips om een datalek te voorkomen

Neem passende maatregelen om te voorkomen dat persoonsgegevens in verkeerde handen vallen en voorkom hiermee een datalek en een eventuele boete. Onderstaande tips helpen u daarbij:

  1. Bespreek regelmatig (bijvoorbeeld eens per jaar) met vakgenoten en medewerkers de verwerking van persoonsgegevens in het bedrijf. Verstuurt u bijvoorbeeld gegevens op een veilige manier of gewoon per e-mail?
  2. Wees alert op het verstrekken van wachtwoorden, klantgegevens en toegang tot systemen aan derden, bijvoorbeeld zzp'ers die voor uw bedrijf werken of leveranciers.
  3. Zorg voor een bewerkersovereenkomst als u de verwerking van persoonsgegevens uitbesteedt aan een andere partij. Bent u zzp'er? Check dan bij elke nieuwe opdracht of u met persoonsgegevens van uw opdrachtgever werkt. In dat geval moet u een bewerkersovereenkomst afsluiten.
  4. Stel degene van wie u persoonsgegevens verzamelt op de hoogte van wat u doet en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
  5. Investeer in goede ICT-beveiliging van uw laptop, computer, telefoon en mobiele apparaten. Laat u bijvoorbeeld eens per jaar bevragen door een cybersecurity-expert.
  6. Werkt u veel in de cloud? Versleutel dan de persoonsgegevens die u opslaat en deelt.

Let op! Vanaf 25 mei 2018 is de nieuwe Europese Privacyweg (AVG) van kracht. De regels voor het gebruik van persoonsgegevens zijn strenger geworden. 

Lees meer over de AVG

Zijn er persoonsgegevens gelekt?

Het lekken van persoonsgegevens kan grote gevolgen hebben. Sinds 2016 bent u verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. U kunt zelfs een boete krijgen als blijkt dat u onvoldoende maatregelen heeft genomen. Denkt u dat er sprake is van een datalek? Doorloop dan de volgende stappen:

Check of er sprake is van data met persoonsgegevens
Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Het gaat dan om iemands naam, adres en woonplaats. Maar ook telefoonnummers, adressen, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

Is er sprake van een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden. Dat zijn personen en organisaties die geen toegang tot die gegevens mogen hebben. Een datalek kan het gevolg zijn een beveiligingsprobleem of het onzorgvuldig handelen van iemand. In de meeste gevallen gaat het om uitgelekte computerbestanden via een hack of eigen medewerkers. Maar een gestolen laptop of gestolen geprinte klantenlijst kunnen ook een datalek vormen.

Wanneer moet u een datalek melden?
Onderzoek eerst of er inderdaad persoonsgegevens gelekt zijn en of deze persoonsgegevens van gevoelige aard zijn. Pas dan is sprake van een datalek met meldplicht. Zo'n datalek moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Sinds 2016 bent u verplicht datalekken te melden. U kunt zelfs boetes krijgen als blijkt dat u onvoldoende maatregelen heeft genomen. In de Beleidsregels Datalekken van de Autoriteit Persoonsgegevens vindt u meer informatie over het melden van een datalek.

Wie moet u nog meer informeren over het datalek?
U meldt een datalek ook direct aan betrokkenen wanneer het waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Denk hierbij aan leveranciers, klanten, medewerkers of patiënten.

Wat is een bewerkersovereenkomst?

Laat u als bedrijf de bewerking of het beheer van persoonsgegevens door een andere partij (bijv. een IT-leverancier) doen? Dan bent u verplicht om dit vast te leggen in een bewerkersovereenkomst. Hierin maakt u afspraken over de bescherming en beveiliging van persoonsgegevens. Zo kunt u bij een datalek vaststellen welke partij verantwoordelijk is.

Meer informatie

Privacy en open data en het Handelsregister