Lekken van persoonsgegevens

Nieuwe en bestaande klanten, leveranciers en medewerkers; grote kans dat u van hen persoonsgegevens opslaat. Werken met persoonsgegevens brengt verantwoordelijkheden met zich mee. U moet ze veilig opslaan, zorgen dat ze niet op straat komen te liggen en ze voor de juiste doeleinden gebruiken. Hoe kunt u een datalek voorkomen en wat moet u doen als er persoonsgegevens zijn gelekt.

De meeste voorkomende oorzaken van fouten met datagebruik zijn:

  1. Onvoldoende kennis over wat wel en niet mag met persoonsgegevens.
  2. Samenwerken met partijen die persoonsgegevens ontvangen (bijvoorbeeld een businesspartner, leverancier of ZZP’er) zonder een  bewerkersovereenkomst op te stellen.
  3. Nalaten om de ICT-beveiliging actueel te houden waardoor hackers of cybercriminelen makkelijk kunnen toeslaan.
  4. (Onbewust) nalatig zijn en een laptop, USB-stick, wachtwoord of printjes belanden onbedoeld op een verkeerde plek.

Tips om een datalek te voorkomen

Neem passende maatregelen om te voorkomen dat persoonsgegevens in verkeerde handen vallen en voorkom hiermee een datalek en een eventuele boete. Onderstaande tips helpen u daarbij:

  1. Bespreek met regelmaat (bijvoorbeeld eens per jaar) met vakgenoten en medewerkers de verwerking van persoonsgegevens in het bedrijf. Verstuurt u bijvoorbeeld gegevens op een veilige manier of gewoon per email?
  2. Wees alert op het verstrekken van wachtwoorden, klantgegevens en toegang tot systemen aan derden, bijvoorbeeld aan ZZP’ ers die voor uw bedrijf werken of leveranciers.
  3. Zorg voor een bewerkersovereenkomst indien u de verwerking van persoonsgegevens uitbesteedt aan een andere partij. Bent u ZZP’er? Check dan bij elke nieuwe opdracht of u met persoonsgegevens van uw opdrachtgever werkt. In dat geval moet u een bewerkersovereenkomst afsluiten.
  4. Stel degene wiens persoonsgegevens u verzamelt op de hoogte van wat u doet en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
  5. Investeer in goede ICT beveiliging, van uw laptop, computer, telefoon en mobiele apparaten. Laat u bijvoorbeeld eens per jaar bevragen door een cyber security expert.
  6. Werkt u veel in de cloud? Versleutel dan de persoonsgegevens die u opslaat en deelt.

Zijn er persoonsgegevens gelekt?

Het lekken van persoonsgegevens kan grote gevolgen hebben. Sinds 2016 bent u verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. U kunt zelfs een boete krijgen als blijkt dat u onvoldoende maatregelen heeft genomen. Doorloop de volgende stappen als u vermoedt dat er er sprake is van een datalek:

Check of er sprake is van data met persoonsgegevens
Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Het gaat dan om iemands naam, adres en woonplaats. Maar ook telefoonnummers, adressen, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

Is er sprake van een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden. Dat zijn personen en organisaties die geen toegang tot die gegevens mogen hebben. Een datalek kan het gevolg zijn een beveiligingsprobleem of het onzorgvuldig handelen van iemand. In de meeste gevallen gaat het om uitgelekte computerbestanden via een hack of eigen medewerkers. Maar een gestolen laptop of gestolen geprinte klantenlijst kunnen ook een datalek vormen.

Wanneer moet u een datalek melden?
Onderzoek eerst of of er inderdaad persoonsgegevens gelekt zijn en of deze persoonsgegevens van gevoelige aard zijn. Pas dan is sprake van een datalek met meldplicht. Een dergelijk datalek moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens. Sinds 2016 bent u verplicht datalekken te melden. U kunt zelfs boetes krijgen als blijkt dat u onvoldoende maatregelen heeft genomen. In de Beleidsregels Datalekken van de Autoriteit Persoonsgegevens vindt u meer informatie over het melden van een datalek.

Wie moet ik nog meer informeren over het datalek?
U meldt een  datalek ook direct aan betrokkenen wanneer het waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Denk hierbij aan leveranciers, klanten, medewerkers of patiënten.

Wat is een bewerkersovereenkomst?

Zodra u als bedrijf de bewerking of het beheer van persoonsgegevens door een andere partij (bijv. een IT leverancier) laat doen, bent u verplicht om dit vast te leggen in een bewerkersovereenkomst. Hierin maakt u afspraken over de bescherming en beveiliging van persoonsgegevens. Zo kunt u bij een datalek vast te stellen welke partij verantwoordelijk is.