Ruim één jaar meldplicht datalekken: De stand van zaken

Inmiddels zijn we ruim een jaar onderweg na de invoering van de meldplicht datalekken. In de periode 1 januari tot en met 15 december 2016 zijn bijna 5500 datalekken gemeld aan de Autoriteit Persoonsgegevens. Dit terwijl de verwachting was dat door de invoering van de meldplicht datalekken de Autoriteit Persoonsgegevens jaarlijks zo’n 66.000 meldingen te verwerken zou krijgen. Maar nu in eind 2016 de balans is opgemaakt, blijkt het daadwerkelijke aantal meldingen dus nog geen 10% van het verwachte aantal. Hoe bekend bent u met datalekken?

Regelmatig voorkomende datalekken
Een datalek kan veel meer zijn dan een gehackte computer of server. Enkele voorbeelden van regelmatig voorkomende datalekken zijn:

• Een klant ziet in een klantportaal de gegevens van iemand anders.
• Iemand raakt een USB-stick of andere gegevensdrager kwijt waarop persoonsgegevens staan. De persoonsgegevens zijn dan vaak niet versleuteld.
• Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen.
• Een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug.
• Een e-mail met persoonsgegevens komt bij de verkeerde ontvanger terecht. 


Hoeveel mensen worden geraakt door een datalek?
Het aantal mensen dat wordt geraakt door een datalek varieert per melding van één tot (in enkele gevallen) honderdduizenden betrokkenen. In 4000 van de 5500 gevallen leidde de melding tot een onderzoek door de Autoriteit Persoonsgegevens. Meer dan honderd organisaties kregen een waarschuwing en enkele tientallen onderzoeken lopen nog.

Meldingen per sector
De meeste meldingen komen uit de zorg (29%), financiële dienstverlening (17%) en openbaar bestuur zoals gemeenten (15%). Omdat het in deze sectoren vaak gaat om gevoelige persoonsgegevens zoals gezondheidsgegevens, financiële gegevens en/of het burgerservicenummer (BSN), dient een melding aan de Autoriteit Persoonsgegevens eigenlijk altijd plaats te vinden.

In Nederland zijn meer dan 130.000 ondernemingen die persoonsgegevens verwerken. Daarnaast verschijnen in de media iedere week wel berichten over nieuwe datalekken. Het kan dan ook bijna niet anders dan dat er meer datalekken zijn dan de gevallen die tot nu toe gemeld zijn. De Autoriteit Persoonsgegevens houdt dan ook de media goed in de gaten om te checken of die datalekken wel worden gemeld. Waar gaat het dan mis?

Waarom wordt er vaak niet gemeld?
Open normen
Niet ieder datalek hoeft te worden gemeld. Of een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens én de betrokkene hangt namelijk af van een dubbele toets. Zo moet de afweging worden gemaakt of er ‘sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens’ en of er ‘waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene’ zijn.
Deze afweging zal voor veel ondernemingen erg lastig zijn. Als men tot de conclusie komt dat een datalek niet hoeft te worden gemeld, dan nog moet een bedrijf achteraf kunnen verantwoorden waarom het datalek niet is gemeld. Zorg er dus altijd voor dat een datalek intern geregistreerd wordt met daarin de afweging van wel of niet melden bij de Autoriteit Persoonsgegevens.

Onduidelijkheid over handhaving
Als een bedrijf een datalek niet meldt, kan daar een hoge boete op staan: maximaal 900.000 euro of tien procent op de jaaromzet.

• Hoe streng past de Autoriteit Persoonsgegevens bovengenoemde open normen toe?
• Geeft de Autoriteit Persoonsgegevens in eerste instantie standaard een waarschuwing om bijvoorbeeld de beveiligingsmaatregelen aan te scherpen?
• Hoe snel gaat de Autoriteit Persoonsgegevens over tot het opleggen van boetes? Pas als een bedrijf echt de beveiliging aan zijn laars heeft gelapt of al als het datalek verwijtbaar niet is gemeld?

We zullen moeten afwachten tot de Autoriteit Persoonsgegevens de eerste boetes uitdeelt of meer informatie openbaar maakt.

Bedrijven zijn niet-compliant
Uit het feit dat er nog zo weinig wordt gemeld kan gemakkelijk worden afgeleid dat bedrijven tot op heden te huiverig zijn om te melden. Bedrijven vrezen te worden onderworpen aan een onderzoek door de Autoriteit Persoonsgegevens. Niet alleen beveiligingsrisico’s kunnen dan worden blootgelegd, maar ook andere problemen kunnen aan het daglicht komen. Denk aan het ontbreken van noodzakelijke bewerkersovereenkomsten en/of procedures en niet of onvoldoende gewaarborgde rechten van betrokkenen.
Nog maar weinig bedrijven zullen compliant zijn met de huidige privacywetgeving.

Angst voor reputatieschade
Het voldoen aan de meldplicht datalekken kan in de ogen van veel bedrijven grote materiële en immateriële schade tot gevolg hebben. Ze vrezen voor enorme reputatieschade. Veel bedrijven beschouwen het daarom lonend om het risico te lopen mogelijk later betrapt te worden en de eventuele boete te betalen. We zien hierdoor regelmatig datalekken die pas veel later met de buitenwereld gedeeld worden.

Neem uw voorzorgsmaatregelen en zorg ervoor dat binnen uw onderneming de meldplicht datalekken goed is geborgd.

• Stel een procedure op voor het melden van eventuele datalekken.
• Zorg voor een adequaat registratieformulier voor eventuele datalekken.
• Stel bewerkersovereenkomsten op met partijen die uw klantgegevens beheren.
• Maak uw medewerkers bewust van het veilig omgaan met klantgegevens.

Heeft u nog vragen of wenst u ondersteuning bij een juiste borging voor meldplicht datalekken? Neem dan voor meer informatie contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.