Wet datalekken: hoe voorkom je als website-eigenaar een boete?
Wet bescherming persoonsgegevens? Meldplicht datalekken? Cookie-wetgeving? Termen die je, als het goed is, regelmatig voorbij hoort komen. Maar wist je dat jij daar als ondernemer en website-eigenaar ook iets mee moet? Samen met May Legal scheppen we in een serie blogartikelen orde in de chaos. We trappen af met de wet Meldplicht Datalekken en de gevolgen daarvan voor jou als ondernemer.
Om te begrijpen wat de wet datalekken (of datalekken wet) inhoudt geven we graag iets meer achtergrond over de wetgeving waar deze meldplicht deel van uitmaakt. We doelen op de Wet bescherming persoonsgegevens, ook wel de privacywet genoemd. Het zal je misschien niet zijn ontgaan dat deze wet dit jaar is aangescherpt. Maar wat staat er precies in?
Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (hierna “Wbp”) bepaalt kort gezegd dat jouw organisatie alleen persoonsgegevens mag verwerken voor een bepaald doel. De gegevens mogen vervolgens niet voor een ander doel worden gebruikt. Bovendien dien je deze gegevens voldoende te beveiligen. Vaak moet je de verwerking ook melden bij de Autoriteit Persoonsgegevens (hierna “AP”), onze privacy-waakhond. Nieuw in de Wbp is dat we sinds 1 januari 2016 een meldplicht voor datalekken hebben. Kortom, als de door jou verzamelde gegevens uitlekken moet hier in bepaalde gevallen melding van worden gemaakt. Ook kan de AP vaker een boete opleggen. Dat lichten we verderop graag toe.
Er is al sprake van het verwerken van persoonsgegevens wanneer je een formulier op je website hebt dat door bezoekers kan worden ingevuld. Dat kan een contactformulier zijn, maar ook al een eenvoudig veldje waarmee men een e-mailadres achter kan laten voor bijvoorbeeld het ontvangen van de nieuwsbrief. Met dat en de aangescherpte wet in gedachten kun je dus niet achterover blijven zitten. Je dient als organisatie goed na te denken over de gegevens die je verwerkt. Maar hoe kun jij aan de wettelijke eisen voldoen?
Terminologie
Maar first things first. Om je te helpen de wetgeving en jouw verplichtingen te begrijpen hebben we hieronder een aantal definities voor je op een rij gezet:
- Persoonsgegevens zijn gegevens waarmee een persoon kan worden geïdentificeerd, zoals een naam, (e-mail)adres of telefoonnummer, maar ook privacygevoelige informatie zoals medische gegevens en gegevens over het ras of de godsdienst van een persoon. Deze laatste worden bijzondere persoonsgegevens genoemd. Voor de verwerking hiervan gelden strengere regels.
- Onder verwerken van deze gegevens valt onder andere het vastleggen, opvragen, bewaren, wijzigen, doorsturen, samenbrengen en het vernietigen hiervan. De partij die bepaalt dat persoonsgegevens worden verwerkt en voor welk doel is de verantwoordelijke voor de gegevensverwerking.
- Onder datalek valt de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Denk hierbij bijvoorbeeld aan het verliezen van een gegevensdrager waarop persoonsgegevens staan, zoals een USB-stick, laptop, tablet, maar ook aan situaties waarin een hacker toegang heeft gekregen tot persoonsgegevens.
Stapsgewijs privacyproof
Nu je wat meer over de achtergrond en terminologie weet is het tijd om na te denken over de praktijk. Om je hiermee op weg te helpen hebben we een stappenplan voor je gemaakt waarmee je jouw organisatie stapsgewijs privacyproof kunt maken. In vogelvlucht:
- Stel vast of je persoonsgegevens verwerkt
- Onderzoek of je je moet aanmelden bij de AP
- Informeer je bezoekers over gegevensverwerking
- Zorg voor voldoende beveiliging van persoonsgegevens
- Sluit een bewerkersovereenkomst
- Bewaar gegevens niet langer dan noodzakelijk
- Stel een intern protocol datalekken op
- Meld ernstige datalekken
- Zorg dat de veiligheid ook geborgd blijft
1. Stel vast of je persoonsgegevens verwerkt.
Onderzoek of je persoonsgegevens verwerkt en ook om wat voor persoonsgegevens dit gaat. Als het gaat om bijzondere persoonsgegevens, zal dit onder andere consequenties hebben voor het aanmelden bij de AP (zie stap 2) en ook voor de beveiliging van deze gegevens (zie stap 4). Let op: zelfs een foto is een bijzonder persoonsgegeven omdat je hieruit een ras of geloofsovertuiging kunt afleiden.
2. Onderzoek of je je moet aanmelden bij de AP.
Iedere organisatie die persoonsgegevens verwerkt moet zich in principe aanmelden bij de AP. Hier zijn enkele uitzonderingen op. Deze staan genoemd in de zogenaamde Handreiking van de AP. Zo zijn bepaalde categorieën (beroepen en soort gegevens) van verwerking uitgesloten van aanmelding. Verwerking van bijzondere persoonsgegevens moet altijd worden gemeld. Als je twijfelt adviseren wij je om je wel aan te melden. Dit staat je namelijk altijd vrij, ook als er geen verplichting bestaat.
Update: sinds 2017 is bovenstaande niet meer nodig
3. Informeer de bezoekers van jouw website over de gegevensverwerking.
Je bent in principe verplicht om te verklaren wat je doet met de gegevens die je verwerkt. Dit kun je vrij eenvoudig afvangen door het plaatsen van een privacyverklaring op jouw website. De inhoud van zo’n privacyverklaring hangt af van je situatie. Ben je er niet zeker van wat erin moet staan? Raadpleeg je webbouwer. Die kan jou helpen en je wellicht een verklaring op maat leveren.
Een extra tip: sluit je een overeenkomst met een klant? Dan is het aan te raden ook in jouw contract en/of jouw algemene voorwaarden een bepaling over de gegevensverwerking op te nemen. Dit geldt te meer indien sprake is van verwerking van bijzondere persoonsgegevens.
4. Zorg voor voldoende beveiliging van de persoonsgegevens.
Je zult zowel technische en organisatorische beveiligingsmaatregelen moeten.Welke maatregelen dat zijn hangt af van de privacygevoeligheid van de gegevens. Wanneer je slechts gebruik maakt van een contactformulier op jouw website gelden er andere beveiligingseisen dan wanneer je als ziekenhuis patiëntinformatie verwerkt.
In ieder geval moeten de gegevens die je verwerkt beveiligd worden met wat men noemt “moderne technieken”. Het is bijvoorbeeld raadzaam om een SSL-certificaat toe te passen voor je website, maar je er ook van te vergewissen dat de techniek die je toepast veilig genoeg is. Dit hangt vaak samen met het systeem waarop je website is gebouwd. Dat kan een vrij beschikbaar systeem zijn zoals WordPress of Drupal. Maar niet zelden heeft een webbouwer een zelfgebouwd systeem ingezet. Weet je het niet? Vraag je webbouwer gerust om hier meer duidelijkheid over te geven.
Bovenstaande vereist tevens dat eventueel ingezette software/systemen up-to-date en voldoende beschermd tegen actuele bedreigingen. Hiervoor kun je met je leverancier of webbouwer onderhoudsafspraken treffen.
Wees je er tot slot bewust van dat niet iedereen binnen jouw organisatie (ook fysieke) toegang hoeft te hebben tot alle persoonsgegevens. Hier kun je intern regels voor opstellen. Vaak is het al voldoende om samen met je webbouwer te kijken naar gebruikersrollen en bijbehorende rechten.
5, Sluit een bewerkersovereenkomst.
Deze eis geldt alleen indien jij als verantwoordelijke de verwerking van persoonsgegevens uitbesteedt aan een andere partij. Denk hierbij bijvoorbeeld aan een salaris-administratiekantoor, de leverancier van je nieuwsbriefsysteem (en dus het opslaan van e-mailadressen) of de leverancier van je CRM. Wees je er bovendien bewust van dat als je je hosting uitbesteedt aan een provider, de door jou verwerkte gegevens dus worden opgeslagen of verstuurd via een omgeving waar de betreffende provider eigenaar van is en dus de nodige toegang heeft.
In een zogenaamde bewerkersovereenkomst staat opgenomen hoe een derde partij met de gegevens dient om te gaan. Maar let op: het doorgeven van persoonsgegevens naar een partij die is gevestigd in een land buiten de EU mag alleen als de wetgeving van dit land voldoende bescherming biedt of wanneer deze partij passende waarborgen biedt. Zoek dit goed uit (of laat dit uitzoeken).
6. Bewaar persoonsgegevens niet langer dan noodzakelijk.
Er is geen concrete bewaartermijn vastgesteld. Wel stelt de Wbp dat je gegevens niet langer mag bewaren dan noodzakelijk. Andere wetgeving kan hier invloed op hebben. Houd er bijvoorbeeld rekening mee dat je in sommige gevallen een bewaarplicht hebt voor de Belastingdienst of dat bij overheidsinstanties de Archiefwet een rol kan spelen!
Als het bewaren van de gegevens niet langer noodzakelijk is dienen de gegevens te worden verwijderd/vernietigd en in sommige gevallen te worden gearchiveerd.
7. Stel een intern protocol datalekken op.
Om goed voorbereid te zijn adviseren we je om een protocol vast te stellen over hoe te handelen wanneer er een datalek wordt geconstateerd. Hierin staat welke stappen in dat geval moeten worden genomen, wie gaat controleren of er daadwerkelijk sprake is van een datalek en wie dit meldt bij de AP. Door dit vooraf vast te leggen voorkom je paniek op het moment dat er een datalek wordt vastgesteld en kun je bovendien snel reageren. Dat laatste is geen overbodige luxe, aangezien je formeel 72 uur de tijd hebt om een lek te melden.
8. Meld ernstige datalekken bij het Meldloket datalekken.
Een datalek dient zonder vertraging, en indien mogelijk uiterlijk binnen 72 nadat dit lek is ontdekt, te worden gemeld. Niet ieder datalek hoeft te worden gemeld: enkel die datalekken die leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de privacy. Het kan zijn dat dit het geval is wanneer er een groot aantal gegevens is gelekt, of wanneer de gelekte gegevens heel privacygevoelig zijn. Indien dit lek nadelige gevolgen kan hebben voor personen van wie de gegevens zijn gelekt, dien je ook deze personen hiervan op de hoogte te stellen. De AP heeft beleidsregels opgesteld voor het melden.
9. Ga regelmatig na of jouw bedrijf nog voldoende privacywaarborgen biedt en houd je aan je eigen afspraken!
De genoemde eisen zijn er niet voor niets. Als je je niet houdt aan de privacywetgeving, dan riskeer je behoorlijke boetes. De boete kan per overtreding oplopen tot EUR 820.000,– (!) of 10 % van de jaaromzet als dit bedrag geen passende bestraffing zou zijn. En in de toekomst zullen de boetebedragen nog oplopen. De moeite waard dus om te voorkomen.
Door bovenstaande stappen met jouw organisatie te volgen ben je zo goed mogelijk voorbereid op de gevolgen die de Meldplicht Datalekken voor jou heeft.
Tot besluit: op 25 mei is de Europese privacy-verordening in werking getreden waarin nieuwe eisen staan opgenomen. Op 25 mei 2018 zal deze in Nederland van toepassing zijn. Dit betekent dat organisaties tot 25 mei 2018 de tijd hebben om aan de eisen uit deze verordening te voldoen. Wil je weten wat deze verordening voor gevolgen heeft? Tijdens de genoemde afternoon session zullen we hier extra aandacht aan besteden.
Alle handige links op een rijtje
Meldloket datalekken: https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
Beleidsregels voor het melden van datalekken: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf