Wanneer gegevens van personen ongewild vrijkomen, noemen we dat een datalek. Dat kan op verschillende manieren gebeuren. Zo kennen we interne en externe datalekken en kwaadwillende en goedwillende datalekken.
Een datalek kan plaatsvinden binnen de eigen organisatie. Een medewerker van een bedrijf is bijvoorbeeld een USB-stick met klantgegevens verloren. Dat is een voorbeeld van een intern datalek. De medewerker behoort namelijk tot jouw organisatie.
Een ander voorbeeld is dat criminelen je organisatie proberen te hacken met cyberaanvallen. Als criminelen gegevens van jouw organisatie in handen krijgen, dan noemen we dat een extern datalek. De criminelen behoren namelijk niet tot jouw organisatie.
Ook kan het datalek zijn ontstaan door verschillende intenties. De medewerker is de USB-stick verloren en heeft niet opzettelijk gehandeld. Dat is een vorm van een goedwillend datalek. De criminelen die jouw organisatie hebben aangevallen, hebben wel degelijk verkeerde intenties. Dat is een voorbeeld van een kwaadwillend datalek.
Wat zijn de mogelijke gevolgen van een datalek voor de betrokken persoon?
Wanneer de persoonsgegevens door een datalek in verkeerde handen komen, kan er fraude mee worden gepleegd. Wanneer criminelen e-mailadressen en namen van jouw klanten in handen hebben, kan er bijvoorbeeld grootschalige phishing plaatsvinden.
Criminelen kunnen jouw klanten dan benaderen, linkjes sturen en mogelijk geld afhandig maken. Daarnaast kan er met de gegevens ook identiteitsfraude plaatsvinden. Dat kan vervelende gevolgen hebben voor de betrokken personen.
Hoe lang de betrokken persoon last heeft van de gevolgen van een datalek is op voorhand niet te zeggen. Dat ligt ook aan het soort gegevens. Wanneer een wachtwoord is gelekt en de betrokken persoon neemt een nieuw wachtwoord, dan kan de schade beperkt blijven.
Wanneer een adres in verkeerde handen is, is dat minder eenvoudig op te lossen. Het is voor de betrokken persoon in de regel namelijk niet eenvoudig om zomaar te gaan verhuizen. Stel dat de geboortedatum is gelekt, dan zijn de gevolgen voor de betrokken persoon onomkeerbaar. De betrokken persoon kan zijn of haar geboortedatum namelijk niet aanpassen.
Zijn de gevolgen ernstig bij een datalek?
Niet in alle gevallen zijn de gevolgen ernstig als persoonsgegevens bij anderen terecht komen. Maar soms kan het ook hele vervelende gevolgen hebben voor de persoon waarvan de gegevens zijn gelekt. Het is bijvoorbeeld niet fijn als anderen jouw medisch dossier kunnen inzien. Dat is vaak privacygevoelige informatie. Dat kan ook emotionele schade aanrichten bij de persoon wiens gegevens zijn gelekt.
Het is dus vooral ernstig als persoonsgegevens zijn uitgelekt en er daardoor schade is aangericht bij de betrokken persoon. Vooraf is dat altijd lastig in te schatten en daarom moet je alert zijn met het verwerken van persoonsgegevens. Zo blijven de gevolgen beperkt.
Een lek wordt gezien als ernstig als het schade toebrengt bij de betrokken persoon of er een grote kans is dat er schade wordt veroorzaakt bij de betrokken persoon. Je kunt dan denken aan de volgende persoonsgegevens:
- medische gegevens;
- financiële gegevens;
- inloggegevens;
- gegevens over godsdienst of ras;
- kopieën van identiteitsbewijzen.
Als er zulke gegevens zijn gelekt, moet je dat melden aan de betrokken persoon. Wanneer een wachtwoord van iemand is gelekt, kan deze persoon door jouw melding een nieuw wachtwoord instellen. Ook moet je een datalek melden bij de Autoriteit Persoonsgegevens.
Wat zijn de gevolgen voor de organisatie?
Een datalek hoeft niet alleen gevolgen te hebben voor de betrokken persoon, maar kan ook vervelende gevolgen hebben voor een organisatie. De Autoriteit Persoonsgegevens kan jouw organisatie een boete opleggen.
Een datalek hoeft niet alleen financiële consequenties te hebben. Ook tast een datalek het imago van jouw organisatie aan. Wanneer jij een webshop hebt en de naam van jouw webshop meermaals in het nieuws is gekomen vanwege een datalek, zullen consumenten minder snel een bestelling bij jouw webshop plaatsen.
Het is daarom verstandig om een datalek zoveel als mogelijk te voorkomen.
Wie bepaalt of je een boete krijgt vanwege een datalek?
De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete van een datalek en of je een boete krijgt. Dat is erg afhankelijk van de situatie. De autoriteit kijkt vooral naar:
- het soort gegevens;
- de manier waarop de gegevens zijn gelekt;
- de manier waarop gehandeld is.
Het soort gegevens
De Autoriteit Persoonsgegevens let vooral op de ernst van de gegevens. De medische gegevens die een arts is verloren, zijn veel privacy gevoeliger dan bijvoorbeeld een bouwbedrijf dat een briefje is verloren waarop staat dat ze een dakkapel gaan plaatsen bij de familie Jansen aan de Kerkstraat nummer 3 in Nieuwegein.
Toch gaat het in beide situaties om persoonsgegevens en een datalek. De Autoriteit Persoonsgegevens zal de arts eerder een boete opleggen dan het bouwbedrijf. Dat heeft vooral te maken met het soort gegevens.
De manier waarop de gegevens zijn gelekt
Je moet altijd voorzichtig zijn met persoonsgegevens. Een goede beveiliging is belangrijk, zo hebben zo min mogelijk mensen toegang tot de gegevens. Een andere belangrijke stap is het afsluiten van goede verwerkersovereenkomsten met iedereen die via jou toegang kan krijgen tot persoonsgegevens. Als je heel onvoorzichtig bent en je de papieren met persoonsgegevens overal laat liggen, dan kan de Autoriteit Persoonsgegevens je daarop aanspreken en zullen ze sneller een boete opleggen.
Dat is veel kwalijker dan dat je er alles aan hebt gedaan om te zorgen dat de persoonsgegevens binnen je organisatie blijven. Wanneer persoonsgegevens gelekt worden door een cyberaanval, zal de Autoriteit Persoonsgegevens je niet zo snel een boete opleggen. De mate waarin je zelf schuld hebt, neemt de autoriteit mee in zijn oordeel.
De manier waarop gehandeld is
Als je snel de betrokken persoon hebt geïnformeerd en een melding hebt gemaakt bij de autoriteit en maatregelen hebt genomen om te voorkomen dat er weer persoonsgegevens worden gelekt, zal de autoriteit je niet zo snel een boete opleggen. Wanneer je geen maatregelen neemt, zal de autoriteit je sneller een boete opleggen.
Wanneer je een melding maakt bij de autoriteit geven ze je vaak ook voorwaarden mee. Deze voorwaarden zijn bedoeld om een nieuw datalek te voorkomen. Aan deze voorwaarden moet je je houden. Dat kan bijvoorbeeld zijn dat de autoriteit zegt dat je de documenten met persoonsgegevens in een kast moet bewaren die je op slot doet.
Als je je niet aan de voorwaarden van de Autoriteit Persoonsgegevens houdt, kunnen ze je ook een boete opleggen.
Hoe hoog is de boete bij een datalek?
De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete. De hoogte van de boete kan flink oplopen. De maximale boete is €20 miljoen of 4% van de wereldwijde jaaromzet. De autoriteit legt niet altijd zulke hoge boetes op. Ze kijken naar de draagkracht van de organisatie en naar herhaling van een overtreding.
Een klein bedrijf zal niet zo’n hoge boete krijgen als bijvoorbeeld Shell. Dat komt omdat een klein bedrijf niet zoveel geld heeft als Shell. Ook zal de Autoriteit Persoonsgegevens kijken naar de grootte van je organisatie en de positie die je op de markt hebt.
Daarnaast kijkt de autoriteit ook hoe vaak binnen jouw organisatie sprake is van een datalek. Als dit de eerste keer is dat bij jouw organisatie sprake is van een datalek, zal de boete niet zo hoog zijn, dan wanneer er al eens eerder een datalek binnen jouw organisatie heeft plaatsgevonden.
De hoogte van de boete verschilt dus per situatie. Als je voor jouw organisatie wilt kijken hoe hoog de boetes kunnen zijn, kun je daar een beeld van krijgen als je kijkt in de beleidsregels van de Autoriteit Persoonsgegevens. Je kunt ze hier vinden. Je moet er wel rekening mee houden dat het gaat om beleidsregels. De Autoriteit Persoonsgegevens is hier niet strikt aan gebonden. In uitzonderlijke situaties mogen ze van deze beleidsregels afwijken.
Waarom kun je een boete krijgen bij een datalek?
De Autoriteit Persoonsgegevens legt boetes op, omdat de gevolgen in sommige gevallen ernstig zijn. Wanneer een datalek is veroorzaakt, kan de betrokken persoon financiële, lichamelijke of geestelijke schade lijden. Als organisatie moet je dat altijd serieus nemen.
De Autoriteit Persoonsgegevens wil bedrijven en organisaties aansporen om er zoveel mogelijk voor te zorgen dat er geen datalek ontstaat. Als stimulans hebben ze daarom boetes opgesteld. Voor bedrijven en organisaties is dat een extra reden om goed op te letten en op die manier een boete te voorkomen. Dat is beter voor jouw organisatie en voor de betrokken personen.
Hoe kun je een datalek voorkomen?
Je kunt niet altijd iets aan een datalek doen, maar je kunt het wel zoveel mogelijk voorkomen. Als je werknemers in dienst hebt, is het goed om te beoordelen welke werknemers wel en welke geen vertrouwelijke informatie mogen inzien. Een schoonmaker bij een verzekeringskantoor hoeft niet in te zien welke verzekering mensen hebben afgesloten. Maak daar goed onderscheid in en leg dit vast.
Zo is het ook voor je medewerkers duidelijk wat van hun wordt verwacht. Laat je medewerkers niet onnodig vertrouwelijke informatie inzien als dat niet relevant is voor hun werkzaamheden.
Als je hebt besloten welke werknemers informatie mogen inzien, moet je duidelijke afspraken met hen maken. Als je medewerkers een eigen account hebben, kun je afspreken dat ze hun account altijd moeten vergrendelen als ze hun werkplek verlaten.
Overleg ook waar ze hun dossiers moeten bewaren. Je kunt afspreken dat dossiers in een kast worden bewaard en dat deze kast op slot gaat als niemand aanwezig is. Bepaal ook of medewerkers dossiers mee mogen nemen naar huis.
Dat kan handig zijn als je medewerkers thuis willen werken. Het risico is dat informatie daardoor makkelijk onbedoeld bij verkeerde mensen in handen kan vallen. Daarin moet je dus zelf een afweging maken.
Een datalek kan ook ontstaan doordat criminelen virussen of cyberaanvallen op jouw computers plaatsen. Dat kun je beperken door goede beveiligingsmaatregelen te nemen. Deze maatregelen kunnen erg duur zijn.
De Autoriteit Persoonsgegevens verwacht dat jouw instantie passende maatregelen neemt. Daarbij letten zij ook op de grootte van jouw organisatie. Een grote organisatie heeft meer geld om beveiligingsmaatregelen aan te schaffen dan een kleine organisatie.
De Autoriteit Persoonsgegevens verwacht wel dat jouw organisatie in ieder geval beveiligingsmaatregelen neemt die weinig of zelfs geen kosten met zich meebrengen. Hierbij moet je bijvoorbeeld denken aan een wachtwoord op je computers.