Datalekken? Uw onderneming is hoe dan ook verantwoordelijk
Vanaf 1 januari 2016 zijn alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet Bescherming Persoonsgegevens (WBP) verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, voorheen het CBP. Meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven. Deze bestuurlijke boete is per 1 januari 2016 maximaal 820.000 euro of 10% van de omzet. Dat is natuurlijk geen sinecure. Maar volgens Lucas Vousten, partner binnen Joanknecht & Van Zelst Accountants en specialist op het gebied van IT-audit en advies, Floor de Roos, advocaat en specialist op het gebied van privacyrecht bij Boels Zanders Advocaten en Rob Stevens, CEO van internet service provider Interconnect, mag dat niet de drijfveer zijn om zorgvuldig om te gaan met de data binnen uw bedrijf. Controle over uw data, daar gaat het om!

“Elke ondernemer die data heeft die alleen voor het bedrijf bedoeld is, en welke ondernemer heeft dat niet, doet er goed aan zich te realiseren dat hij kwetsbaar is”, opent Vousten. “Dat de mogelijkheid bestaat dat de vaak persoonsgebonden en/of bedrijfsgevoelige data in verkeerde handen kan komen. Dat kan een bedreiging vormen voor de continuïteit van het bedrijf en schadelijk zijn voor de mensen die het betreft. Wij adviseren onze klanten dan ook ervoor te zorgen dat ze te allen tijde controle hebben over hun eigen data. De eventuele boete is niet meer of minder dan een stok achter de deur om de procedures en protocollen rondom dat lekken goed in te richten, zodat er direct gehandeld kan worden als de situatie daar om vraagt.”

Stevens: “Ondernemers doen er ook goed aan zich te realiseren dat dat in dit kader een zeer breed begrip is. Het zijn niet alleen computerbestanden, e-mail-verkeer en gegevens die via social media de wereld rond gaan. Ook telefonie hoort daar bij.”

De Roos: “In feite is bovenstaande wet- en regelgeving van toepassing op alle data die direct, maar zeker ook indirect zijn te herleiden tot een persoon. Deze data vallen daarmee onder de Wpb en in geval  van een ernstig datalek is men  verplicht een melding te maken bij de Autoriteit Persoonsgegevens. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de privacy van de betrokken personen van wie de gegevens zijn gelekt, moet het datalek ook aan de betrokkenen worden gemeld. Immers, gevoelige informatie komt in de openbaarheid met alle gevolgen van dien.”

Stevens: “Dat besef is er alleen niet altijd bij ondernemers en al helemaal niet bij hun medewerkers. Een datalek is niet alleen desastreus voor degene waarop de informatie betrekking heeft, maar is zeker net zo schadelijk voor het bedrijf dat het overkomt. Denk aan imagoschade. De reputatie van het bedrijf.”

Vousten: “Dat maakt de urgentie om dit goed te regelen juist alleen maar groter. Daar moeten ondernemers echt van doordrongen zijn. Niet in de laatste plaats omdat data meer en meer het smeermiddel worden binnen het bedrijf. Als de ict-omgeving getroffen wordt, op wat voor manier dan ook, dan valt een groot deel van het bedrijf en een groot deel van het bedrijfsleven stil.”

Stevens: “Tegelijkertijd is het belangrijk dat je als ondernemer goed beseft dat de digitale wereld een ongrijpbare wereld is. Als er data, al dan niet bewust, gelekt worden, heb je de informatie niet zomaar terug of vernietigd. Dus eenmaal iets uit je handen laten glippen, betekent dat anderen er mee aan de haal kunnen gaan met wellicht een ander doel dan jij voor ogen had.”

Vousten: “Maar het is niet alleen een belangrijk aandachtspunt vanuit bedreiging. We zien op dit moment ook wet- en regelgeving komen die bijvoorbeeld justitie en politie meer vrijheden verschaft waar het gaat om het genereren van data als zij dat om wat voor reden nodig achten. Dat staat in feite haaks op de Wpb, maar het is wel een ontwikkeling die in deze tijden van dreiging onomkeerbaar is.”

De Roos: “Dat maakt het spectrum ook erg lastig. Als juristen ervaren wij ook nog vaak dat het privacyrecht voor organisaties een redelijk onontgonnen gebied is. Neem nu bijvoorbeeld het fenomeen datalek. Dat is niet alleen het geval als je als bedrijf gehackt wordt. Ook als iemands laptop wordt gestolen, iemand een memorystick verliest of zelfs een geprinte klantenlijst ergens laat liggen, kan er al sprake zijn van een datalek. En dan ben je verplicht dit te melden. Ook als de schade uiteindelijk meevalt of er geen sprake is van schade, omdat de data tijdig weer in goede handen is gevallen.”

Vousten: “Het is een traject dat zeker nadere uitleg behoeft. Niet in de laatste plaats omdat het een traject is dat nog niet uitgekristalliseerd is. Maar dat de ondernemer er mee aan de slag moet, lijkt me duidelijk. ICT zou ook veel meer als een ‘normaal’ bedrijfsproces gezien moeten worden. De in- en verkopen wil een organisatie toch ook in de grip houden? Hier ligt onze expertise. Dit is ook de reden dat we gezamenlijk de komende maanden een tweetal seminars organiseren om onze relaties vanuit diverse invalshoeken te kunnen adviseren.”

De Roos: “En het leeft. De eerste bijeenkomst is inmiddels volgeboekt, maar een tweede bijeenkomst is ingepland. Wij ontmoeten u graag.”