krantencollageSinds 1 januari 2016 is de Meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties direct melding moeten maken bij de Autoriteit Persoonsgegevens in geval van een ernstig datalek . In sommige gevallen moet ook melding worden gemaakt bij de betrokkenen. Een belangrijke wijziging voor iedereen die met persoonsgegevens werkt en dus zeker voor een eigenaar/beheerder van een website of webshop.

Meldplicht datalekken in het kort
Vanaf 1 januari 2016 geldt de meldplicht voor organisaties bij de Autoriteit Persoonsgegevens zodra er persoonsgegevens zijn gelekt door een datalek. Denk daarbij bijvoorbeeld aan een hack van website/webshop, verlies/diefstal van laptop, tablet, smartphone of USB-stick met hierop als contactgegevens, offertes, bestellingen, etc van klanten en/of medewerkers. Ook het per ongeluk versturen van een offerte aan een verkeerde ontvanger is een datalek. Naast melding te maken bij de Autoriteit Persoonsgegevens moet je in sommige gevallen ook de betrokkenen, dus de mensen waarvan de gegevens zijn gelekt (lees: klanten en/of medewerkers) informeren. De details zijn terug te vinden op de website van Autoriteit Persoonsgegevens.

Beleidsregels meldplicht datalekken
De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld om je te helpen bij het bepalen of er sprake is van een datalek en of/wie je hierover moet informeren.

Hieronder het model Meldplicht datalekken:

stappen datalek

Bovenstaand model komt uit de officiële beleidsregels van de Autoriteit Persoonsgegevens. Als er iets is gebeurd kun je op eenvoudige wijze nagaan of er sprake is van een datalek en of er persoonsgegevens verloren zijn gegaan.

Binnen 72 uur
Je dient een lek ‘voor zover mogelijk’ binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Die 72 uur gaan in op het moment dat jij er zelf achter komt. Kom je er dus pas na 3 dagen achter, gaan die 72 uur pas dan in. De Autoriteit Persoonsgegevens wil voorkomen dat uit angst alles wordt gemeld om die 72 uur te halen, vandaar de ‘voor zover mogelijk’.

Betrokkenen informeren
Als uit het model blijkt dat je niets hoeft te melden, dan hoef je de betrokkenen ook niet te informeren. Als blijkt dat je wel iets moet melden, hoeft dat nog niet persé te betekenen dat je de betrokkenen moet informeren. Dit is alleen verplicht wanneer blijkt dat ‘het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Het is natuurlijk duidelijk dat als er creditcardgegevens zijn gestolen je dit moet melden, maar in veel andere gevallen zal het vraagtekens oproepen. Het is aan jou deze afweging te maken.

De Autoriteit Persoonsgegevens kan jou vertellen of het nodig is of niet.

Flinke boete
Wanneer je bij de Autoriteit Persoonsgegevens een datalek meldt zul je niet direct een boete krijgen. In de meeste gevallen zal je een ‘bindende aanwijzing’ krijgen om je beveiliging aan te passen. De Autoriteit Persoonsgegevens kan je wel direct een boete geven als er sprake is van opzet of als er sprake is van ernstig verwijtbare nalatigheid.

Wat is ernstig verwijtbare nalatigheid?
Als er opzettelijk persoonsgegevens worden doorverkocht, dan is het duidelijk. Maar wat is ‘ernstige verwijtbare nalatigheid’? Ben je bijvoorbeeld al nalatig als je met een ongepatchte/verouderde versie van WordPress draait of geen SSL certificaat gebruikt? De Autoriteit Persoonsgegevens spreekt hier niet over. Juridisch wordt al snel gesproken over ‘gangbare veiligheidsmaatregelen’, maar wat zijn die precies? Uiteindelijk moeten we die zelf bepalen. Uiteindelijk bepaalt de Autoriteit Persoonsgegevens of jij ernstige nalatigheid kan worden verweten.

Stappenplan veiligheidsmaatregelen voor een webshop

• Gebruik een SSL certificaat. Klantgegevens worden versleuteld verstuurd.
• Zorg dat je altijd met de laatste versie van bv. WordPress, Magento, Prestashop, Joomla en de gebruikte plug-ins, componenten en modules draait, draai tussentijdse patches zodra die beschikbaar zijn. Als de fabrikant van de software je op de hoogte stelt van een update of een beveiligingspatch en jij hier vervolgens niets mee doet, ben je dus in mijn optiek nalatig.
• Zorg ervoor dat ook het systeem wat je gebruikt om jouw webshop/website te beheren up-to-date is en de juiste beveiligingssoftware gebruikt (lees: antivirus- en firewall software).

Hoogte van de boete
Boetes kunnen oplopen tot € 820.000 euro of 10% van de omzet. In de praktijk kunnen deze bedragen variëren. 10% van de omzet wordt waarschijnlijk genoemd voor bedrijven en/of situaties waarbij € 820.000 niet afdoende is. Opzettelijk data lekken is een serieus vergrijp en voor bedrijven, die hier flink aan verdienen, kan € 820.000 een peulenschil zijn.

Voorkomen
Het laatste wat jij wilt is natuurlijk melding maken bij de Autoriteit Persoonsgegevens. Het doel van de wet is om partijen bewust te maken van de gevaren en gevolgen van het lekken van data.
Als eigenaar/beheerder van een website/webshop kun jij je voorbereiden op de Meldplicht datalekken.

• Neem gangbare veiligheidsmaatregelen. Bepaal zelf wat deze zijn. Zorg in ieder geval dat jouw website/webshop altijd up-to-date is, installeer een SSL certificaat en installeer beschikbare patches voor de door jou gebruikte software.
• Houd het verkeer naar jouw website/webshop in de gaten (lees: monitoring). Zo ben je snel op de hoogte als er zich een potentieel risico aandient.
• Zorg voor een plan. Stel (voor grotere ondernemingen) een team samen die zich hier mee bezig houd/gaat houden en die reageert in geval van een datalek.

Bron: Byte, Autoriteit Persoonsgegevens