Blog arbeidsrecht
Privacy en de bescherming daarvan staan volop in de belangstelling. De Autoriteit Persoonsgegevens (AP) speelt hierin een centrale rol, maar ook werkgevers hebben een verantwoordelijkheid in het beschermen van persoonsgegevens. Die komt vooral tot uiting bij het ontstaan van (een vermoeden van) een datalek. In deze blog zet ik op een rij wanneer sprake is van een datalek, wat u in zo’n geval moet doen en waar u rekening mee moet houden.
Twee recente digitale berichten hebben mij op het idee voor deze blog gebracht. De AP meldde op 29 juni dat er sinds 25 mei 2018 600 klachten zijn ingediend. Hieruit blijkt dat er vrij makkelijk problemen kunnen ontstaan óf worden ervaren bij de verwerking van persoonsgegevens. Daarnaast kreeg ik vorige week een e-mail van Ticketmaster. Het bedrijf informeerde mij – ik heb er enige tijd geleden concertkaartjes geboekt – dat er mogelijk persoonsgegevens gelekt zijn. Het was een bericht ‘uit voorzorg’, omdat niet vaststond dat dit daadwerkelijk was gebeurd. Ik kreeg onder meer het advies mijn afschriften te controleren en mijn wachtwoord te wijzigen. Deze mail laat zien hoe een bedrijf kan omgaan met een datalek.
Met welke klachten kun je terecht bij de AP?
Personen kunnen bij de AP klagen over de manier waarop een organisatie hun gegevens verwerkt en vooral ook over de manier waarop er met hun privacyrechten wordt omgegaan. Zo zijn er bijvoorbeeld klachten ingediend over de manier van omgang met een inzageverzoek of het beroep van een individu op zijn recht om zijn gegevens te laten verwijderen, bijvoorbeeld omdat hij van een bedrijf geen nieuwsbrieven meer wil ontvangen. Ook zijn er klachten binnengekomen over het verstrekken van persoonsgegevens aan een andere organisatie. De AP heeft nu grofweg 400 van de 600 klachten onderzocht. Periodiek komt er een rapportage over de ingediende klachten. Dat er zo veel klachten zijn ingediend, wil overigens niet zeggen dat er nu meer misgaat. De kennis over het onderwerp neemt toe, de mogelijkheid tot het indienen van een klacht is geopend én het indienen van een klacht is laagdrempelig. Je doet dit eenvoudig via de startpagina van de website van de AP.
Een klacht kan uiteraard ook ontstaan uit een gebrek aan kennis over het onderwerp. Goede voorlichting kan dergelijke klachten voorkomen. De website van de AP bevat veel nuttige informatie over de bescherming van persoonsgegevens, de rechten van betrokkenen én uw verplichtingen.
Wat is eigenlijk een datalek?
Er is sprake van een datalek bij een inbreuk op de beveiliging van persoonsgegevens.
Een inbreuk kan zich op allerlei manieren voordoen, bijvoorbeeld bij diefstal van een laptop, bij een hacker in een systeem, het verlies van een USB-stick, een computervirus of als gegevens verloren gaan bij een brand en er geen back-up is. Er zijn uiteraard meer voorbeelden te bedenken.
Tip: leg alle datalekken vast in uw administratie en zorg dat hiervoor een procedure is. Doe dit ook als sprake is van een datalek dat u niet hoeft te melden bij de AP en/of betrokkenen.
Wanneer moet ik een datalek melden aan de AP?
Niet ieder datalek moet u melden. U moet dit wel doen, als er sprake is van een ernstig datalek of een vermoeden van een ernstig datalek.
Een datalek is ernstig, als het leidt tot een aanzienlijke kans op ernstig nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Tip: leg in uw administratie vast hoe u tot uw besluit gekomen bent om wel of niet tot een melding over te gaan. Als de AP komt controleren, kunt u uw afweging laten zien.
Hoe en hoe snel moet ik een lek melden?
Bij de constatering of het vermoeden van een ernstig datalek heeft u vanaf het moment van ontdekking 72 uur de tijd voor de melding. Bij een te late melding loopt u het risico op een (hoge) boete. Het moment van ontdekking kan (veel) later liggen dan het moment waarop het lek is ontstaan. Dat kan van invloed zijn op de (mogelijke) schade.
Om te bepalen of u een melding moet doen, moet u binnen de organisatie een goede afweging maken. U moet immers inschatten of sprake is van ernstige gevolgen of dat daarop een grote kans bestaat. U kunt de melding doen via de website van de AP.
Het is ook van belang dat u nagaat of goed geregeld is dat andere partijen u tijdig informeren wanneer zich bij hen een probleem met de bescherming van persoonsgegevens voordoet. Denk hierbij aan de organisatie die voor u persoonsgegevens verwerkt, zoals een salarisverwerker, verzekeraar of arbodienst. Soms dient u met deze partijen een verwerkingsovereenkomst te sluiten. In dit geval moet zo’n overeenkomst ook helder weergeven welke partij wat moet doen op welk moment. U kunt bijvoorbeeld opnemen dat de verwerker u bij een (vermoeden van een) datalek binnen 24 uur moet informeren. Zo houdt u voldoende tijd over om zelf de melding bij de AP te doen, als dat nodig is. Als een verwerkingsovereenkomst niet vereist is, kunt u in uw samenwerkings- of leveringsovereenkomst een vergelijkbare bepaling opnemen.
Tip: zorg dat u intern een heldere procedure hebt voor datalekken en voor vragen of klachten over de verwerking van persoonsgegevens door uw organisatie. Bij wie kunnen personen terecht, wie beslist of er wel of niet wordt gemeld en wat is dan de procedure?
Tip: bewustzijn bij medewerkers is heel belangrijk. Zorg ervoor dat zij weten wat de Algemene Verordening Gegevensbescherming (AVG) betekent op de werkvloer en dat voor hen de regels en procedures helder zijn.
Handig hulpmiddel
De AP heeft op haar website handige beleidsregels staan over de meldplicht datalekken. Deze zijn nog gebaseerd op de (inmiddels vervallen) Wet bescherming persoonsgegevens in plaats van op de AVG. Toch zijn deze beleidsregels nog een handig hulpmiddel.
Het is raadzaam deze beleidsregels bij de hand te hebben als u binnen de organisatie verantwoordelijk bent voor het melden van een (vermoeden van een) datalek bij de AP. Dit kan u helpen bij het maken van de juiste afweging.
Moet ik betrokkenen informeren over een (mogelijk) lek?
Dat hangt ervan af – een typisch advocatenantwoord. Er moet gekeken worden naar alle feiten en omstandigheden van het geval. Ook moet er een goede belangenafweging worden gemaakt. De aard van de gelekte gegevens speelt hierbij een belangrijke rol.
De wet geeft aan dat u een melding moet doen aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Zij kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, kunt u er in principe van uitgaan dat u het datalek niet alleen moet melden aan de AP, maar ook aan de betrokkenen.
Tenslotte
Weet wat u moet doen bij problemen. Dat kan u een heleboel ellende besparen.
Tip: het is belangrijk dat er binnen de organisatie een cultuur heerst waarbij het melden van problemen met persoonsgegevens door medewerkers eerder wordt gestimuleerd dan ontmoedigd. Werknemers moeten zich vrij (en veilig) voelen problemen aan te kaarten, zonder het risico op sancties te lopen. Dit stelt u op uw beurt in staat om tijdig de juiste stappen te nemen bij de aanpak van de problemen en om van eventuele missers te leren.
Ticketmaster informeerde mij via de mail. Er was een datalek. Of er gemeld is bij de AP én of dit tijdig gebeurd is, weet ik niet. De berichten hierover in de media zijn wisselend. Het bedrijf heeft ervoor gekozen zelf actie te ondernemen om verder onderzoek te doen en meer problemen te voorkomen. Dat is een goede zaak. Zekerheidshalve zijn de betrokkenen geïnformeerd. Hoewel het probleem zich vooral in het Verenigd Koninkrijk heeft voorgedaan, zijn ook gebruikers van de site in andere landen geïnformeerd. Op die manier kunnen ook zij maatregelen nemen om verdere problemen te voorkomen en eventuele schade te beperken.
En dat is precies waar deze regels voor bedoeld zijn.
Ik wens u een mooie én zorgeloze zomer!
